Antivirus-Lösungen als Einfallstor

Antivirus-Programme sind die populärsten und am weitesten verbreiteten Lösungen im Schutz gegen Cyberbedrohungen aller Art. Doch auch sie können wie jede Software Programmierfehler enthalten und zu besonders interessanten Einstiegstoren für Cyberkriminelle werden. [...]

Es ist leider eine Tatsache: Jede Software hat Fehler, so genannte Bugs, die im schlechtesten Fall von Cyberkriminellen ausgenutzt werden können. Doch natürlich ist auch Schutzsoftware wie eben ein Antiviren-Programm Software und besteht aus Codezeilen, die möglicherweise bzw. sogar sehr wahrscheinlich Bugs enthalten, die sich zu Schwachstellen entwickeln können.

„Bei der Programmierung kommt im Durchschnitt auf tausend Zeilen Code etwa ein Bug. Und in einer Software sind mehrere Tausend Zeilen Code enthalten. Fügt man Software zu einem Gerät hinzu, vergrößert sich dessen Angriffsfläche“, konstatiert Sébastien Viou, Cyber-Evangelist beim auf Cybersicherheit spezialisierten Unternehmen Stormshield. Je umfassender die Software ist, desto mehr Codezeilen sie enthält, desto größer ist demnach das Risiko, dass sich auch Programmierfehler darin finden.

Warum überhaupt ein Angriff auf Antivirus-Programme?

Auf den ersten Blick mag es unlogisch erscheinen: Gehen Cyberkriminelle nicht das Risiko ein, Alarm auszulösen, wenn sie ein Antivirenprogramm angreifen? Angreifer versuchen stets, mittels verschleierter Codes, Schadprogramme vor Sicherheitslösungen zu verstecken. Doch auch die Antivirus-Hersteller schlafen nicht und entwickeln ihre Lösungen ständig weiter, wodurch es immer schwieriger für Cyberkriminelle wird, ihre Angriffe unentdeckt durchzuführen. Daher legen die Hacker jetzt lieber die Antivirus-Lösung still, bevor sie den tatsächlichen Angriff starten. Oder sie verschaffen sich mit Hilfe des Antivirus-Programms höhere Berechtigungen auf dem Rechner: Die Erbeutung von Nutzungsprivilegien bleibt der Heilige Gral der Cyberkriminellen. In anderen Worten: Ein von Cyberkriminellen gekapertes Antivirusprogramm kann Cyberangriffe nicht verhindern. Im Gegenteil: Erst über die Schutzlösung wird häufig der Angriff ermöglicht.

„Viele Angriffe starten mit dem Versuch, die Kontrolle über einen ungeschützten Dienst mit einer niedrigen Berechtigungsstufe zu übernehmen“, weiß der Security-Spezialist Sébastien Viou. Durch weitere Schwachstellen können Cyberkriminelle die Kontrolle über einen übergeordneten Prozess übernehmen, wodurch sie Befehle ausführen können. Ab diesem Zeitpunkt lässt sich der Aktionsradius erweitern.

Nach Ansicht von Viou ist dieser Ansatz recht einfach. Schwieriger und zeitintensiver ist es, nutzbare Schwachstellen zu ermitteln, doch letzten Endes finden Angreifer immer, wonach sie suchen, selbst bei den Antivirus-Lösungen. Wenn es gelingt, den Virenschutz zu manipulieren, können sich Cyberkriminelle Administratorrechte auf einem Computer, gar als Domain-Administrator, zu eigen machen. Diese neue Vorgehensweise sagt viel über die Entwicklung von Cyberattacken und die notwendigen Antworten darauf aus.

Die drei Etappen eines Angriffes

Ein Beispiel für eine weit verbreitete Schwachstelle zur Kaperung einer Antivirus-Lösung sind symbolische Verknüpfungen von Dateien. Der Zweck ist es, die Aufmerksamkeit des Antivirus-Programms auf eine andere Datei als die, die die Malware enthält, zu lenken.

Der zweite Schritt besteht darin, Zugriffsrechte zu erbeuten. Die Sicherheitslösungen haben die höchsten Zugriffsrechte, damit im Bedarfsfall Anwendungen oder Prozesse aufgehalten werden können. Wenn man als Administrator ins Systemmanagement eindringt, erlangt man alle Rechte. „Und da die Antiviren-Software in der Regel auf allen Computern des Unternehmens installiert ist, bedeutet das Auffinden einer Schwachstelle auf einem Computer, dass diese auch auf dem Rest der Geräte ausgenutzt werden kann“, warnt Viou.

Die dritte Stufe des Angriffs richtet schließlich den meisten Schaden an: „Die Angreifer versuchen, in den ersten Phasen diskret vorzugehen, um möglichst viele Rechner zu infizieren, bevor sie zum tatsächlichen Datendiebstahl, zur Blockierung von Arbeitsplätzen oder Produktionsunterbrechungen übergehen. Das ist in der Regel der Zeitpunkt, zu dem man den Angriff bemerkt: Man hat plötzlich keinen Zugriff mehr auf Anwendungen und Daten. Ab hier darf man in Panik geraten, weil es bereits zu spät ist“, erklärt Viou.

Die Rolle der Software-Architektur

Zwar werden Cybersecurity-Lösungen im Rahmen der Qualitätskontrolle vor Markteinführung auf Abwesenheit von Bugs und strukturelle Fehler geprüft. Dennoch liegt es wie bereits oben erwähnt in der Natur der Sache, dass trotz dieser Vorkehrungen keine Sicherheitslösung die absolute Fehlerfreiheit bieten kann.

Was kann man also tun? Um dadurch entstehende Risiken zu minimieren, sollte man deshalb auf robustere und sicherere Architekturen setzen. So bietet zum Beispiel die Wahl einer auf Micro-Services basierten Software-Architektur eine größere Ausfallsicherheit als eine monolithische Lösung. Eine Software-Architektur, die auf Micro-Services setzt, besteht aus der Segmentierung von Rechten und der Isolierung des Workflows jedes Dienstes, wodurch die Angriffsfläche auf ein Minimum reduziert und die Ausbreitung von Malware begrenzt wird.

Wenn man sich darüber hinaus für vertrauenswürdige, den europäischen Richtlinien entsprechenden Technologien entscheidet, werden auch Risiken durch mögliche Hintertüren verringert.

„Cybersecurity made in Europe“

Für Unternehmen, die auf europäische Security-Lösungen größten Wert legen, gibt es das von der ECSO (European Cyber Security Organization, www.ecs-org.eu) initiierte und von der französischen ACN (Alliance pour la Confiance Numérique, ein Gründungsmitglied der ECSO) vergebene Security-Gütesiegel „Cybersecurity made in Europe“. Dieses Label wird an Unternehmen vergeben, die ihre Produkte und Dienstleistungen gemäss des ENISA-Standards (Agentur der Europäischen Union für Cybersicherheit) entwickeln. Zu den zahlreichen Sicherheitskriterien, die Unternehmen erfüllen müssen, gehören Anforderungen in Bezug auf „Security by Design“, Transparenz, das Prinzip der geringsten Privilegien (wesentlicher Bestandteil von Zero-Trust-Modellen) oder auch die Business-Continuity. Ziel der ECSO ist es, den Schutz des europäischen digitalen Binnenmarktes zu koordinieren und letztendlich die Entwicklung der digitalen Souveränität und der strategischen Autonomie Europas zu unterstützen.