Exploits – Software-Bomben

Es dürfte sich inzwischen herumgesprochen haben, dass auf die Unversehrtheit von Software kein Verlass ist. Sie wurde durch Menschenhand geschaffen und ist daher fehlerhaft! Leider schleichen sich solche Fehler selbst bei Software ein, von denen unser Leben abhängen kann, z.B. in Flugsteuerungs-Systemen. Die Unfälle der beiden Boeing 737 Max 8 in 2018 und 2019 haben uns einmal mehr eindrücklich vor Augen geführt, wie sehr wir auf das korrekte Funktionieren von Computern angewiesen sind.

Inform_Awareness_Fotolia_60478671_XXL_blau_minus_Artikel.jpg

Inform Awareness Bildmotiv Artikel

Um das Wissen der Unzulänglichkeit von Software hat sich im Lauf der Zeit ein richtiger „Arbeitsmarkt“ entwickelt. Da gibt es zum einen den gewünschten Arbeitsmarkt, der sich mit der Qualitätssicherung von Software beschäftigt, zum anderen den unerwünschten, der diese Unzulänglichkeiten auf illegale Weise umzumünzen weiß.

Nicht alle Codefehler lassen sich für illegale Machenschaften ausnutzen. Solche, bei denen das geht, nennt man Schwachstellen. Entdeckte Schwachstellen können der MITRE Corp. gemeldet werden. Diese führt eine international anerkannte Schwachstellendatenbank, die "Common Vulnerability Enumeration" (CVE). Schwachstellen, die nicht in der CVE gelistet sind, werden meist unter der Hand für unglaublich hohe Summen gehandelt und oftmals z.B. von Geheimdiensten, staatlichen Troll-Fabriken oder dem organisierten Verbrechen aufgekauft.

Für viele dieser Schwachstellen gibt es kleine Programme oder Codeschnipsel, die exakt eine bestimmte Schwachstelle ausnutzen. Man spricht dabei von so genannte Exploits. Das Kunstwort setzt sich aus den englischen Vokabeln "explo(de)" und "it" zusammen und bedeutet so viel wie: „…lass es explodieren…“ (womit die jeweilige Software gemeint ist).

Problematisch ist das Zeitfenster vom Bekanntwerden der Schwachstelle bis zum Zeitpunkt, wenn der Hersteller diese repariert und eine neue Softwareversion offiziell über Updates oder Patches zur Verfügung stellt. In dieser Zeitspanne spricht man von so genannten "Zero Day"-Schwachstellen. Exploits, die solche Lücken ausnutzen, werden als "Zero Day Exploits" bezeichnet. Bis zum Bereitstellen dieser Patches ist ein betroffenes IT-System Angriffen schichtweg schutzlos ausgeliefert.

Manche Zero Days kümmern uns als Endanwender*in nicht, weil sie sehr exotische Software betreffen und damit nur wenige Anwender*innen. Zero-Days in sehr gängigen Programmen wie Browsern, Betriebssystemen oder Office-Anwendungen sind katastrophal in der Auswirkung, da die breite Masse vieler IT-User*innen davon Schaden nehmen kann. So zum Beispiel bei der so genannten Heartbleed-Schwachstelle 2014. Hier wurde ein Fehler in einer sehr häufig verwendeten, frei verfügbaren Software ausgenutzt, die für die verschlüsselte Kommunikation zwischen Browser und dem verwendeten Webservice zuständig ist. Die Folge war, dass Daten wie Passwörter, PINs, TANs, Zertifikate usw. von Dritten mitgelesen werden konnten. Auch verschlüsselte und damit eigentlich geschützte VoIP-Gespräche waren damit abhörbar.

Der Kryptographie-Papst Bruce Schneier hat dies damals auf einen lapidaren Nenner gebracht: „Auf einer Katastrophenskala von 1 bis 10 ist Heartbleed eine 11.“ Das einzige Kraut, das für „Otto-Normalverbraucher“ hiergegen gewachsen ist, lautet: Keine alte Software verwenden, die aus der Wartung gelaufen ist und regelmäßig Updates und Patches einspielen.

Hessen-Suche