IT-Sicherheit - Neue Bedrohungen für SB-Geräte

Banken halten Bargeld- und andere Wertbestände vor, ermöglichen Verfügungen über Werte, benötigen Vertrauen und Vertraulichkeit als Geschäftsgrundlage und bilden die Schnittstellen zu Transaktionssystemen. Sie stehen seit jeher im Fokus krimineller Aktivitäten. Auch technischer Fortschritt und optimierte Prozesse ändern daran nichts, sondern eröffnen jeweils neue Runden im Wettrennen zwischen Gut und Böse.

Aktuelle Angriffsszenarien

Den aktuellen Stand beschreiben Schlagzeilen der letzten Zeit:

„Zugang über USB-Stick 000507607999: Mit dieser Nummer checken Hacker Geldautomaten“ hieß es auf Focus money online am 9.1.2014. Der Artikel bezieht sich auf Malware, die über einen USB-Stick auf Geldausgabeautomaten installiert wird und Geldausgaben direkt über das Auszahlmodul ermöglicht. Die Schadsoftware verfügt sogar ihrerseits über Sicherheitsfunktionen. So veranlasst sie die Geldausgabe erst nach Eingabe einer Nummer. In Angriffsszenarien wurde diese den Tätern per Handy zugesandt.

„Anleitung für perfide Angriffe über USB ist öffentlich“ ist die Überschrift eines Zeit-online Artikels vom 8.10.2014. Der Artikel beschreibt eine Angriffsart, die über manipulierte USB-Controllersoftware ausgeführt wird. Die Schadsoftware existiert in mehreren Varianten und wird häufig als „BAD-USB“ bezeichnet. Durch die Manipulation kann beinahe jedes USB-Device als ein anderes Gerät erkannt und damit zu einem Angriffswerkzeug werden. Selbst auf vermeintlich harmlosen Geräten kann dann Schadsoftware laufen, die völlig unerwartete Prozesse ausführt.

Die neue Bedrohungs-Qualität

Die beschriebenen konkreten Angriffsmöglichkeiten und potentiellen Bedrohungen sind beispielhaft für eine neue Bedrohungsqualität. Die Täter sind kompetent. Die Schadsoftware wirkt professionell, ist in mehreren Sprachen und Versionen verfügbar. Die Täter sind gut organisiert, gehen arbeitsteilig und koordiniert vor.

Die Täter nutzten aber auch wirtschaftliche und technologische Trends und Tendenzen, die die Finanzwirtschaft und das IT-Business aktuell dominieren, sehr geschickt aus. Die Standardisierung nimmt auf allen Ebenen zu. In Geldausgabeautomaten werden zunehmend Standardkomponenten statt proprietärer Teile verbaut. Auf diese laufen Standardbetriebssysteme und selbst für SB-Anwendungen sind Standards, etwa XFS, verfügbar.

Im digitalen Zeitalter sind auch die Informationen darüber nur wenige Mausklicks entfernt. Mit ein wenig Recherche und Basiswissen sind wichtige Skills rasch aufgebaut. Die fortschreitende Arbeitsteilung mit Aspekten wie Outsourcing oder „bodyleasing“ im wirtschaftlichen Bereich, Nutzung von Frameworks oder fremdbetriebenen Services im technischen Bereich bieten ebenfalls neue Ansatzpunkte für Angriffsszenarien.  

BedrohungsanalyseGegenmaßnahmen im Softwareentwicklungsprozess

Wollen die bedrohten Bereiche nicht auf den mit den geschilderten Trends einhergehenden Nutzen verzichten, dann besteht die Herausforderung darin, den Belangen der Sicherheit als Qualitätskriterium und damit als Erfolgsfaktor in allen Entwicklungsphasen und über alle Prozesse hinweg Beachtung zu schenken.

Hierzu ist es erforderlich, sichere Software sicher zu entwickeln und diese dann auch in sicheren Umfeldern zu betreiben. Aus der Sicht der Softwareanbieter sind Anstrengungen in allen Phasen des klassischen Wasserfallmodells erforderlich. Diese betrachten wir beispielhaft und vereinfachend - die Grundaussagen gelten gleichermaßen für alle Vorgehensmodelle.

Sicherheitsanforderungen stammen aus unterschiedlichsten Quellen. So können je nach Anwendung regulatorische oder gesetzliche Anforderungen oder Branchenvorgaben wie PCI-DSS maßgebend sein. Sicherheitsanforderungen sind häufig nichtfunktional. Oft existieren sie eher als vage implizite Annahmen. Eine handhabbare Formulierung und Dokumentation gestaltet sich entsprechend schwierig. Die Betrachtung der Sicherheit im Anforderungsmanagement ist das Fundament für die folgenden Aktivitäten und daher entscheidend für den Gesamterfolg.

Eine sicherheitsspezifische Maßnahme ist die Bedrohungsanalyse. Diese erfolgt in der Regel nachdem wesentliche Sicherheitsanforderungen bekannt sind. Die Bedrohungsanalyse besteht aus folgenden Schritten:

  • Identifikation der Assets: Zunächst identifiziert man die zu schützenden Werte des Unternehmens. Dieses ist eine wichtige Voraussetzung für eine Bewertung und Risikoabschätzung.
  • Architekturentwurf: Im zweiten Schritt wird ein grober Architekturentwurf erstellt. Dieser soll einen Überblick vermitteln und dient der Bildung und Beschreibung von Vertrauensgrenzen.
  • Gliedern der Anwendung: In diesem Schritt ermittelt man Anwendungskomponenten, die dann gesondert und detailliert betrachtet werden.
  • Identifikation und Bewertung von Bedrohungen: Auf der Basis der bisherigen Analyse werden Bedrohungen modelliert. Die Bewertung führt zu Vorgaben für die abschließende Phase.
  • Maßnahmen planen: Schließlich sind geeignete Maßnahmen zu formulieren und zu planen. Diese sollen eine wirtschaftliche Abwägung von Risiko und Kosten unterstützen.

Für den Softwareentwurf kennen wir sichere Entwurfsprinzipien und darauf aufbauend sichere Entwurfsmuster. Beispiele hierfür sind: defense in depth, fail-safe defaults, minimize attack surface, Fail securely, Run with least privilege, Don't trust infrastructure, Establish secure defaults. Versäumnisse in dieser Phase können nur mit großem Aufwand korrigiert werden.

In der Programmierung werden diese Prinzipien umgesetzt. Erprobte Maßnahmen wie Input Validation und Output Encoding verhindern den Erfolg geläufiger Angriffstechniken wie Code-Injection und Cross-Site-Scripting (XSS). Beide Techniken belegen seit Jahren „Spitzenplätze“ auf der Top-10 –Liste des OWASP (Open Web Application Security Project).

In der Testphase wird die Umsetzung der Sicherheitsanforderungen überprüft. Dieses geschieht im Rahmen der gesamten Anforderungen, üblicherweise in speziellen Testumgebungen. Besondere Sicherheitstests sind sogenannte Penetration-Tests. Diese finden in den Produktivumgebungen statt und sollen Aussagen zum Grad der Sicherheit in produktiven Gesamtsystemen validieren. Die Grundidee hinter dieser Art des Testes ist es, die Sicht des Angreifers einzunehmen, kreativ und auch unkonventionell vorzugehen. Demnach sind die meisten Penetration-Tests eher Blackboxtests. Die Angreifer kennen normalerweise weder Interna noch Entwicklungsdokumente. Im Laufe der Zeit entwickelten sich jedoch auch Whiteboxtest-Verfahren. Das Testteam erhält für den Penetration-Test Einblick in die Dokumentation. Dieses erhöht die Qualität der Angriffe und damit die Aussagekraft der Tests. Auch kann bei Insiderattacken, nach Social-Engineering oder bei Einsatz von gut dokumentierten Fremdkomponenten angenommen werden, dass Täter sich auch internes Wissen verschaffen können, bzw. nicht alles erforderliche Wissen geheim gehalten werden kann.

In der Phase des Einrichtens und des Betriebes der Software können ebenfalls Maßnahmen ergriffen werden, die den Einsatz der Software sicherer gestalten. Zu diesen gehören Härtungsmaßnahmen im Hard- und Softwarebereich, etwa das Entfernen von nicht genutzten Komponenten, das Löschen von Standardusern oder das Ändern von Standardpasswörtern, aber auch die sichere Gestaltung und Überprüfung der Software-Service und Betriebsprozesse.

Gegenmaßnahmen in Infrastruktur und Produktion:

Auch sicher erstellte Software kann angegriffen werden. In einer Bedrohungsanalyse werden häufig Risiken ermittelt, gegen die im produktiven Betrieb Maßnahmen ergriffen werden müssen. So muss die Software vor Veränderungen und Manipulationen geschützt werden. Angriffswege sind Systemschnittstellen und Netzwerkinfrastruktur. Mögliche Gegenmaßnahmen sind etwa:

  • Raumsicherungsmaßnahmen: Diese Maßnahmen schränken den physischen Zugang zum System ein und erschweren dadurch derartige Angriffe.
  • Zugriffskontrollsoftware: Sogenannte Whitelisting-Lösungen identifizieren ungewollte Funktionen und Aufrufe, durch Check gegen eine Liste mit erlaubten und erwünschten Funktionen und verhindern die Ausführung ungewollter Funktionen. Dieser Ansatz wehrt auch Angriffe erfolgreich ab, die vorab nicht im Detail bekannt sind. Oft können Kontrollmöglichkeiten etwa für USB-Devices integriert werden.
  • Festplattenverschlüsselungen: Reengineering-Angriffe werden auf diese Weise erschwert, darüber hinaus runden Verschlüsselungen den Schutz von Whitelisting- und Zugriffskontrollmöglichkeiten ab. Ist die Festplatte im Betrieb schützt das Whitelisting vor Angriffen, andernfalls die Festplattenverschlüsselung, so dass sich die Schutzwirkungen ergänzen.
  • SB-spezifische Abwehrmaßnahmen: Spezielle, häufig hardwareseitig implementierte Lösungen, die vor Skimming-Vorbauten schützen. Mit Skimming bezeichnet man das Ausspähern von Geheimzahlen oder Legitimations-Kennworten.

Übergreifende Sicherungsmaßnahmen

Die Abwehr kann auch auf der Ebene der beteiligten Zahlungssysteme und Kartenschemata organisiert werden. Ein gutes Beispiel für diesen Ansatz ist der zunehmende Einsatz der Chip-Technologie. Diese ersetzt mehr und mehr den Magnetstreifen. Chips sind deutlich schwerer zu duplizieren als Magnetstreifen. Der dadurch erhöhte Aufwand für erfolgreiche Skimming-Attacken führte zu einer Stagnation dieser Angriffsart.

Analog zum Prinzip des sicheren Standards gehen Banken auch vermehrt dazu über, Verfügungsmöglichkeiten gezielt nach dem ausdrücklichen Wunsch des Kunden zu erweitern. Bankkarten, die der Kunde zum Einsatz im Ausland gezielt für bestimmte Länder freigibt oder kundenindividuelle Limits sind gute Beispiele für diese Herangehensweise.

Security Services bei der S&N AG:

Die S&N AG fasst Sicherheit als ein wichtiges Qualitätskriterium in der Softwareentwicklung auf. Zertifizierte Mitarbeiter setzen diesen Ansatz auch in Kundenprojekten um. Die Bandbreite umfasst zahlreiche Aspekte dieser Darstellung, von der Erhebung von Sicherheitsanforderungen und der Erstellung von Bedrohungsanalysen, über die Entwicklung von Software bis hin zu Penetration-Tests. Auch die Auswahl und Ausschreibung von Sicherungssystemen, Customizing und Betrieb stehen im Fokus. Die Integration in IT-Enwicklungs- und Betriebsprozesse sorgt für Synergien und reduziert die Aufwände. Nutzen sie die Erfahrung und Kompetenz der S&N AG als Erfolgsfaktor in ihrem Business.

Ansprechpartner: Wolfgang Eckers; Turn on Javascript!