IT-Rückblick 2021: IT-Sicherheit, Zero-Day und Hafnium
In unserer Serie „IT-Rückblick 2021“ beschäftigen wir uns mit den interessantesten und gefährlichsten IT-Sicherheitslücken des letzten Jahres, heute: Zero-Day und Hafnium. 2021 war kein gutes Jahr für die IT-Sicherheit und zeigt einmal mehr, dass man IT-Security als stetigen Prozess sehen muss. Die Verteidigung gegen Angreifer muss durchgehend aufgefrischt werden, sonst verrottet Sie wie eine alte unbemannte Burgmauer.
Der Alptraum schlechthin: Zero-Day und IT-Sicherheit
Gegen bekannte Sicherheitslücken gehen die Hersteller einer Software meist sehr schnell vor oder haben das Problem bereits erkannt. Ein entsprechender Patch schließt die Sicherheitslücke und das Programm kann zunächst weiter eingesetzt werden. Gerade aus diesem Grund ist es wichtig, moderne IT-Systeme auf dem neuesten Stand zu haben und zu halten. Kontinuierliche Verbesserung ist hier der Schlüssel für einen stabilen und sicheren Betrieb der IT-Systeme.
Ein massives Problem entsteht aber gerade durch einen sogenannten „Zero-Day“. Der englische Begriff geht dabei darauf ein, dass die hier ausgenutzte Sicherheitslücke seit null Tagen (zero days) bekannt ist, zumindest dem Hersteller und der Öffentlichkeit. Daher gibt es keinen Patch oder eine Übergangslösung, um diese Lücke zu schließen. Sie war schlicht nicht bekannt. Der weltweit aufsehenerregendste Fall eines Zero-Day-Exploits ist sicherlich Stuxnet. Hier wurden gleich mehrere Zero-Day Schwachstellen genutzt, um Produktionsanlagen zu stören und unerwartete Befehle auszuführen.
Zero Day und Hafnium, was geschah?
Anfang März wurden insgesamt 4 relevante Sicherheitsmängel, also “Zero-Days” bei Microsoft Exchange Servern festgestellt. Diese wurden mutmaßlich von der Hackergruppe Hafnium genutzt um systematisch tausende von Exchange Servern zu scannen und zu infiltrieren. Da es nach Recherchen darum ging, eine „Backdoor“ (Hintertür) in die Systeme einzubauen kann nicht abschließend geklärt werden, wie stark sich diese Sicherheitslücke in Zukunft noch auswirken wird.
Microsoft reagierte nach einigen Einschätzungen zwar langsamer als gewünscht, aber die ausgenutzten Sicherheitslücken sind geschlossen worden. Durch mehrere Sicherheitspatches wurde sichergestellt, dass der Zero-Day-Exploit nun nicht mehr nutzbar ist.
Richtige IT-Sicherheit heißt Kontinuität
Richtige, also zuverlässige IT-Sicherheit, ist ein Wunsch und Versprechen aller mit IT-Systemen betrauter Personen. Neben der zum Standard gehörenden Technik, wie einer Firewall, sind aber auch konzeptionell einige Punkte zu beachten. Das magische Dreieck aus Kosten, Zeit und Qualität gilt natürlich auch für diesen Bereich professionellen Handelns. So ist gerade in Hinblick auf den Zeitfaktor sofort ersichtlich, dass es keinen absoluten Zustand der Sicherheit in einem dynamischen System geben kann. Bei einem Zero-Day-Exploit ist die Zeitkomponente derart verzerrt, dass eine korrekte (qualitative) Bekämpfung sofort hohe Ressourcenverbräuche generiert. Eine gute IT-Sicherheitspolitik setzt daher auf kontinuierliche Verbesserung und Anpassung an ein dynamisches Bedrohungsumfeld. Systeme dürfen nicht unbetreut betrieben werden. Erst in Aktion zu treten, wenn etwas nicht mehr funktioniert führt unweigerlich zur Katastrophe. Effektives und effizientes Handeln zeichnet sich durch Kontinuität aus. Lesen Sie hierzu auch die Stellungnahme von Dirk Arendt von Trend Micro.