Die häufig zitierten Nachrichten aus dem IT-Security-Bereich nehmen 2019 rasant zu, meist wegen ihrer erschreckenden Inhalte. So haben wir in den vergangenen Wochen erfahren, dass zahlreiche günstige, hauptsächlich asiatische IP-Kameras und ähnliche IoT-(Internet of Things)-Geräte aufgrund einer integrierten P2P-(Peer to Peer)-Kommunikationsbibliothek aus Sicherheitsgründen am besten komplett außer Betrieb genommen werden sollten. Das offizielle Container Repository, Docker Hub, meldet einen unberechtigten Zugriff auf eine interne Datenbank, weshalb 190.000 Nutzer ihr Passwort sicherheitshalber ändern sollten. Google hat zahlreiche sehr populäre Android-Apps einer chinesischen Tochter von Baidu gesperrt, deren Apps gezielten Werbebetrug begingen. Oracle musste einen Patch für seinen WebLogic Server außerhalb des normalen Zyklus’ veröffentlichen, nachdem die Zero-Day-Lücke als kritisch und remote nutzbar angesehen wurde. Eine kürzlich veröffentlichte und bereits gepatchte Lücke in der populären Kollaborationssoftware Confluence wurde für automatisierte Angriffe mit Varianten der GandCrab Ransomware(verschlüsselnde Malware mit Lösegeldforderung) genutzt. Ein Hacker nutzte unsichere Default-Passwörter, um sich Zugang zu Tausenden Konten von zwei GPS Tracking Apps zu verschaffen. Das BSI warnt vor gezielten Angriffen auf kleinere und mittlere Unternehmen mit Ransomware und den resultierenden Gefahren bis zum kompletten Datenverlust.
Wie deutlich zu beobachten ist, werden alle IT-Systeme auf allen Ebenen inzwischen permanent und oft auch erfolgreich angegriffen. Leider wird IT Security aber noch immer zu häufig nicht als integraler Bestandteil von IT-Projekten, sondern als optionaler, mit zusätzlichen Kosten verbundener, meist nachgelagerter Posten angesehen. Dabei sind doch viele Konzepte zur Sicherung von Systemen seit langer Zeit bekannt: die Sicherung durch Sandboxing, die Reduktion der Angriffsfläche, das Prinzip der geringsten Privilegien etc.
Seit ich auf der LinuxCon Europe 2014 einen Überblicksvortrag eines Intel-Ingenieurs zu Chromium OS und seiner konsequenten Sicherheitsarchitektur hörte, war ich beeindruckt von diesem nachhaltigen Fokus auf architektonische Sicherheit bei Chromium und Chromium OS. Dieser Fokus ist vermutlich auch einer der Gründe, warum sich, laut Kaspersky Lab, die erfolgversprechenden und lukrativen Angriffe zwischen 2016 und 2018 von den Browsern weg zu Office-Dokumenten verlagert haben. Und unabhängig von den Google-Diensten macht es Chromebooks inzwischen für sicherheitsbewusste Entwickler und Ingenieure interessant. Selbst wer Chromebooks aus funktionaler Sicht nichts abgewinnen kann, sollte sich zumindest die Sicherheitsarchitektur als Beispiel einer frühzeitigen und konsequenten Integration von Sicherheitsaspekten in ein IT-Projekt anschauen.
Herzlichst,
Christian Meder