Dennis Knake
Publiziert am 14. Oktober 2014 von unter:

Sicherheitsleck Shellshock: Wettlauf gegen die Zeit

Fragen Sie mal einen IT-Verantwortlichen in Ihrem Haus, ob seine Systeme 100-prozentig sicher sind. Handelt es sich dabei um einen seriösen Kollegen, werden Sie niemals ein „Ja“ zu hören bekommen. Es liegt in der Natur der Sache, dass in der heutigen komplexen IT-Welt immer wieder Schwachstellen aufgedeckt werden, die Systeme angreifbar machen. Dann heißt es: blitzschnell reagieren. Systeme prüfen, aktualisieren, abermals prüfen. „Shellshock“ war wieder so ein Moment.

Seit über 30 Jahren gibt es die so genannte „Bourne Again Shell“ oder kurz „Bash“. Ein Kommandozeileninterpreter für die Betriebssysteme unter Linux/Unix aber auch Apple Mac und OS X. Mit dem Programm lassen über Textbefehle Kommandos auf den betreffenden Systemen ausführen.

Linux/Unix-Systeme sind besonders auf dem Servermarkt starkt verbreitet. Ob Web- oder  Datenbankserver, aber auch in Hardwarekomponenten wie Routern oder Speichersystemen findet sich das Betriebssystem wieder. Und wenn nun in eben diesem Betriebssystem eine Sicherheitslücke auftaucht, sind all diese Komponenten potenziell angreifbar. Im Grunde könnte ein Angreifer damit von der Webseite bis zur Datenverbindung alles lahmlegen oder, wenn er sich clever anstellt, Informationen abgreifen, ohne dass es der Besitzer überhaupt so schnell bemerkt. Er muss lediglich die Schwachstelle nutzen um die Systeme zu kapern und nach seinem Gusto abzuändern.

Gefahrenstufe 10 von 10

Das National Institute of Standards and Technology, kurz NIST, bewertet die Gefahrenstufe der Bash-Schwachstelle mit der maximalen Punktzahl 10. Zum Vergleich: Beim erst vor kurzem aufgetauchten Sicherheitsleck „Heartbleed“ wurde lediglich eine 5 vergeben. Mit Shellshock ist also nicht zu spaßen.

Normalerweise werden Sicherheitslücken in Security-Kreisen wie Staatsgeheimnisse gehütet und nach Bekanntwerden zunächst höchst vertraulich weitergegeben. Nicht, weil man etwas vertuschen möchte. Man möchte einfach vermeiden, dass die Kenntnis über ein Problem die Öffentlichkeit erreicht, bevor man Zeit hatte, diese Lücke zu schließen.

Bei „Shellshock“, das auch „Bashbleed“ genannt wird, hat das nicht funktioniert. Noch bevor alle Patches zum Stopfen der Sicherheitslücke fertig waren, machte das Problem in den Medien die Runde. Es begann ein Rennen gegen die Zeit. Wer ist schneller? Der Angreifer oder der betroffene Diensteanbieter?

Bei QSC arbeiteten die Kollegen der IT nach Bekanntwerden der Lücke im Dauereinsatz. In den Rechenzentren von Hamburg über Nürnberg bis München sowie im bundesweiten Netzbetrieb wurden jedes System – vom Server bis hinunter zum einfachen Router – auf seinen aktuellen Status hin überprüft.

Dabei mussten die Kollegen zunächst einmal feststellen, ob die jeweiligen Betriebssysteme der in Frage kommenden Komponenten überhaupt betroffen sind. War dies der Fall, mussten umgehend die Sicherheitspatches eingespielt werden.  Dabei wurden in der gesamten Zeit die Systeme besonders stark auf ungewöhnliches Verhalten überwacht. Auffälligkeiten hat es dabei jedoch nicht gegeben.

Mission accomplished!?

Doch auch, nachdem QSC nun alle eigenen Systeme aktualisiert und damit eine Kompromittierung über die Shellshock-Lücke ausschließen kann, ist die Zeit zum entspannten Zurücklehnen nicht gekommen. Als Rechenzentrumsbetreiber haben auch viele Kunden eigene Server bei QSC untergebracht. Diese unterliegen vollumfänglich der Kundenverantwortung und sollten auch hier, sofern noch nicht bereits geschehen, umgehend auf Verwundbarkeit überprüft werden.

Die Zeit drängt!

 

 

 

Drucken

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Um die Diskussionsqualität zu wahren, veröffentlichen wir nur noch Kommentare mit nachvollziehbarem Vor- und Nachnamen sowie authentischer E-Mail-Adresse. Bitte beachten Sie zudem unsere Social Media Guidelines.