Search Icon
Elektroniknet Logo
Search Icon

Schutz vor Malware

Bereiten Sie sich darauf vor, gehackt zu werden!

30. Januar 2023, 6:00 Uhr | Von Ian Ferguson
Es kommt nicht nur darauf an, Angreifern den Zugriff auf Systeme zu erschweren, sondern es gilt, Angriffe so früh wie möglich zu erkennen, um schnell Gegenmaßnahmen ergreifen zu können
© stock.adobe.com

Es kommt nicht nur darauf an, Angreifern den Zugriff auf Systeme zu erschweren, sondern es gilt, Angriffe so früh wie möglich zu erkennen, um schnell Gegenmaßnahmen ergreifen zu können.

Fast jede Woche lesen wir von einem vernetzten System, das kompromittiert wurde. Die Schätzungen über die Kosten von Cyberangriffen gehen weit auseinander, was zum Teil daran liegt, dass es einigen Unternehmen zu peinlich ist, öffentlich zuzugeben, dass sie gehackt wurden.

Diese Peinlichkeit ist nicht bloß unangebracht, sondern auch wenig hilfreich dabei, das Problem anzugehen. Unternehmen verleugnen oft die Tatsache, dass Ausmaß und Häufigkeit von Hackerangriffen, denen ihre vernetzten Systeme derzeit ausgesetzt sind, im Grunde bedeuten, dass es mehr oder weniger unvermeidlich ist, dass früher oder später ihre Abwehrmechanismen durchbrochen werden.

Daher müssen Unternehmen nicht nur die besten Sicherheitsvorkehrungen treffen, um ihre Systeme zu schützen, sondern auch ihre Reaktion auf einen erfolgreichen Hackerangriff planen. Dazu sollten Mechanismen gehören, die ein Eindringen so schnell wie möglich erkennen und dessen Ausmaß begrenzen und/oder es beenden.

Der Gedanke ist dem Ansatz nicht unähnlich, der beim Brandschutz in Gebäuden angewandt wird. Gebäudemanager müssen eine Reihe von Vorschriften einhalten, um zu verhindern, dass ein Feuer überhaupt ausbricht – beispielsweise die Verwendung nicht brennbarer Materialien und die Wartung von Elektrogeräten.

Es gibt jedoch noch weitere Vorschriften, die eine wirksame Reaktion bei Ausbruch eines Feuers gewährleisten sollen. So müssen Feuermelder für eine schnelle Warnung sorgen, Brandschutztüren den Brand eindämmen und Sprinkleranlagen die Auswirkungen des Feuers eindämmen und es im günstigsten Fall sogar löschen.

Neue Techniken wie KI, die zusammen mit etablierten Techniken wie Hypervisoren eingesetzt werden, können eine robuste Reaktion auf Hackerangriffe ermöglichen, wenn es einem Hacker gelungen ist, die Systemverteidigung zu überwinden.

Anbieter zum Thema

PHYTEC Meßtechnik GmbH
WIBU-SYSTEMS AG
Avnet Silica
MEV Elektronik Service GmbH
Matchmaker+
zu Matchmaker+

Sicherheit für vernetzte eingebettete Systeme

Infolge all dieser Aktivitäten ist die Cybersicherheit zu einem wichtigen Thema für Systementwickler geworden, die die nächste Generation von vernetzten eingebetteten Plattformen entwerfen. Eine Reihe von Anbietern wie ARM und Microsoft sind angetreten, um Blaupausen und Best Practices für die Entwicklung sicherer Plattformen bereitzustellen. Ein Beispiel hierfür ist die Reihe von Spezifikationen im Zusammenhang mit der Platform-Security-Architecture-Initiative, die von ARM vor einigen Jahren ins Leben gerufen wurde. Im Vorfeld wird ermittelt, welche Arten von Angriffen auf das System möglich sind, auf welche Informationen potenziell zugegriffen werden kann und welche Auswirkungen dies auf das System haben kann. Dies ist natürlich je nach Anwendungsfall unterschiedlich. Diese Bedrohungsanalyse hilft bei der Festlegung des Umfangs der Bemühungen und der Art der Strategie, die angewandt werden soll.

Zu den Techniken zur Abschwächung der Auswirkungen von Angriffen gehören auf hohem Niveau:

  • Isolierung: Sicherstellen der Trennung zwischen Anwendungen – idealerweise unter Verwendung von Hardware, um dies zu erzwingen –, um zu gewährleisten, dass im Falle einer Beeinträchtigung einer Anwendung die Auswirkungen auf das System auf einen bestimmten Bereich beschränkt sind und kritische Systemfunktionen nicht beeinträchtigt werden.
  • Least Privilege: Sicherstellen, dass eine Anwendung nur auf das absolute Minimum an Systemressourcen zugreifen kann, die zur Ausführung ihrer Funktion erforderlich sind.
  • Teile und herrsche: Übergang von einer monolithischen Softwarearchitektur zu einer Architektur, die eine Vielzahl anwendungsspezifischer Aufgaben umfasst.

Bei vielen Angriffen wird das Betriebssystem als Schwachstelle ausgenutzt. Wird dieses durchbrochen, besteht die Möglichkeit, direkt auf bestimmte kritische Ressourcen zuzugreifen und Speicherbereiche mit neuen Informationen zu überschreiben. Die Umstellung auf eine Architektur mit mehreren einfachen, dedizierten Anwendungen bietet die Möglichkeit, skalierbare, modulare Plattformen zu schaffen. Das Unternehmen Lynx verspricht sich viel von Techniken wie Unikernels, die nur im Benutzermodus laufen und somit den Befehlssatz eines Prozessors, auf den die Software Zugriff hat, einschränken. Diese Architekturen werden von Hypervisoren unterstützt.

Dies ist zwar zielführend und legt die Messlatte für die Cybersicherheit und die Immunität gegen Systemangriffe höher, doch reicht dies nicht aus, um die Angriffe, die den Schutz durchdringen, zu erkennen und rückgängig zu machen. Es muss verstärkt darauf geachtet werden, zu erkennen, dass ein System gehackt worden ist. Es gibt Berichte über Netzwerke, die monatelang, ja sogar jahrelang, gehackt wurden, bevor es jemand bemerkte. Zu oft wird das »Feuer« erst erkannt, wenn das »Gebäude« eine rauchende Ruine ist.

Eindringen erkennen

Wenn ein System gehackt wird, ist das Timing von entscheidender Bedeutung. Normalerweise brauchen Cyberhacker eine gewisse Zeit, um wertvolle Daten zu finden, sobald sie sich Zugang zu einem System verschafft haben. Wenn der Angriff schnell erkannt wird, besteht eine gute Chance, dass die meisten, wenn nicht alle potenziellen Schäden verhindert werden können. Daher muss der Systementwickler von heute für den Fall einer Kompromittierung seines Systems planen und die Technik anpassen:

  • auf die frühzeitige Erkennung dieser Tatsache – das Äquivalent zu einem Feueralarm
  • die Eindämmung – Brandschutztüren
  • die anschließende Rückführung des Systems in einen bekannt guten Zustand – Sprinkleranlage.

Es gibt zwei grundlegende Techniken zur Erkennung von Eindringlingen:

  1. Signaturbasiert: Es wird eine Datenbank mit bekannten Angriffsidentitäten erstellt und das System vergleicht sie mit diesen. Die Systeme können aber keine neuen Arten von Angriffen oder sogar einen bekannten Angriff mit einer geringfügigen Änderung der Signatur, erkennen.
  2. Anomalienbasiert: Hier wird ein Basismodell für das normale Verhalten des Systems definiert. Jede Aktivität, die außerhalb dieses Rahmens liegt, wird als Anomalie gekennzeichnet. Obwohl dies nach dem besseren Ansatz klingt – und die Exerten bei Lynx meinen, dass es auch so ist –, gibt es zwei wesentliche Herausforderungen zu bewältigen:
    1. Sammeln der Daten, um dem System beizubringen, wie »normales Verhalten« aussieht. In den vergangenen Jahren wurden zahlreiche vielversprechende Arbeiten zum Thema unüberwachtes Lernen veröffentlicht [1–3], d. h. das System lernt von Grund auf, wie normales Verhalten aussieht. Im Moment jedoch wählen die meisten Kunden den Weg, ein Datenmodell aufzubauen, indem sie Systeme in einer kontrollierten Umgebung laufen lassen.
    2. Da ein IoT extrem komplex sein kann, muss sichergestellt werden, dass es möglichst wenige Fehlalarme gibt, d. h. das System ist eigentlich in Ordnung, aber die Software zeigt an, dass das System kompromittiert wurde.
  1. Bereiten Sie sich darauf vor, gehackt zu werden!
  2. KI erkennt Eindringlinge
  3. Literatur

Verwandte Artikel

Lynx Software Technologies Europe

Man Spotting Vulnerable Cloud Container In Lineup

Softwareentwicklung für sichere Systeme

Unikernel: Virtualisierung trifft…

Tim Reed, neuer Chief Executive Officer von Lynx Software Technologies

Neuer CEO ernannt

Führungswechsel bei Lynx

Computer Technology: Close up of a computer chip on a circuit board. Light effect.

Systeme auf Multicore-Prozessoren

Multicore, Modularität, Konnektivität – und…