Vertraue niemandem – so oder so ähnlich lautet die oft wiederholte Warnung von Datensicherheitsexperten. Man solle bitte niemals Links oder Anhänge anklicken, deren Absender einem unbekannt seien. Und bitte ausschließlich Anwendungen aus vertrauenswürdiger Quelle oder seriösen App-Stores installieren! Bald wird auch das nicht mehr helfen. Denn Hacker setzen jetzt viel weiter oben, oder – je nach Perspektive – hinten in der Versorgungskette an: Maleware gelangt so in Anwendungen von vertrauenswürdigen Verkäufern, bevor überhaupt jemand auf Installieren geklickt hat.
Gerade erst hat Ciscos Sicherheitsabteilung Talos aufgedeckt, dass das beliebte kostenlose Computer-Reinigungstool CCleaner schon seit mindestens einem Monat in sabotierter Version zur Gefahr wurde: Hacker hatten eine Hintertür in Sicherheitsupdates eingefügt, die dann auf lauter Privatcomputern landete. Da ging nicht nur das Kundenvertrauen in den CCleaner-Entwickler Avast verloren, sondern im Grunde gleich das Vertrauen in Softwarefirmen generell. Immerhin war hier ein vollkommen unverdächtiges und millionenfach genutztes Programm mit Malware ausgestattet worden – noch dazu eines, das ausgerechnet von einer der Sicherheit verpflichteten Firma angeboten wurde.
Diese Art von Vorfällen häufen sich. Im vergangenen Vierteljahr haben Hacker es nachweislich drei Mal geschafft, die digitale Versorgungskette zu infiltrieren. Jedes Mal wurde Schadcode im firmeneigenen Updatesystem platziert und so quasi ein vertrauenswürdiger Absender gekapert, um bei den Empfängern Schaden anzurichten.
„Bei diesen Attacken zeigt sich ein beunruhigender Trend“, sagt Craig Williams, Leiter des Talos-Teams. „Die Angreifer wissen, dass sie lediglich weiche Ziele ausfindig machen müssen, Unternehmen ohne viele Sicherheitsvorkehrungen nämlich, um dann ganz einfach den Nutzerstamm zu kapern.“ Je öfter das geschehe, desto mehr Nachahmer finde diese Methode.
Laut Avast wurde die verseuchte Version der CCleaner-App seit August mehr als 2,27 Millionen Mal installiert, bis sie letzte Woche von Cisco entdeckt wurde. Die israelische Sicherheitsfirma Morphisec hatte Avast übrigens bereits Mitte August auf das Problem hingewiesen. Avast signiert Installationen und Updates für CCleaner, damit Betrüger die Downloads nicht ohne den fälschungssicheren kryptographischen Schlüssel nachahmen können. Die Hacker haben den Entwicklungsprozess jedoch offensichtlich noch vor der Signatur infiltriert, weshalb Avast die Malware abgesegnet und für die Nutzer freigegeben hat.
Erst zwei Monate zuvor hatten Hacker eine ähnliche Schwäche in der Versorgungskette ausgenutzt, um eine Schadsoftware – NotPetya – vor allem in der Ukraine, aber auch in anderen europäischen Ländern, und in den USA zu verbreiten. NotPetya nistete sich in den Updatemechanismus einer eher unbekannten, in der Ukraine aber populären Buchhaltungssoftware namens MeDoc ein. Der Updatemechanismus wurde genutzt, um den Virus in andere Firmennetzwerke zu streuen. NotPetya legte dadurch den Betrieb in Hunderten von Unternehmen lahm, von ukrainischen Banken und Kraftwerken bis hin zur dänischen Schifffahrtsgruppe Maersk und dem amerikanischen Pharmazie-Konzern Merck.
Die Menschen werden besser darin, für ihren eigenen Schutz zu sorgen.
Einen Monat später deckten Experten der russischen Sicherheitsfirma Kaspersky eine ähnliche Attacke auf, die sie Shadowpad nannten: Hacker hatten eine Hintertür eingebaut, durch die es möglich war, Malware in hunderte von Banken, Energieunternehmen und Arzneimittelhersteller durch infizierte Software einzuschleusen. Diese wurde von der südkoreanischen Firma Netsarang verbreitet, die Managementtools für Unternehmen und Netzwerke anbietet.
„ShadowPad ist ein Beispiel dafür, wie gefährlich und großflächig eine erfolgreiche Attacke auf Versorgungsketten sein kann“, schrieb Kaspersky-Analyst Igor Soumenkov zum Zeitpunkt des Angriffs. „Angesichts der hohen Reichweite und Datenmengen, die diese Art von Attacke den Angreifern bietet, wird sie sicherlich immer wieder kopiert werden bei anderen vielgenutzten Software-Komponenten.“ Kaspersky selbst hat mit eigenen Vertrauensproblemen bei seiner Software zu kämpfen. Das US-Heimatschutzministerium hat deren Nutzung in den US-Regierungsbehörden mittlerweile verboten und auch der Handelsgigant Best Buy will die Software nicht mehr verkaufen. Es besteht der Verdacht, dass die Software von Kasperskys mutmaßlichen Partnern in der russischen Regierung missbraucht wird.
Attacken auf Versorgungsketten sind in den letzten Jahren immer wieder vorgekommen. Aber die häufigen Vorfälle in diesem Sommer verdienten es, genauer hinzusehen, sagt Jake Williams, Forscher und Berater der Sicherheitsfirma Rendition Infosec. Williams argumentiert, dass der Grund, weshalb sich Hacker nun auf Punkte weiter oben in der Verteilungskette konzentrieren, teilweise an verbesserter Nutzersicherheit liege. Und der Tatsache, dass Firmen manche bis dahin einfachen Wege zur Virusverbreitung geblockt haben: Firewalls sind heutzutage fast universal und Firmen installieren zunehmend ihre Sicherheitsupdates zeitgerecht, wenn auch nicht immer. Deshalb ist es nicht mehr ganz so leicht wie früher einmal, verwundbare Stellen in Applikationen wie Microsoft Office oder bei PDF-Readern zu finden. „Die Menschen werden besser darin, für ihren eigenen Schutz zu sorgen“, sagt Williams. „Aber diese neuen Softwareattacken brechen mit allen bisherigen Mustern. Sie passieren Antivirustests und generelle Sicherheitschecks. Und manchmal werden die Updates selbst zum Angriffspunkt.“
Gutes Verhalten wird bestraft.
In einigen Fällen setzen die Angriffe noch weiter oben in der Versorgungskette an, indem sie nicht nur Softwarefirmen statt Konsumenten angreifen, sondern auch Entwicklungstools, die von Programmierern genutzt werden. Ende 2015 wurde eine falsche Version des Apple-Entwicklungstools Xcode auf Seiten verbreitet, die regelmäßig von chinesischen Programmierern besucht werden. Und erst letzte Woche gab es einen ähnlichen, wenn auch weniger gravierenden Fall, als die slowakische Regierung Python-Entwickler davor warnte, dass ein Code-Depot - bekannt als Python Package Index oder PyPI - mit einem schadhaften Code infiziert wurde.
Diese Art von Attacken auf Versorgungsketten seien besonders heimtückisch, weil sie gegen jedes grundlegende Sicherheitsmantra für Computernutzer verstoßen, sagt Craig Williams von Cisco. Jetzt werden unter Umständen auch diejenigen, die sich an vertrauenswürdige Quellen halten, genauso verletzlich wie die, die weniger bedacht klicken und downloaden. Das gilt insbesondere dann, wenn die unmittelbare Quelle der Malware eine Sicherheitsfirma wie Avast ist. „Die Leute vertrauen den Softwarefirmen und wenn ihnen so geschadet wird, geht dieses Vertrauen verloren“, sagt Williams. „Gutes Verhalten wird bestraft.“
Die Attacken lassen Konsumenten wenig Möglichkeiten, sich selbst zu schützen, sagt Williams. Man kann sich zwar grob über die internen Sicherheitspraktiken der Softwarefirmen und Bauweisen der verschiedenen Anwendungen informieren, um abzuwägen, ob sie leicht zu infizieren sind. Aber für die durchschnittlichen Nutzer sind diese Informationen kaum zugänglich oder transparent. Letztendlich muss auch die Verantwortung, die Nutzer vor diesen zunehmenden Attacken zu schützen, in der Versorgungskette hochgereicht werden – zu den Unternehmen, die selbst ja auch ihre eigene Schwachstelle an ihre Kunden weitergegeben haben.
