24.08.2015

Wie digitale Signaturen gegen Schadprogramme helfen

Schadsoftware wird zunehmend als Fehlerbehebung getarnt. Updates, die eigentlich die Sicherheit erhöhen, werden so zum Datenrisiko. Digitale Signaturen sollen deshalb die Echtheit von Software beweisen. Doch die Wirklichkeit kann anders aussehen.

Achtung, auch digitale Signaturen können gefälscht sein

Gefälschte Updates: Angriff statt Aktualisierung

Mancher Sicherheitshinweis hat ungeahnte Folgen: Sicherlich raten Sie schon lange dazu, regelmäßig Fehlerbehebungen und andere Updates einzuspielen. Schließlich würden sonst Sicherheitslücken offen bleiben und Attacken von Datendieben ermöglichen. Leider können aber im Zuge von Aktualisierungen ebenfalls Angriffe stattfinden: Datendiebe gehen vermehrt dazu über, ihre Schadsoftware als Updates oder andere legitime Software zu tarnen.

Nun wäre es falsch, deshalb auf Updates zu verzichten. Wichtig ist es aber, das eigene Patch-Management zu überdenken.

Jede Installation auf Malware prüfen, auch Updates

Teil des Patch-Managements muss es sein, Updates genau wie jede andere Software-Installation kritisch zu hinterfragen und auf Malware-Verdacht zu prüfen. Sicherlich drängt bei vielen Updates die Zeit, doch ohne Malware-Scanning sollten keine Updates eingespielt werden.

Allerdings reichen reine Malware-Prüfungen nicht aus: Updates müssen keine Trojaner oder andere Schadsoftware enthalten, um gefährlich zu sein. Gefälschte Updates können auch einfach ohne jede Funktion sein. Die Nutzer glauben die Sicherheitslücke behoben zu haben – doch in Wirklichkeit besteht die Schwachstelle weiterhin.

Jede Software und jedes Update auf Echtheit prüfen

Updates müssen also nicht nur frei von Malware sein. Sie müssen auch vom tatsächlichen Softwareanbieter stammen. Genau wie im Social Engineering oder bei Phishing-Attacken täuschen Angreifer auch bei der Verteilung von Updates und Software im Allgemeinen Identitäten vor, um ihre Attacken heimlich starten zu können.

Es liegt deshalb nahe, die Identität von Software-Herausgebern zu überprüfen, und zwar mit Hilfe von digitalen Signaturen. Werden Updates und andere Formen von Software elektronischl signiert, dann können Anwenderunternehmen diese Signaturen prüfen, um Fälschungen und Manipulationen zu erkennen.

Selbst signierte Updates können gefälscht werden

Leider reicht aber auch das nicht. Denn so sinnvoll die digitale Signatur für die Prüfung der Echtheit von Software sein kann, wirklichen Schutz kann selbst das nicht bieten:

  • Zum einen könnte es Angreifern gelingen, beim Anbieter selbst die Updates zu manipulieren, die darauf folgende Signatur würde dann die Quelle bestätigen, eine Schadfunktion könnte aber trotzdem enthalten sein.
  • Aber auch die Zertifikate selbst könnten gestohlen sein.

Bösartige Software wird mit gestohlenen Zertifikaten signiert

Nach Erkenntnissen von Kaspersky Lab hat sich die Anzahl nicht vertrauenswürdiger Zertifikate zur Signierung von gefährlicher Software im Jahr 2014 im Vergleich zum Vorjahr verdoppelt. So enthielt die Antiviren-Datenbank des IT-Sicherheitsanbieters Ende des vergangenen Jahres mehr als 6.000 nicht vertrauenswürdige und daher gefährliche Zertifikate. Es gibt zahlreiche Beispiele, wie Cyberattacken auf Basis gestohlener oder gefälschter Zertifikate erfolgten. So nutzte laut Kaspersky der berüchtigte Stuxnet-Wurm von Realtek und JMicron gestohlene Zertifikate.

Will der Softwareanbieter also die Echtheit von Updates und generell von Software mit Hilfe digitaler Zertifikate bestätigen und wollen Softwareanwender dies entsprechend prüfen, muss die Echtheit und Zuverlässigkeit der Zertifikate geklärt sein. Können die Zertifikate gestohlen werden, lassen sich damit auch Schadprogramme perfekt als legitime Software tarnen.

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)