Ein Informationsdienst der besonderen Art

Security-Experten an Rechnern, Tastaturen klackern. Auf einem Bildschirm sieht man eine Liste möglicher Softwareschwachstellen für in Java geschriebene Webapplikationen, auf anderen Internetforen, E-Mails oder auch viele, viele Zeilen Code. Im dritten Stock des Ulmenhauses – benannt nach den vor dem Gebäude gepflanzten Bäumen – der Siemens Corporate Technology (CT) in München Neuperlach findet sich ein Informationsdienst der besonderen Art. „Wir aggregieren Nachrichten über Schwachstellen“, sagt Lukas Braune, Sicherheitsexperte des Siemens „Security Vulnerability Monitoring“ (SVM)-Team. „Wir sind ständig auf der Suche nach neuen Informationen über Sicherheitslücken in von Siemens und anderen Firmen genutzten Software- und Hardwarekomponenten. Die analysieren wir und teilen sie dann mit den Produktverantwortlichen.“

Für die Industrie gehören Schwachstellen zu den größten Problemen. Manager in führenden Industriestaaten sehen, laut einer Umfrage des Weltwirtschaftsforum 2018, Cyberangriffe als das größte Risiko für ihre Unternehmen an. Bei Siemens wurde deshalb im Oktober 2018 die Organisation ‚Cybersecurity‘ gegründet. Ihre Aufgabe: den Schutz der IT-Infrastruktur, der Siemens-Produkte und damit der Kunden zu unterstützen.

Für Produkte ist dabei das ProductCERT (Product Computer Emergency Response Team) zuständig, zu dem auch SVM gehört. Das SVM-Team, das den Dienst mittlerweile seit über zehn Jahre betreibt, hält permanent Aussicht nach Informationen zu Schwachstellen in tausenden Soft- und Hardwarekomponenten, die in Siemens-Produkten verbaut sind oder in der IT-Infrastruktur von Siemens verwendet werden. „Veraltete Software mit bekannten Sicherheitslücken ist eines der Haupteinfallstore für Angriffe“, sagt Klaus Lukas, Leiter des ProductCERTs. „Daher ist die schnelle Information über Schwachstellen in verwendeten Zulieferkomponenten ein wichtiges Sicherheitsthema, damit die Verantwortlichen ihre Produkte und IT-Infrastrukturen ständig aktuell halten können.“

Der Dienst beobachtet Open-Source-, kommerzielle Software und Hardwarekomponenten über ihren gesamten Lebenszyklus auf Schwachstellen hin. Auf der Suche nach Hinweisen auf neue Sicherheitslücken durchforsten Lukas Braune und seine Kollegen im SVM-Team nicht eigens jede erdenkliche Webseite. Stattdessen haben sie eine am Markt einmalige Monitoring-Infrastruktur entwickelt, die relevante Quellen wie offizielle Security Advisories und Communities, aber auch die hintersten Ecken des Internets nach verfügbaren Informationen durchforstet.

Werden sie fündig, wenden sie zwei Bewertungsskalen an. Die eine ist eine Kritikalitätsskala, bei der durch die Farben Rot, Orange oder Gelb auf einen Blick ersichtlich ist, wie gefährlich eine Lücke ist. Dann gibt es die weitläufig verwendete CVSS (Common Vulnerability Scoring System)-Bewertung, die von 0 für unkritisch bis 10 für brandgefährlich reicht. Dabei sind beide Maßstäbe hilfreich, denn mitunter kann es passieren, dass CVSS eine Schwachstelle als weniger kritisch ansieht als die Expertenbewertung des SVM-Teams.

Das war beispielsweise 2014 bei der Sicherheitslücke ‚Heartbleed‘ der Fall, die in der Open Source-Bibliothek OpenSSL bei Siemens unter anderem zur Kommunikationsabsicherung von Maschinen und Fertigungsanlagen eingesetzt wird. „Heartbleed beeinträchtigte damals nach Sicht des CVSS-Verfahrens die Vertraulichkeit gespeicherter Daten nur teilweise. Folglich gab es nur eine 5 auf der Skala. Was die Bewertung nicht berücksichtigte, waren die verheerenden Folgen für darüber liegende Applikationen“, erklärt Braune. „Unsere individuelle Expertenbewertung hat das damals zurechtgerückt.“

Stößt ein Mitglied des SVM-Teams auf eine solche Lücke in einer seiner Informationsquellen, bewertet es sie nach Plausibilität. In dieses Urteil fließt die Vertrauenswürdigkeit der Quelle ebenso ein wie mitunter auch eine Analyse des Codes selbst. Doch ehe eine Mitteilung erstellt wird, kommt noch das Vier-Augen-Prinzip zum Zuge. Ein zweiter Security-Experte begutachtet die Meldung. „Erst wenn der zustimmt, dann wird aus dem, was wir intern einen ‚Hit‘ nennen, eine ‚Security Notification‘“, sagt Braune.

Die Analysten des SVM-Teams sind dabei überraschend nicht Spezialisten für die jeweiligen Branchen, die Schwachstellen betreffen, seien es Gebäudeautomatisierung oder Energieerzeugung. „Die Softwareapplikationen sind in aller Regel für verschiedenste Industriebereiche relevant“, erklärt Braune. „Wichtig hingegen sind fundierte Kenntnisse über unterschiedlichen Typen von Schwachstellen.“

Sie reichen von Einfallstoren für Denial-of-Service-Attacken über die Möglichkeit, aus der Ferne fremden Code in ein System einzuschleusen, bis hin zu Schleichwegen, die es ermöglichen, online Authentifizierungsprozesse zu umgehen. Darüber hinaus vermerkt es das SVM-Team auch, wenn Hersteller für manche Komponenten keinen Service und damit auch keine Sicherheitsaktualisierungen mehr anbieten. Dann wird es für die Benutzer höchste Zeit, diese Komponente mit einer noch unterstützten Komponente zu ersetzen.

Monatlich verschickt das SVM-Team so Informationen über 1.000 Schwachstellen an die Produktverantwortlichen – sei es in einer der Geschäftseinheiten von Siemens oder auch Siemens-externe Unternehmen, die den SVM-Service ebenfalls nutzen. „Je nach ihrer Einschätzung der Kritikalität können sie dann zeitnah für eine Lösung sorgen.“, sagt Braune.

11.06.2019

Hubertus Breuer

Bildquellen: Siemens AG