Credit Suisse: Welche Risiken drohen der gesamten IT-Infrastruktur?

Unter den bisher je entdeckten Online-Sicherheitslücken wird diese als eine der Gravierendsten eingeschätzt, deutlich schwerwiegender als der «Heartbleed»-Bug, welcher IT-Sicherheitsexperten im April 2014 tief beunruhigte. Der Financial Times zufolge wurde das Ausnutzungspotenzial von Shellshock von der National Cyber Security Division des Department of Homeland Security (DHS) mit 10 auf einer Skala von 1 bis 10 eingestuft. Auch die möglichen Auswirkungen sowie der Schweregrad insgesamt wurden mit 10 von 10 veranschlagt – der höchstmöglichen Bewertung. Zum Vergleich: Heartbleed wurde insgesamt «nur» mit 5 eingestuft. Die Sicherheitslücke betrifft die sogenannte «Bash Shell», ein frei verfügbares Open-Source-Softwareprogramm, das in zahlreichen Unix- und Linux-Systemen breite Anwendung findet.

Was ist «Shellshock»?

Das betroffene Programm wurde 1987, lange vor dem wirtschaftlichen Durchbruch des Internet, von Brian J. Fox geschrieben, damals noch ein junger Programmierer. Heute wird diese Software in über 70 % der mit dem Internet vernetzten Geräte verwendet, darunter Server, Computer, Router, Mobiltelefone und sogar Geräte wie Kameras und Kühlschränke. Am 24. September 2014 sprachen IT-Sicherheitsexperten die Warnung aus, dass Bash einen besonders besorgniserregenden Softwarefehler namens «Shellshock» enthielt: Ein Teil des Programms könnte dazu genutzt werden, die weltweite Kontrolle über Millionen von Geräten zu erlangen, möglicherweise auch über PCs oder Smartphones. Unglücklicherweise ist das fehlerhafte Programm weit verbreitet. Viele Internetdienste wie Webserver nutzen Bash, um bestimmte Anfragen zu verarbeiten. Ein Angreifer könnte anfällige Versionen von Bash dazu veranlassen, beliebige Befehle auszuführen. Somit könnte der Angreifer die Sicherheitslücke ausnutzen, um sich unbefugt Zugang zu einem Computersystem zu verschaffen. Der Fall Shellshock legt Vergleiche mit dem Heartbleed-Bug nahe, der im letzten Frühjahr in einer wichtigen Softwarekomponente entdeckt wurde. Shellshock hat jedoch das Potenzial, zu einer noch grösseren Bedrohung zu werden: Während Heartbleed ausgenutzt werden konnte, um zum Beispiel Passwörter auf einem Server auszuspähen, könnte mit Shellshock die Kontrolle über das gesamte System übernommen werden – auch ohne Benutzername und Passwort. Heartbleed blieb zwei Jahre lang von IT-Sicherheitsexperten unbemerkt und betraf schätzungsweise 500'000 Geräte, Shellshock hingegen wurde erst nach über 22 Jahren entdeckt. Weniger als 24 Stunden nach der Aufdeckung von Shellshock begannen Hacker bereits mit entsprechenden Botnet-Angriffen.

Die vollständige Mitteilung im pdf-Dokument