Schad-Software – und woran Hardware sie erkennt
Im Zusammenhang mit IT-Sicherheit und Hackerangriffen ist häufig von Schad-Software die Rede.
Was ist das eigentlich, Schad-Software? Klar, dass Viren, Trojaner, Würmer und Ransomware dazugehören, und andere Programmschnipsel, die in der Lage sind, Schwachstellen in der Software auszunutzen. Aber gibt es eine umfassende Definition? Eine der am besten gelungenen könnte diese sein:
Schad-Software ist Software, die entgegen der Absicht eines Nutzers in sein System eingebracht wird.
Diese Definition trifft nicht nur auf die schon erwähnten Spezies der Schad-Software zu, sondern auch auf „Schläfer“, die im Speicher ruhen, bis sie auf irgendein Ereignis hin aktiviert werden, auf dateilose (fileless) und auf wie auch immer kodierte Schad-Software,
Muss man, um Schad-Software zu erkennen, die Gedanken – die Absicht – des Nutzers erraten können? Keinesfalls – es reicht, zwei Grundsätze zu befolgen:
1. Dem Nutzer zuzutrauen, dass er weiß, was er will – und dass er das denn auch tut.
2. Allen Anderen das Installieren von Software unmöglich zu machen.
Zum ersten Grundsatz: Leider ist der Nutzer von IT-Systemen in dieser Hinsicht entmündigt worden: Inzwischen sind es die Dienstleister, deren Software er irgendwann einmal erworben hat, die bestimmen, welche Software zu einem bestimmten Zeitpunkt installiert ist. Das führt soweit, dass in Firmen und Organisationen, in denen viele Arbeitsplatzrechner die gleichen Software-Stände haben sollten, Abweichungen festgestellt wurden, die bis hin zur Inkompatibilität gereicht haben. Schuld daran waren ungleichmäßige Aufdatierungen der Software, die durch längere Abwesenheit der jeweiligen Mitarbeiter zu Stande kommen. Ungleichmäßige Aufdatieren ist auch eine Folge jüngerer Entwicklungen auf dem Software-Markt: Während früher Software auf Datenträgern gehandelt wurde, wird dieser Handel inzwischen häufig über das Internet abgewickelt; notwendige Änderungen werden in kurzen Zeitabständen nachgeliefert – früher gab es Datenträger mit neuer Software in wesentlich längeren Abständen.
Zum zweiten Grundsatz: Auch hier bleibt dem Nutzer kaum eine Wahl: Er muss kaufen, was am Markt verfügbar ist! Und das sind – von speziellen Produkten einmal abgesehen – Rechner, die über verschiedene Schnittstellen mit Software und Daten versorgt werden können: Über lokale Verbindungen zu anderen Geräten, über das Internet, über externe Speichermedien. Und diese Versorgung ist so gestaltet, dass sie nicht zwischen Software und zu bearbeitenden Daten unterscheidet. Gerade dieser Umstand ist es, der Hackern ihr Handwerk so leicht macht: Ein kleines, Stück Software, das Schaden anrichtet, versteckt in Daten oder E-Mail-Anhängen schlägt vielleicht erst zu, nachdem es weitere Software des Hackers vom Nutzer unbemerkt nachgeladen hat. Anti-Viren- und ähnliche Software hilft hier leider nicht weiter: Die Variabilität der Schad-Software ist so groß, dass keines dieser Programme die neuesten Versionen davon kennt, geschweige denn bereits eine Gegenmaßnahme bietet. Moderne Schad-Software ist so raffiniert, dass ein einmaliges „Zuschlagen“ bereits zum Ziel des Hackers führt; ein wiederholter Einsatz des gleichen Mittels beim selben System ist gar nicht mehr erforderlich.
Was sollte also getan werden, damit Schad-Software keinen Schaden anrichtet? Die beiden Grundsätze: Kontrolle über die installierte Software zu garantieren und Änderungen der Software durch Dritte zu verhindern, logisch miteinander verknüpfen! Wieder ergeben sich zwei Forderungen, und beide lassen sich in der Hardware umzusetzen:
a. Dem Nutzer für das Installieren von Software eine Schnittstelle anbieten, auf die nur er Zugriff hat! Also einen Software-Träger oder einen Stecker, eine Buchse, die nur für diesen Zweck vorgesehen ist, und sich von anderen so deutlich unterscheidet, dass eine Verwechselung nicht vorkommen kann.
b. Den Speicher des Rechners so gestalten, dass Software und zu bearbeitende Daten physikalisch sauber voneinander getrennt sind. Wird (Schad-) Software in das System eingebracht, kann sie ausschließlich als Daten interpretiert werden, und stets entsprechend der Datendefinitionen der bearbeitenden Software, und nicht als maliziöse Anwendung.
Das Restrisiko liegt jetzt beim Mitarbeiter. Wenn der zum Innentäter wird, muss er seine Zugangsmöglichkeit zur Hardware ausnutzen um Schad-Software zu installieren. Aber gemäß der oben stehenden Definition ist diese ja dann keine mehr! Da hat der Saboteur nicht nur sein System, sondern auch eine an sich brauchbare Definition korrumpiert!
Muss die Software-Industrie für solche Rechner jetzt Abschied nehmen von der bequemen und üblichen Aktualisierung „over the air“? Nicht unbedingt, aber der Software-Anbieter hat nicht mehr die direkte Kontrolle über den Aufdatierungszeitpunkt in seiner Hand – die hat jetzt der Nutzer. Wenn der nämlich die Zeit für eine Aufdatierung gekommen sieht, muss er die als Daten vorliegende Software bewusst in ein Format überführen, das er anschließend als Software installieren kann. Die erhaltenen Software-Updates unterscheiden sich von Schad-Software allein dadurch, dass sie eine Legitimation haben: Der Nutzer hat sie mit seinem Software-Lieferanten vereinbart, und somit sind sie vorsätzlich und absichtlich eingebracht worden.
Und woran erkennt die Hardware nun Schad-Software?
Um zur Überschrift zurückzukommen: Wenn man die Behandlung der Schad-Software auf die Hardware-Ebene verlagert, ist es gar nicht mehr erforderlich, Schad-Software als solche zu erkennen! Es sind schlicht und einfach Daten, für die möglicherweise nicht einmal eine Software vorhanden ist, um sie zu bearbeiten. Daraus folgert auch, dass ein Eindringling keine Möglichkeit hat, die Spuren zu beseitigen, die das Einbringen seiner Schad-Software möglicherweise im System hinterlassen hat.
Mindestens eine Hardware-Architektur wurde bisher entworfen, bei der die hier skizzierte Möglichkeit zur Abwehr von Schad-Software und ihren Folgen realisiert werden können. Sie ist patentiert (Deutsches Patent 10 2013 005 971) und hat unter dem Arbeitsnamen S3DVS in den Jahren 2015, 2017 und 2018 beim Innovationspreis IT in der Kategorie „Best of Hardware“ vordere Plätze belegt.
Juni 2018