Clientanwendungen: eine tickende Zeitbombe?

von | Apr 29, 2021 | Cyber Security und Digitalisierung | 0 Kommentare

Cybersicherheit
Cybersicherheit gehört mittlerweile zu den wichtigsten Themen auf der Agenda von Vorstandsmitgliedern und Geschäftsführungen. Schließlich verursachen Hackerangriffe immer wieder immense Schäden – Unternehmen jeder Größe können betroffen sein. Die schlechte Nachricht: Hundertprozentigen Schutz gibt es nicht. Die gute: Fundierte Cybersicherheitskonzepte senken das Risiko erheblich.

Was sind Clientanwendungen?

Ein starkes Cybersicherheitskonzept besteht aus verschiedenen Stufen – eine wesentliche Aufgabe ist die Durchführung von Sicherheitsanalysen, um potenzielle Angriffsflächen zu identifizieren. Insbesondere Schwachstellen in Clientanwendungen (Rich-Client-, Thick-Client- oder Fat-Client-Applikationen) warten dabei nur auf ihre Entdeckung. Gemeint sind Softwareanwendungen, die auf dem Endgerät eines Netzwerks ausgeführt werden und mit oder ohne Netzwerkverbindung funktionieren, wie etwa Ihr Web-Browser oder Ihre Textverarbeitung.

Die Komplexität von Clientanwendungen wird häufig unterschätzt. Dabei bieten sie Cyberkriminellen diverse Angriffsmöglichkeiten: Umgehen der Authentifizierung und Autorisierung, Mitlesen und Manipulieren von Daten und im schlimmsten Fall die komplette Systemübernahme. Mit Clientanwendungen arbeiten Mitarbeiter*innen in Unternehmen tagtäglich. Manche werden intern entwickelt und gewartet, andere von Fremdfirmen. Meist unterliegen sie keiner öffentlichen Kontrolle. Potenzielle Schwachstellen bleiben daher oft unsichtbar, bis zum Schadensfall – oder besser bis zur rechtzeitigen Sicherheitsanalyse.

Wann ist die Clientanwendung einer Sicherheitsanalyse zu unterziehen?

In frühen Entwicklungsstadien, solange der Quellcode noch verfügbar ist, bietet sich ein Code Review an. Hierbei erfolgt eine systematische Quellcode-Untersuchung, bei der auch die interne Funktionsweise der Clientanwendung erkannt werden kann. In einem Blackbox-Testszenario ist das jedoch nicht immer so einfach. Manchmal ist der Code proprietär, also nur auf einem herstellereigenen Computermodell einsetzbar, oder die Entwicklung der Anwendungen liegt viele Jahre zurück. Vielleicht ist der Quellcode auch gar nicht mehr verfügbar. Oder die Code-Review-Kosten sprengen einfach das Budget. In solchen Fällen ist die Sicherheitsanalyse der Clientanwendung das Mittel der Wahl.

Risiken erkennen: Wo greifen Cyberkriminelle an?

Angreifende zielen gewöhnlich auf das schwächste Glied der Kette – die intern entwickelte Clientanwendung. Der Grund ist simpel: Solche Anwendungen werden meist im kleinen Team oder gar von einer Person allein entwickelt. Und bei kleinen Budgets wird die Sicherheit leider allzu gern vernachlässigt. Als nächstes nehmen sich Angreifer*innen Anwendungen vor, die exklusiv für das Zielunternehmen entwickelt wurden. Erst zuletzt versuchen sich Angreifende an Alltagsprodukten wie Microsoft Office, Adobe Acrobat, Web-Browser usw. Weil intensiv getestet und für alle verfügbar, sind Schwachstellen in solchen Anwendungen nur schwer zu finden. Wird jedoch eine Sicherheitslücke entdeckt, besteht in der Regel ein sehr hohes Risiko.

Unternehmen jeder Größe können von Schwachstellen in Clientanwendungen betroffen sein. So haben Expert*innen von TÜV Rheinland vor kurzem eine Sicherheitslücke in einem IBM-Produkt entdeckt, die es einem lokalen Angreifenden ermöglicht, seine Rechte auf die maximale Stufe auszuweiten. Damit erlangt er die volle Kontrolle über das betroffene System. Die Schwachstelle, die die Endkund*innen von IBM betrifft, wurde der CVE-ID (CVE-2021-20532) zugeordnet.

Wie funktioniert die Sicherheitsanalyse einer Clientanwendung?

Für eine fundierte Sicherheitsanalyse sammelt TÜV Rheinland zunächst als „ganz normale/r Nutzer*in“ Informationen zur Anwendung. Anschließend werden mit breiter Testabdeckung möglichst viele Schwachstellen identifiziert, die sich negativ auf die Sicherheit der Anwendung, des Betriebssystems und anderer Anwendungen auswirken können. Mit manuellen und halbautomatischen Tests werden systematisch Sicherheitslücken aufgespürt, die für Angriffe ausgenutzt werden könnten.

Was wird typischerweise getestet?

Jede Anwendung ist einzigartig. Deshalb geht TÜV Rheinland NICHT nach einer starren Checkliste vor. Im Regelfall werden jedoch die folgenden Bereiche getestet, wobei jeweils mehrere Angriffsszenarien durchgespielt werden. Beispiele für gezielte Fragestellungen, durch die sich potenzielle Angriffsflächen aufspüren lassen:

Stichwort: Authentifizierung und Zugangskontrollen.

Können Angreifer*innen die Anmeldung umgehen und/oder mehr Berechtigungen als beabsichtigt erlangen?

Stichwort: Sichere Kommunikationsprotokolle.

Erfolgt die Kommunikation mit anderen Systemen gesichert?

Stichwort: Anmeldeinformationsverwaltung und Informationspreisgabe.

Gibt die Anwendung oder eines ihrer Artefakte Informationen preis, die beim Angriff auf andere Systeme oder auf Daten anderer Benutzer*innen hilfreich sind?

Warum TÜV Rheinland?

Cybersicherheit ist kein Kinderspiel. Das Testen einer Clientanwendung setzt fundierte Kenntnisse ihrer Funktionsweise voraus. Unterschiedliche Programmiersprachen, Frameworks und Betriebssysteme bieten Angreifer*innen unterschiedliche Angriffsflächen. Nur erfahrenes Testpersonal ist in der Lage, in Logik und Design der Anwendung Fehlerketten aufzuspüren, die schwer zu identifizierende Schwachstellen nach sich ziehen. Unsere Sicherheitsanalyst*innen verfügen über Programmiererfahrung – und eine große Leidenschaft für das Aufspüren exotischer Schwachstellen. Genau das ist es, warum TÜV Rheinland hier die Nase vorn hat.

Klingt interessant?

Nehmen Sie Kontakt mit uns auf und erfahren Sie mehr von unseren Fachleuten für Cybersicherheit.

Autor des Beitrags

Shadi Habbal

Shadi Habbal

Senior Security Analyst

Shadi Habbal arbeitet als Senior Security Analyst bei TÜV Rheinland. Als zertifizierter, professioneller Penetrationstester und Reverse-Code-Engineer besitzt er mehr als zehn Jahre Erfahrung. Mit Kenntnissen in verschiedenen Programmiersprachen und Systemadministration schafft er es, exotische Sicherheitslücken und Logikfehler zu identifizieren – und das macht er mit Leidenschaft. Zu seinen Stärken gehören Neugierde und Sinn für Humor. Wenn er nicht gerade als Hacker aktiv ist, schläft er normalerweise.

Meist gelesene Beiträge

Wasserstoffauto-Test

Ein Tag mit dem Wasserstoffauto

Wie fährt sich eigentlich ein Wasserstoffauto? Was ist beim Tanken zu beachten? Jan Scholten von TÜV Rheinland hat erste Erfahrungen beim Praxistest gesammelt.
Zum Beitrag
Industrie Roboter

Sicherheits-Check für Industrie-Roboter

Roboter – aus Produktion und Logistik sind sie nicht mehr wegzudenken. Für mehr Sicherheit bei ihrem Einsatz sorgen verschiedene Normen und Prüfstandards.
Zum Beitrag
Ransomware

Ransomware – Kidnapping im Digital-Zeitalter

Immer mehr Unternehmen werden Opfer von Daten-Kidnapping. Studie von TÜV Rheinland zeigt Beratungsbedarf. Tipps zum Schutz vor Ransomware-Angriffen.
Zum Beitrag

Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Newsletter

Niemand mag Pop Ups. Aber Sie werden unseren Newsletter mögen

Erhalten Sie regelmäßig Blogartikel zu den Themen Digitalisierung, Modernes Leben, Energie und Technik.