"Die Markteinführungszeit bei Software ist viel zu kurz"
Eine Schwachstelle in der Net-USB-Schnittstelle bedroht derzeit die Sicherheit einiger Routermodelle. Entdeckt hat das Problem das Beratungsunternehmen SEC Consult. Im Gespräch berichtet Ulrich Fleck, CEO bei SEC Consult Schweiz, über die Gefahr durch die Sicherheitslücke und über das Unternehmen, das diese aufdeckte.
Ende Mai ist die sogenannte Net-USB-Schwachstelle publik geworden. Die Lücke betrifft etliche Router-Modelle verschiedener Hersteller – darunter TP-Link, Netgear, D-Link, Trendnet und Zyxel. Die Ursache des Problems liegt in den Treibern des taiwanesischen Softwareentwicklers Kcodes. Mit dem Treiber sollten an einem Router über USB angeschlossene Geräte im Netzwerk freigegeben werden. Aufgrund der Lücke im System öffnete die Software den Port auch, wenn kein USB-Gerät angeschlossen ist. Ein Angreifer könnte dies ausnutzen und die Kontrolle über den Router übernehmen.
"Das grosse Problem ist, dass diese Router ein relativ unbeachtetes Leben fristen", sagt Ulrich Fleck, CEO von SEC Consult Schweiz. Die SEC-Consult-Gruppe entdeckte damals die Schwachstelle im Rahmen eines Kundenprojekts. Das Beratungsunternehmen hat es sich zur Hauptaufgabe gemacht, derartige Sicherheitslücken aufzudecken, bevor Hacker diese finden und ausnützen können. Wenn ein Router infiziert wird, merkt der Nutzer dies oft nicht: "Es beginnt am Rechner kein Lämpchen zu leuchten, und er wird auch nicht langsamer", sagt Fleck.
Generell rät der CEO dazu, den Router regelmässig zu aktualisieren. Bei Rechnern ist dieser Schritt bereits zur Gewohnheit geworden. Viele Nutzer denken jedoch nicht daran, ihren Router ebenfalls mit Software-Updates vom Hersteller auf den neuesten Stand zu halten. Ohne Updates, lässt sich das Gerät auch nicht vor neuen Bedrohungen schützen.
Keine sinnvolle Reaktion aus Taiwan
Im spezifischen Fall der Net-USB-Schwachstelle, fehlten aber diese Updates. Nachdem SEC Consult das Problem im Router identifiziert hatte, kontaktierte das Unternehmen den taiwanesischen Entwickler der Software. Der habe sich aber nicht "sinnvoll dazu geäussert", weswegen das Beratungsunternehmen den Umweg über die Router-Hersteller suchte. "Als die involviert wurden, kam die Sache in Bewegung", sagt Fleck. Der Gang an die Öffentlichkeit sei nicht der übliche Weg, meint Fleck. In der Regel versuchten sie, mit den involvierten Unternehmen ins Gespräch zu kommen. Eine böse Absicht erkennt der Sicherheitsexperte hinter den Sicherheitslücken aber nicht. "Die Markteinführungszeit bei Software ist viel zu kurz", hält Fleck fest. Deswegen geschehe es zuweilen, dass auch eine Lösung mit einigen Schwachstellen in Betrieb genommen werden könne.
Unterdessen haben verschiedene Hersteller bereits zum Problem Stellung genommen. Zyxel etwa veröffentlichte Patches für ein paar der betroffenen Router-Modelle. Mit diesen lasse sich die Lücke vorübergehend schliessen. Der Schweizer Zyxel-Generaldistributor Studerus listet die Informationen auf seiner Website. Netgear versprach die Schwachstelle bis zum dritten Quartal des Jahres zu beheben. "Aber aus meiner Sicht ist die Schwachstelle in vielen Routern nach wie vor vorhanden", sagt Fleck.
Das Thema Sicherheit lässt sich laut Fleck zudem nur sehr schwer vermarkten. In der Regel geschehe dies in Form von Security-Features, etwa einer Firewall. "Besonders schwer an den Kunden zu bringen sind nicht die Security-Features, sondern die Secure-Features", erklärt Fleck. Dass etwa ein Router besonders stabil laufe, könne kein Hersteller auf der Verpackung im Laden überzeugend darstellen. "Der Handel hat es da natürlich besonders schwer", sagt Fleck. Dieser erhalte die Produkte und verkaufe sie weiter, ohne die Möglichkeit zu haben, zu überprüfen, ob es Schwachstellen gebe.
Hohes Bewusstsein für IT-Security in der Schweiz
Gemäss dem Sicherheitsspezialisten steht die Schweiz aber im DACH-Raum gut da. "Verglichen mit Deutschland und Österreich herrscht in der Schweiz ein sehr hohes Bewusstsein für das Thema IT- und Informationssicherheit", sagt der CEO. Allerdings unterscheide sich der Zugang zu dem Thema. Während in gewissen Ländern die Sicherheit als ein notwendiges Übel angesehen werde, sei die Bereitschaft in der Schweiz viel höher, dieses Thema anzugehen und dafür auch Geld auszugeben.
Die SEC-Consult-Gruppe ist seit einem Jahr in der Schweiz vertreten. Das Unternehmen folgte damals einem grossen Schweizer Kunden und eröffnete ein Büro in Zürich. Mittlerweile zählt das Schweiz-Geschäft von SEC Consult mehr als zehn Kunden. Namen will das Unternehmen keine nennen. "Wir sind sehr zurückhaltend beim Angeben von Referenzen", sagt Fleck. "Wir wollen unsere Kunden nicht exponieren."
Weltweit beschäftigt SEC Consult über 70 Mitarbeiter. Das Kerngeschäft liegt jedoch im deutschsprachigen Raum. Das Schweizer Team wuchs Anfang Juli auf sechs Mitglieder - mit zwei neuen Gesichtern in den Bereichen Consulting und im Vertrieb. Das Unternehmen will die Schweizer Niederlassung in den nächsten Jahren weiter ausbauen. Fleck gibt sich zuversichtlich: "Was das Thema IT-Sicherheit betrifft, wollen wir in fünf Jahren nicht nur qualitativ zu den Top 3 hier in der Schweiz zählen", sagt er. Bis dahin arbeitet das Unternehmen weiterhin daran, die IT-Branche ein wenig sicherer zu machen und vor Gefahren, wie der Net-USB-Schwachstelle, zu warnen.
TD Synnex listet französischen Anbieter Scality
Endpoint Detection and Response als Managed Service nutzen
Die wichtigsten Werkzeuge für die Abwehr
Umfassende Cybersicherheit für OT-Umgebungen
TIM und Veritas: Der ultimative Schutz vor Ransomware-Angriffen für Schweizer Unternehmen
Optoma hat einen neuen Sales Manager für die DACH-Region
Macht eure Spanisch-Lektionen!
Netapp erweitert Partnerschaft mit Google Cloud
"Wir suchen Partner, die wachsen möchten"
