Cyberangriffe finden auf allen Schichten des IT-Stacks statt – von BIOS und Firmware über das Betriebssystem bis hin zu Kommunikationsprotokollen und Applikationen. Um sie abzuwehren, müssen Hardware und Software eng zusammenarbeiten.
Nahezu jedes Unternehmen in Deutschland ist bereits einmal Opfer eines Cyberangriffs geworden. Dem Digitalverband Bitkom zufolge waren allein im vergangenen Jahr 84 Prozent von Einbrüchen in ihre IT-Infrastruktur betroffen. Die wirtschaftlichen Schäden beliefen sich auf mehr als 200 Milliarden Euro.
Vor allem folgende Angriffsvektoren haben in den vergangenen Jahren an Bedeutung gewonnen:
Ransomware: Die Zahl und die Schwere von Ransomware-Attacken hat stark zugenommen. Laut dem State of Ransomware-Report des Sicherheitsspezialisten Sophos stieg der Anteil der betroffenen Unternehmen von 37 Prozent im Jahr 2020 auf 66 Prozent im Jahr 2021. Allein in Deutschland haben sich die Schäden durch Ransomware nach Berechnungen des Bitkom zwischen 2018/2019 und 2020/2021 mehr als vervierfacht.
Cryptojacking: Kryptowährungen erfreuen sich zunehmender Beliebtheit und haben in den vergangenen Jahren zum Teil enorme Wertsteigerungen erfahren. Das ruft auch Cyberkriminelle auf den Plan, welche die Rechner ihrer Opfer für das Schürfen von Kryptogeld missbrauchen. Der Sicherheitsfirma SonicWall zufolge hat das Cryptojacking im vergangenen Jahr um fast 20 Prozent zugenommen. Das Unternehmen registrierte insgesamt mehr als 97 Millionen Cryptojacking-Attacken.
Control-Flow Hijacking: Beim Control-Flow Hijacking manipuliert der Angreifer die Ablaufsteuerung eines Programms und bringt es beispielsweise dazu, Schadcode nachzuladen und auszuführen. Angreifer entwickeln zunehmend raffiniertere Methoden, um so Applikationen zu übernehmen, Systeme zu kompromittieren oder Daten zu stehlen.
Firmware-Attacken: Als Vermittler zwischen Hardware und Software kommt der Firmware eine große Bedeutung zu. In PCs übernimmt beispielsweise das BIOS (Basic Input/Output System) diese Rolle, aber auch Router, Access Points oder andere internetfähige Geräte enthalten Firmware. Da diese oft veraltet ist und nicht regelmäßig aktualisiert wird, stellt sie ein erhebliches Sicherheitsrisiko dar. Einer Microsoft-Studie zufolge waren 2021 mehr als 80 Prozent der Unternehmen von Firmware-Attacken betroffen, aber nur 29 Prozent investierten gezielt in den Schutz vor solchen Angriffen.
Lieferkettenangriffe: Bei dieser Form von Attacken wird nicht das Ziel selbst, sondern ein Dienstleister oder Lieferant angegriffen. Die bekanntesten Beispiele für solche Supply-Chain-Attacken waren die Angriffe auf das Netzwerkmanagementsystem SolarWinds Orion und den IT-Dienstleister Kaseya. Laut der Europäischen Sicherheitsagentur ENISA haben Lieferkettenangriffe in den vergangenen Jahren stark zugenommen.
Wie Hardware und Software in der Cyberabwehr zusammenarbeiten
Die oben genannten Angriffsszenarien beginnen oft mit Hardware-nahen Attacken, missbrauchen nicht bekannte beziehungsweise noch nicht gepatchte Sicherheitslücken in der Software oder nutzen im Fall der Lieferketten-Kompromittierung Produkte und Dienstleistungen, die für den Endanwender völlig legitim und vertrauenswürdig erscheinen. Je früher diese Angriffskette unterbrochen werden kann, desto größer ist die Chance, Cyberattacken abzuwehren oder zumindest den Schaden zu begrenzen.
Hersteller wie Intel arbeiten deshalb schon seit langem daran, Security-Features in ihre Hardware-Plattformen zu integrieren und in Zusammenarbeit mit Betriebssystemanbietern wie Microsoft oder anderen Softwareherstellern den Schutz von IT-Systemen weiterzuentwickeln. In der vPro Plattform basierend auf Intel Core Prozessoren der 12. Generation wurde beispielsweise die Threat Detection Technologie (TDT) um eine KI-basierte Anomalieerkennung (Anomalous Behavior Detection, ABD) erweitert. Ein Machine Learning Algorithmus überwacht dabei das Verhalten von Prozessoren und Arbeitsspeicher. Wenn das System verdächtige Aktionen erkennt, sendet es diese Informationen über die Telemetriefunktion der Power Management Unit (PMU) an Security Software wie Microsoft Defender, SenitelOne oder ESET (mehr zum Thema Telemetrie in diesem Artikel). Durch die hardwarenahe Auswertung von Verschlüsselungsvorgängen oder Prozessorlast lassen sich Ransomware-Angriffe und Cryptojacking schneller und zuverlässiger erkennen.
Bereits seit 2016 arbeitet Intel an einer Technologie, die Control-Flow-basierte Angriffe wie ROP (Return Oriented Programming), COP (Call Oriented Programming) oder JOP (Jump Oriented Programming) verhindern soll. Die sogenannte Control Enforcement Technologie (CET) erkennt Manipulationen in der Ablaufsteuerung von Applikationen und verhindert, dass injizierter Schadcode ausgeführt werden kann. Auch hier arbeiten Hardware und Software eng zusammen. Das Betriebssystem Windows 11 kreiert beispielsweise auf Basis von CET einen sogenannten Shadow Stack der aktuellen Laufzeitumgebung. Manipuliert ein Angreifer die Adressen im produktiven Daten-Stack, erkennt CET die Abweichung zum Shadow Stack und meldet diese an das Betriebssystem, das die verdächtigen Prozesse beendet.
Technologien wie Intel BIOS Guard und Boot Guard überwachen das BIOS und verhindern dessen Manipulation. Beim Startvorgang arbeiten die Secure-Boot-Funktion der Hardware mit der Trusted-Boot-Funktion von Windows 11 eng zusammen. Secure Boot verifiziert allen Code, der vor dem Start des Betriebssystems ausgeführt wird, und übergibt dann an den Windows-Bootloader, der die digitale Signatur des Windows Kernel abgleicht, bevor er ihn lädt. Dieser wiederum überprüft sämtliche anderen Windows-Prozesse und -Komponenten, die während des Starts geladen werden.
Um Manipulationen der Lieferkette schnell erkennen zu können, setzt Intel auf eine transparente Supply-Chain-Dokumentation. Für jede Plattform gibt es ein digital signiertes Zertifikat, das sich über das TPM (Trusted Platform Module) auf Systemebene tracken lässt. Auch die Komponenten sind direkt nachverfolgbar. Beim ersten Start eines Systems wird der Zustand der Hardware mit einem bei der Herstellung erfassten Snapshot verglichen, so dass Manipulationen innerhalb der Lieferkette erkannt werden können.
Fazit: Hardware-Schutz braucht Software-Integration
Die besten hardwarenahen Security Features nützen nichts, wenn sie von den darüber liegenden Software-Schichten ignoriert werden. Hardware- und Software-Hersteller müssen deshalb eng zusammenarbeiten, um die Kommunikation zwischen Systemen sicherzustellen und die richtigen Schlüsse aus den hardwarenah erhobenen Daten zu ziehen.
Die Erfassung und Übermittlung sicherheitsrelevanter Daten darf dabei aber nicht auf Kosten der Leistung gehen. Um dies zu verhindern, wird beispielsweise bei der TDT-Analyse ein Teil der Last auf die Grafikprozessoren (GPU) ausgelagert. So lässt sich ein hohes Maß an Sicherheit erzielen, ohne dass das Nutzererlebnis beeinträchtigt wird.