Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

F-Secure: Bios-Trojaner aufzuspüren, ist "fast aussichtslos"

Weil die Antivirenhersteller keine Muster von Regierungs- Malware haben, die PC-Komponenten auf Firmware-Ebene infiziert, können sie diese kaum entdecken. Mikko Hypponen von F-Secure sieht vor allem die Hardwarehersteller in der Pflicht.
/ Nico Ernst
52 Kommentare undefined News folgen (öffnet im neuen Fenster)
Mikko Hypponen auf der Konferenz Hacktivity im Oktober 2013 (Bild: Attila Kisbenedek/Getty Images)
Mikko Hypponen auf der Konferenz Hacktivity im Oktober 2013 Bild: Attila Kisbenedek/Getty Images

Wie sind die von der NSA entwickelten Attacken auf PC-Komponenten zu bekämpfen? "Die Malware muss irgendwie dahin kommen" , sagt Mikko Hypponen auf unsere Frage. Wie durch ein vom Spiegel veröffentlichtes Dokument ( PDF(öffnet im neuen Fenster) ) aus dem Snowden-Fundus bekannt wurde, arbeitet der US-Geheimdienst daran, von Mainboards über Festplatten und Hardware-Firewalls die gesamte PC-Infrastruktur mit in der Firmware implantierten Hintertüren ausforschbar zu machen. Durch die Kontrolle über solche Geräte ist es den Spionen auch möglich, Funktionen wie eine Netzwerkverbindung dauerhaft abzuschalten oder Daten zu löschen.

Für Hypponen, den Forschungschef des Sicherheitsunternehmens F-Secure, ist die Erkennung der Installationsroutinen bisher der einzige Weg, solchen Angriffen zu begegnen. Dafür brauche man aber Muster der Infektionsprogramme – und "die haben wir nicht" , sagt der Antivirenforscher von F-Secure. Wenn die Firmware einer Komponente einmal infiziert sei und die Installationsprogramme gelöscht seien, "kann eine Entdeckung sehr schwierig werden" , meint der Finne, der sich bereits seit längerem für die Bekämpfung von Regierungs-Malware ausspricht.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Anders als bisherige Staatstrojaner

Dabei handelte es sich aber bisher immer um Programme, die im Rahmen eines Betriebssystems laufen. Die nun bekannt gewordenen Firmware-Veränderungen bedienen sich aber Funktionen von PC-Komponenten, auf die das Betriebssystem kaum Zugriff hat. So läuft der Bios-Trojaner Berserker der NSA im System Management Mode(öffnet im neuen Fenster) des Prozessors, und hat dabei auch Zugriff auf RAM und Netzwerkverbindung, so dass beliebige Daten aus dem Rechner sich unbemerkt auslesen und verschicken lassen. Läuft so eine Malware und hinterlässt keine Reste, so sei eine Erkennung "fast aussichtslos" , sagt Mikko Hyponnen.

"Ich glaube, die Hardwarehersteller selbst sitzen beim Schutz vor solchen Attacken an einer Schlüsselposition" , sagt er. Er spielt damit offenbar darauf an, dass es bisher kaum Mechanismen gibt, um veränderte Firmware im Betrieb zu erkennen und auch die meist öffentlich zugänglichen Updates sich manipulieren lassen. Selbst bei schweren Lücken dauert es bisher viele Monate bis zu einer Reparatur, wie ein 2014 entdecktes Loch(öffnet im neuen Fenster) in Intels Referenzimplementierung des Mainboard-UEFI gezeigt hat.

Zur Startseite 52 Kommentare

Relevante Themen

USATechnik/HardwarePC & NotebooksSoftwareToolsPolitikÜberwachungSecurity