Gefährliche Lücke bei Fireeye Firmennetze ausspähen mit zwei E-Mails

Bei einem Treffen des Chaos-Computer-Clubs in Hamburg tanzen Teilnehmer in einer Gummi-Blase.

(Foto: Patrick Lux/Getty Images)
  • 3700 Unternehmen, die Produkte der US-Sicherheitsfirma Fireeye einsetzen, sind durch eine Schwachstelle gefährdet.
  • Um diese Schwachstelle auszunutzen, reicht es, die Nachricht an eine beliebige E-Mail-Adresse der Firma zu schicken.
  • Der Konzern teilt mittlerweile mit: Man habe die Lücken inzwischen behoben.
Von Hakan Tanriverdi, New York

Um an die Geschäftsgeheimnisse der wertvollsten Unternehmen zu kommen, schreibt Felix Wilhelm zwei E-Mails. "Die erste E-Mail ist gefährlich, die zweite ein harmloses Dokument", sagt er. Sobald die Nachrichten im Posteingang seines Opfers landen, hat Wilhelm Zugriff. Entweder bekommt er eine Kopie aller eingehenden E-Mails oder aber er kann analysieren, welche Webseiten die Mitarbeiter der angegriffenen Firma besuchen. Der gängige Ratschlag, dubiose E-Mails nicht anzuklicken, hilft gegen Wilhelms Attacke nicht: Ob die Nachrichten geöffnet werden oder nicht, spielt keine Rolle.

Gefährdet sind alle Unternehmen, die Produkte der amerikanischen Sicherheitsfirma Fireeye einsetzen. Und das sind nicht wenige: 3700 Kunden hat Fireeye nach eigenen Angaben, davon sind mehr als 200 unter den Fortune 500, also den weltweit umsatzstärksten Firmen.

Elite-Hacker blockieren

Fireeye soll ihnen eigentlich helfen, Elite-Hackern den Zugang in die Netzwerke zu blockieren. Ein Geschäft, das so viel Fachwissen braucht und dadurch so teuer wird, dass sich selbst große Firmen dieses Expertenteam mitunter schlicht nicht leisten können. "Fireeye hat sich in diesem Bereich als erste Anlaufstelle im Markt etabliert", sagt Rick Holland, der für Forrester Research IT-Firmen analysiert. Fireeye ist börsennotiert und hat einen Wert von sechs Milliarden US-Dollar.

Das Unternehmen wird auch mit Risikokapital gestützt. Einer der Geldgeber war: In- Q-Tel, das Investment-Team des US-Geheimdienstes CIA. "Fireeye gehört zu den Marktführern", sagt Alexander Geschonneck von der Wirtschaftsprüfungsgesellschaft KPMG. "Die Firma ist in besonders kritischen Umfeldern tätig." Also dort, wo es besonders wichtig ist, dass Geheimnisse nicht in die Hände von Hackern gelangen.

Felix Wilhelm, der den IT-Angriff per Mail demonstriert hat, arbeitet als Sicherheitsforscher bei der IT-Firma ERNW in Heidelberg. Sein Job ist es, Software auf Schwachstellen hin zu überprüfen, auf Fehler in der Programmierung. Ist ein Fehler besonders schwerwiegend, kann ein Angreifer das System fernsteuern. So wie Wilhelm mit seinen beiden E-Mails. An diesem Donnerstag wird er auf einer Konferenz in London mitteilen, wie er die Software von Fireeye knacken konnte. Mehr als 50 Folien hat er vorbereitet, darin schildert er zwei Angriffe. Richtig ernst wird es bei Folie 37.

Fireeye setzt ein sogenanntes Malware Protection System (MPS) ein. Ähnlich wie ein Türsteher, der die Taschen der Gäste auf gefährliche Gegenstände abklopft, werden E-Mails überprüft und erst danach in das Firmennetzwerk eingelassen. Der Prozess kann aber ausgetrickst werden. Dazu verschickt Wilhelm eine Zip-Datei. Diese dient dazu, mehrere Dokumente zu einem digitalen Paket zu schnüren und Speicherplatz zu sparen.

Die Schwachstelle ist nun, dass der Sicherheitsforscher eine Möglichkeit gefunden hat, während der Analyse eines der MPS-Programme durch eines auszutauschen, das er selbst geschrieben hat. Beim nächsten Start kommt das Programm von Wilhelm zum Einsatz. Dafür ist die zweite E-Mail notwendig. Sie muss das Programm nur starten. Um diese Schwachstelle auszunutzen, reicht es, die Nachricht an eine beliebige E-Mail-Adresse der Firma zu schicken.