Süddeutsche Zeitung

Gefährliche Lücke bei Fireeye:Firmennetze ausspähen mit zwei E-Mails

  • 3700 Unternehmen, die Produkte der US-Sicherheitsfirma Fireeye einsetzen, sind durch eine Schwachstelle gefährdet.
  • Um diese Schwachstelle auszunutzen, reicht es, die Nachricht an eine beliebige E-Mail-Adresse der Firma zu schicken.
  • Der Konzern teilt mittlerweile mit: Man habe die Lücken inzwischen behoben.

Um an die Geschäftsgeheimnisse der wertvollsten Unternehmen zu kommen, schreibt Felix Wilhelm zwei E-Mails. "Die erste E-Mail ist gefährlich, die zweite ein harmloses Dokument", sagt er. Sobald die Nachrichten im Posteingang seines Opfers landen, hat Wilhelm Zugriff. Entweder bekommt er eine Kopie aller eingehenden E-Mails oder aber er kann analysieren, welche Webseiten die Mitarbeiter der angegriffenen Firma besuchen. Der gängige Ratschlag, dubiose E-Mails nicht anzuklicken, hilft gegen Wilhelms Attacke nicht: Ob die Nachrichten geöffnet werden oder nicht, spielt keine Rolle.

Gefährdet sind alle Unternehmen, die Produkte der amerikanischen Sicherheitsfirma Fireeye einsetzen. Und das sind nicht wenige: 3700 Kunden hat Fireeye nach eigenen Angaben, davon sind mehr als 200 unter den Fortune 500, also den weltweit umsatzstärksten Firmen.

Elite-Hacker blockieren

Fireeye soll ihnen eigentlich helfen, Elite-Hackern den Zugang in die Netzwerke zu blockieren. Ein Geschäft, das so viel Fachwissen braucht und dadurch so teuer wird, dass sich selbst große Firmen dieses Expertenteam mitunter schlicht nicht leisten können. "Fireeye hat sich in diesem Bereich als erste Anlaufstelle im Markt etabliert", sagt Rick Holland, der für Forrester Research IT-Firmen analysiert. Fireeye ist börsennotiert und hat einen Wert von sechs Milliarden US-Dollar.

Das Unternehmen wird auch mit Risikokapital gestützt. Einer der Geldgeber war: In- Q-Tel, das Investment-Team des US-Geheimdienstes CIA. "Fireeye gehört zu den Marktführern", sagt Alexander Geschonneck von der Wirtschaftsprüfungsgesellschaft KPMG. "Die Firma ist in besonders kritischen Umfeldern tätig." Also dort, wo es besonders wichtig ist, dass Geheimnisse nicht in die Hände von Hackern gelangen.

Felix Wilhelm, der den IT-Angriff per Mail demonstriert hat, arbeitet als Sicherheitsforscher bei der IT-Firma ERNW in Heidelberg. Sein Job ist es, Software auf Schwachstellen hin zu überprüfen, auf Fehler in der Programmierung. Ist ein Fehler besonders schwerwiegend, kann ein Angreifer das System fernsteuern. So wie Wilhelm mit seinen beiden E-Mails. An diesem Donnerstag wird er auf einer Konferenz in London mitteilen, wie er die Software von Fireeye knacken konnte. Mehr als 50 Folien hat er vorbereitet, darin schildert er zwei Angriffe. Richtig ernst wird es bei Folie 37.

Fireeye setzt ein sogenanntes Malware Protection System (MPS) ein. Ähnlich wie ein Türsteher, der die Taschen der Gäste auf gefährliche Gegenstände abklopft, werden E-Mails überprüft und erst danach in das Firmennetzwerk eingelassen. Der Prozess kann aber ausgetrickst werden. Dazu verschickt Wilhelm eine Zip-Datei. Diese dient dazu, mehrere Dokumente zu einem digitalen Paket zu schnüren und Speicherplatz zu sparen.

Die Schwachstelle ist nun, dass der Sicherheitsforscher eine Möglichkeit gefunden hat, während der Analyse eines der MPS-Programme durch eines auszutauschen, das er selbst geschrieben hat. Beim nächsten Start kommt das Programm von Wilhelm zum Einsatz. Dafür ist die zweite E-Mail notwendig. Sie muss das Programm nur starten. Um diese Schwachstelle auszunutzen, reicht es, die Nachricht an eine beliebige E-Mail-Adresse der Firma zu schicken.

Zugriff auf E-Mails

Je nachdem, wofür das Produkt von Fireeye eingesetzt wird, haben die Angreifer Zugriff auf E-Mails oder das Surfverhalten der Firmenmitarbeiter. Wer die E-Mails mitlesen und Anhänge herunterladen kann, kommt unter Umständen an sensible Informationen und Geschäftsgeheimnisse. Wer das Surfverhalten analysieren kann, dem bietet sich die Möglichkeit, besuchte Webseiten zu manipulieren und sich so noch weiter in die Firmennetze hineinzuschleichen. Das ist ein Problem wegen der Firmengeheimnisse, die heute meist digital gespeichert werden. Es ist aber auch ein Problem, weil durch einen erfolgreichen Angriff auch der Ruf der Betroffenen geschädigt ist.

"Die meisten Kunden haben mindestens zwei Fireeye-Produkte. Eines für Mails, eines für Webseiten", sagt Wilhelm. Zu den Aufgaben der IT-Firma ERNW gehört es, die Netzwerk-Sicherheit von Kunden zu prüfen. Wilhelm sieht also in seiner täglichen Arbeit, wie die Produkte eingesetzt werden. Konkrete Firmen nennt er nicht, das verbieten neben der Berufsethik die Geheimhaltungsverträge, die der Forscher unterschreiben muss.

Fireeye versucht alles, um den Schaden zu begrenzen. Nach Angaben von ERNW hat das Landgericht Hamburg auf Antrag des US-Unternehmens eine einstweilige Verfügung erlassen. Das Ziel: Einschüchterung, im Idealfall sogar die Absage von Wilhelms Vortrag. Doch nun ist am Ende der Präsentation eine Zeitleiste zu sehen. Ihr zufolge hat Wilhelm bereits im April eine E-Mail an das Sicherheitsteam von Fireeye verschickt. Drei Wochen später folgt eine Nachricht auf dem Kurznachrichtendienst Twitter. Anschließend habe es Absprachen gegeben. Das ist branchenüblich. Die Firma soll genug Zeit haben, Schwachstellen zu beheben und Kunden vorzuwarnen.

Aus gleichem Grund habe Fireeye darauf gedrungen, jene Stellen aus der Präsentation zu streichen, in denen ihrer Meinung nach zu genau über das Produkt gesprochen wird. An diesen Stellen steht nun "zensiert" auf den Folien. Im August habe man sich getroffen und letzte Details geklärt, sagt Wilhelm. Am nächsten Tag aber habe ERNW eine Abmahnung, kurz darauf die Verfügung erhalten. "Wir haben auf der Sachebene sehr vernünftig mit Fireeye zusammengearbeitet", sagt Firmenchef Enno Rey. "Dass parallel dazu gravierende juristische Schritte eingeleitet wurden, kam für uns aus heiterem Himmel. Dieses Verhalten empfinden wir als unprofessionell, als Vertrauensbruch." In der IT-Branche gehört es zum Standard, sich bei Sicherheitsforschern mindestens zu bedanken. Google und Microsoft zahlen mitunter Geld.

Fireeye hat auf Anfragen der SZ zunächst nicht reagiert, sondern auf ein offizielles Statement verwiesen. Nach Erscheinen dieses Artikels teilte die Firma über einen Sprecher mit, dass es keine Anzeichen dafür gebe, dass derzeit Lücken aktiv ausgenutzt würden und in der Folge massiver Datenverlust bei Kunden auftrete. Nur eines teilte die Firma direkt mit: Man habe die Lücken inzwischen behoben. In Zusammenarbeit mit ERNW.

Update: Nach Erscheinen des Artikels hat sich die Firma Fireeye gemeldet und mitgeteilt, dass es bis dato keine Anzeichen dafür gebe, dass derzeit Lücken aktiv ausgenutzt würden und in der Folge massiver Datenverlust bei Kunden auftrete. Die Firma In-Q-Tel sei darüber hinaus nicht länger als Risikokapitalgeber tätig. Der Artikel wurde entsprechend aktualisiert.

Bestens informiert mit SZ Plus – 14 Tage kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.2640247
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ vom 10.09.2015/mri
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.