Hartmut Pohl: "Da muss man einfach sehen, dass die Sicherheitsbehörden in den Herstellerländern einen erheblichen Einfluss haben. Da werden also solche Themen diskutiert. Und wenn es dann Einspruch gibt vonseiten der Behörden, dann wird - welcher Hersteller auch immer - die Änderung oder den Patch nicht herbeiführen, nicht erstellen, nicht veröffentlichen."
Manfred Kloiber: Das gibt der Informatikprofessor Hartmut Pohl aus Sankt Augustin bei Bonn zu Bedenken. Vor einem Monat hatten Sicherheitsforscher einen digitalen Angriff auf die Tabellenkalkulation Excel von erheblichem Ausmaß aufgedeckt. Wir haben in "Forschung aktuell" kurz darüber berichtet. Und dieser Angriff nutzte Schwächen des Datenaustauschprotokolls Dynamic Data Exchange von Microsoft aus. Der Clou dabei: Die Schwachstellen sind seit mehr als zwei Jahren bekannt. Stellt sich also die Frage: Warum sind die bisher nicht geschlossen worden? Und dieser Frage ist Peter Welchering nachgegangen. Mit welchem Ergebnis, Peter?
Peter Welchering: Mit einer vorläufigen Einschätzung. Und da übernehme ich die von Professor Hartmut Pohl. Die Sicherheitsbehörden haben ein sehr großes Interesse daran, dass sie weiterhin mit diesen Schwachstellen arbeiten können. Denn darüber kann auf sehr clevere Weise Schadsoftware auf Systeme gebracht werden, unter anderem auch Staatstrojaner. Nachdem die Forscher des Sicherheitsunternehmens Mimecast dieses massive Sicherheitsproblem bei Excel vor vier Wochen veröffentlicht hatten, wurde natürlich intensiv diskutiert, warum Angriffe über das Datenaustauschprotokoll eigentlich nicht schon vor längerer Zeit wirksam verhindert wurden. Denn die sind seit mindestens 2017 bekannt. In diese Debatte hat sich auch ein ehemaliger Mitarbeiter einer Sicherheitsbehörde eingeschaltet und uns ziemlich klar gesagt: Das liegt doch im Interesse der Sicherheitsbehörden. Die wollen mit diesem Datenaustauschprotokoll arbeiten. Mit dieser These sind wir zum Sicherheitsforscher Hartmut Pohl gegangen. Und der und seine Mitarbeiter haben ein wenig nachgeforscht, um zwei Fragen zu beantworten:
- Frage Nummer1: Kann man diese Schwachstellen mit vertretbarem Aufwand schließen?
- Frage Nummer 2: Inwieweit würde die Arbeit der Sicherheitsbehörden eingeschränkt, wenn diese Schwachstellen beseitigt würden?
Kloiber: Und an diesen Antworten haben Professor Pohl und seine Mitarbeiter gearbeitet. Denn zunächst ging es darum, nachzuvollziehen, wie das Datenaustauschprotokoll für Online-Spionage und andere Angriffe genutzt wird und wie aufwändig es ist, diese Lücken zu schließen.
Das Datenaustauschprotokoll Dynamic Data Exchange von Microsoft ist eigentlich eine feine Sache. Outlook kann darüber zum Beispiel automatisch Kalenderdaten synchronisieren. Die Tabellenkalkulation Excel kann damit andere Datenquellen einbinden. Und wenn in einem Unternehmen zum Beispiel die Umsätze von vier Filialen jeweils automatisch in eine Planungsübersicht eingetragen werden sollen, dann geht das mit dem Analysewerkzeug Power Query bei Excel schnell und einfach. Professor Hartmut Pohl:
"Mit der Funktion Power Query kann man Daten in seine Excel-Tabelle standardmäßig nachladen. Wir vertrauen allen, Partnern etc. Und die werden schon richtige Zahlen da reingeschrieben haben. Die tauchen dann in meinem Blatt auf. Wenn da jemand bösartig ist und unter der Adresse, die ich benutze, eine Excel-Tabelle mit bösartigen Code speichert, dann wird die bei mir in mein Blatt eingetragen. Und wenn das Blatt geladen wird, wird dieser Code ausgeführt, automatisiert, wie jeder andere Excel-Befehl, den man in eine Zelle rein schreibt."
Schadsoftware wird durch eine Excel-Zelle geladen
Die Schadsoftware, die in solch eine Excel-Zelle geladen wird, kann dann zum Beispiel einen Staatstrojaner nachladen. Dagegen hilft allerdings eine saubere Formatierung, wie Hartmut Pohl mit seinem Team herausfand:
"Ich formatiere die Zelle klar und deutlich mit: Ja, darf nur eine Zahl sein. Punkt. Und dann passt da kein Befehl rein. Und der kann dann da nicht reingeladen werden."
Die Mimecast-Spezialisten haben bei ihrem Angriff auch die Antiviren- und Sicherheitssoftware überlistet. Das sorgte vor vier Wochen für ziemlich großes Aufsehen. Doch auch dagegen gibt es eine sehr einfache Sicherheitsmaßnahme.
"Wir brauchen eine Sicherheitssoftware, die definitiv prüft, was in diesen Zellen drin steht. Und wenn es ihr nicht gelingt, zu prüfen, weil der Angreifer das schon vorausgesehen hat und dann einen Timer laufen lässt und die Zelle erst nachlädt nach elf Sekunden, und die Antiviren-Software prüft nur zehn Sekunden lang und dann lässt sie es laufen, dann ist das ein Mangel der Antiviren-, der Sicherheitssoftware. Ich würde verlangen, sie muss jedes Nachladen überprüfen. Wenn das nicht gelingt: Fehlermeldung - die Dateien, die Daten, die nachgeladen werden sollten, konnte ich nicht mehr überprüfen. Punkt."
Diese beiden Sicherheitsmaßnahmen in das Office-Paket zu implementieren, dürfte mit überschaubaren Aufwand machbar sein. Natürlich muss der Anwender auch dann noch darauf achten, dass seine Excel-Tabellen gemäß diesen Sicherheitsrichtlinien sauber formatiert sind. Und er muss die Warnungen der Sicherheitssoftware ernst nehmen, wenn diese die Meldung ausgibt, dass sie Daten nicht überprüfen konnte. Solche Daten dürfen auch nicht manuell ohne Sicherheitsüberprüfung nachgeladen werden. Sonst bleibt das Datenaustauschprotokoll mitsamt dem Analysewerkzeug Power Query angreifbar. Hartmut Pohl, der früher selbst für einen Inlandsnachrichtendienst gearbeitet hat, erklärt sich das so.
"Die großen Softwarehersteller stimmen sich ab mit den staatlichen Behörden. Das gilt nicht nur für die östlichen Länder, sondern auch natürlich für die westlichen gleichermaßen. Und in dem Moment, wo die Sicherheitsbehörden sagen oder auch nur eine: Ne, das ist keine schöne Lösung, und damit deutlich machen, dass sie diese Lösung für Angriffe ausnutzen, dann wird sich der Softwarehersteller sehr sorgfältig überlegen, ob er gleichwohl ein Patch einbaut."
Kloiber: Was sagt denn Microsoft dazu, Peter Welchering?
Welchering: Die verweisen auf ihr Sicherheitsupdate vom Januar 2018 und darauf, dass seit der Excel-Version 2016 das Nachladen von Inhalten via Power Query vom Anwender bestätigt werden muss. Außerdem geben sie Sicherheitshinweise und verweisen auf zusätzliche Optionen, um Schadcode zu bekämpfen, der über das Datenaustauschprotokoll auf Systeme gebracht werden soll. Zu der These, dass Sicherheitsbehörden wirksame Schutzmaßnahmen für das Datenaustauschprotokoll verhindert hätten, wollte sich Microsoft nicht äußern. Interessant ist in dem Zusammenhang, dass Ende 2017 die Datenaustauschfunktion in Word aus Sicherheitsgründen vollständig deaktiviert wurde, bei Excel hingegen nicht. Spezialisten, die mit Nachrichtendienst und Sicherheitsbehörden vertraut sind, finden das nachvollziehbar, weil interessante Zielsysteme Excel installiert haben und ihre Anwender damit arbeiten.
Kloiber: Softwareexperten haben ja darauf hingewiesen, dass die Abwärtskompatibilität von Excel gefährdet sei, wenn man solche Angriffe wirklich verhindern wolle. Wie sieht es damit aus?
Welchering: Das Problem ist der Doppel-Klick für das Nachladen von Inhalten in die Tabelle. Der kann ausgetrickst werden, indem der Angreifer das Excel-Dokument mit dem Power Query und dem Schadcode einfach mit einer älteren Excel-Version als Excel 2016 erzeugt. Dann entfällt der Doppel-Klick. Tatsächlich kann das nur verhindert werden, indem Excel Inhalte aus ältere Versionen auch erst einmal in die Sicherheitsüberprüfung schickt, also Antivirenprogramm, Verhaltensprüfung in der Sandbox. Das erfordert schon etwas aufwändigere Programmierarbeiten. Aber wenn eine solche Sicherheitssoftware in das Office-Paket wirklich integriert würde, dann wäre wirksame Verteidigung gegen Angriffe über das Datenaustauschprotokoll möglich. Und die Abwärtskompatibilität wäre dabei auch noch gewährleistet.
Kloiber: Gibt es denn Erkenntnisse, wie stark Sicherheitsbehörden und Nachrichtendienste Angriffe über das Datenaustauschprotokoll überhaupt nutzen?
Wohl sehr wichtiges Tor zu Computern für Sicherheitsbehörden
Welchering: Also die üblichen Statistiken, mit denen die Sicherheitsunternehmen so auflisten, wie viele Angriffe über das Dynamic Data Exchange ihnen bekannt wurden, die helfen da nicht viel weiter. Aber wir wissen aus unterschiedlichen Analysen, dass dies ein Angriffsweg ist, den etwa die Hersteller von Spionagesoftware, die auch die Bundesregierung für Online-Überwachungszwecke gekauft hat, das Datenaustauschprotokoll nutzen. Außerdem wissen wir von Entwicklern, die früher an der Remote Forensic Software für deutsche Sicherheitsbehörden gearbeitet haben, dass DDE als Angriffsvektor auf Platz 3 der Hitliste stand, also durchaus eine gängige Methode, um diese Überwachungssoftware zu installieren. Das legt dann wiederum nahe, dass die Sicherheitsbehörden auf diesen Angriffsweg angewiesen sind.
Kloiber: Nutzen außer den Sicherheitsbehörden noch andere Gruppen, zum Beispiel der organisierten Kriminalität, diesen Angriffsweg?
Welchering: Da gibt es ja die von Professor Pohl schon vor längerer Zeit aufgestellte These, dass Hackergruppen, die für die organisierte Kriminalität arbeiten, ungefähr zwei Jahre nach der Entwicklung einer Angriffssoftware für die Sicherheitsbehörden in den Besitz dieser Angriffssoftware gelangen und die dann auch einsetzen.
Kloiber: Peter Welchering über die Sicherheitsprobleme mit Microsofts Dynamic Data Exchange, danke.