BSI will Zugang von Cyber-Unternehmen zu Windows-Kernel beschränken

Von Catherine Stupp

BERLIN (Dow Jones) - Nach dem Blue-Screen-Debakel im vergangenen Monat hat Crowdstrike Analysen darüber, was schiefgelaufen ist, veröffentlicht, und externe Sicherheitsfirmen mit der Überprüfung seines Produkts beauftragt. Nun will das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Gunst der Stunde nutzen und Tech- und Cyber-Unternehmen dazu bewegen, ihre Produkte so zu verändern, dass sich ein weiterer Meltdown in dieser Größenordnung nicht wiederholt. Dabei nimmt das BSI insbesondere den Zugang ins Visier, den Microsoft Sicherheitsanbietern zu seinem Windows-Kernel gewährt, einem zentralen Bestandteil seines Betriebssystems. Darüber hinaus strebt die Behörde grundlegende Änderungen in der Art und Weise an, wie Crowdstrike und andere Cyber-Unternehmen ihre Tools entwickeln, in der Hoffnung, diesen Zugang einzuschränken.

"Das Wichtigste ist, zu verhindern, dass so etwas wieder passieren kann", sagte Thomas Caspers, Abteilungsleiter Technik-Kompetenzzentren im BSI. Das BSI will in diesem Jahr eine Konferenz mit großen Technologieunternehmen organisieren, auf der diese sich, so die Hoffnung des BSI, zu einer Beschränkung des Zugangs zum Kernel verpflichten. Caspers zufolge ist dies ein entscheidender Schritt, um ähnliche Ausfälle zu verhindern. "Wir erwarten, dass jedes Unternehmen sehr genau angibt, was es auf der Grundlage unserer Vereinbarungen tun wird", sagte er.

Am 19. Juli stürzten 8,5 Millionen Microsoft-Windows-Geräte ab, nachdem Crowdstrike zufolge ein fehlerhaftes Update seiner Sicherheitssoftware veröffentlicht worden war. Mit dem Zugang zum Microsoft-Kernel verbreitete sich das fehlerhafte Update auf Windows-Geräte weltweit. Der Ausfall warf die Frage auf, wie und warum Cyber-Unternehmen wie Crowdstrike Zugang zum Windows-Kernel haben.

Crowdstrike und seine Konkurrenten entwickeln ihre Produkte ausdrücklich so, dass sie vom Zugang zum Windows-Kernel profitieren, der unter anderem Daten liefert, die bei der Erkennung von Cyberangriffen und Bedrohungen helfen sollen. In einem Blogbeitrag vom 9. August schrieb Crowdstrike: "Produkte wie Firmware-Analyse oder Gerätesteuerung wären ohne dieses Design nicht möglich."

Andere - darunter auch Caspers - sind jedoch der Meinung, dass die Risiken, die mit dem Zugang von Cybersicherheitsunternehmen zum Kernel verbunden sind, zu groß sind. "Es ist nicht akzeptabel, diese Tools im Kernel-Modus mit all dem Zugriff zu betreiben, den man heute sieht", sagte er. Cyber-Unternehmen könnten andere Technologien nutzen, um Angriffe zu erkennen, während sie im Benutzermodus bleiben, fügte er hinzu. "Das wichtigste Ergebnis wird sein, dass sie das ändern."

Kontakt zum Autor: unternehmen.de@dowjones.com

DJG/DJN/brb/sha

Copyright (c) 2024 Dow Jones & Company, Inc.