zurück zur Übersicht

Datenpanne bei Dell: Der Root-Zertifikat-Leak und wie man sich schützen kann

verschlüsseltInnerhalb kurzer Zeit kommt es beim Hardwarehersteller Dell zur zweiten großen Datenpanne. Dell hat, mutmaßlich aus Versehen, bei der Auslieferung von Notebooks und bei der Installation einer Wartungssoftware ein Dell-eigenes (internes) Root-Zertifikat inklusive dem privaten Schlüssel dieses Zertifikats auf Dell Kundenrechnern ausgerollt. Böswillige Angreifer können sich gegenüber Dell Rechnern als beliebige, vertrauenswürdige Websites ausgeben und somit sensitive Daten wie bspw. Passwörter oder Online Banking Accounts abfangen. Hierzu müssten sie nur ein fingiertes Zertifikat erstellen und dieses mit dem Root-Zertifikat von Dell signieren.

Um den möglichen daraus resultierenden Gefahren aus IT-Security-Sicht effektiv und umfänglich zu begegnen, sollte man mehrere Maßnahmen ergreifen:

1.    Dell Rechner müssen gepatcht werden
Es ist unumgänglich, dass die betroffenen Dell Rechner gepatcht werden und somit das in Frage kommende Root-Zertifikat entfernt wird. Ein Patch ist auch erforderlich, da ansonsten die Wartungssoftware von Dell das entfernte Zertifikat erneut installiert. Hierbei hilft ein Patch Management System, um firmenweit Patches ausrollen zu können.
2.    Prüfen welche Rechner noch betroffen sind

Es muss firmenweit festgestellt werden, welche Rechner betroffen sind. Der Test auf betroffene Rechner muss mehrfach erfolgen, unter anderem auch, um nach erfolgter Patch Einspielung nicht bereinigte Rechner zu ermitteln. Hierbei helfen Endpoint Security Lösungen wie Tanium oder Forescout, um die Konfiguration aller Rechner im Netzwerk abzufragen.
3.    Certificate Revocation List (CRL) aktualisieren
Nicht vertrauenswürdige Zertifikate, d.h. alle Zertifikate welche vom betroffenen Dell Root-Zertifikat ausgestellt wurden sowie das Root-Zertifikat selbst müssen in die Certificate Revocation List aufgenommen werden. Zukünftige Kommunikationsversuche, welche das betroffene Zertifikat verwendet, werden somit unterbunden.
4.    Auf Netzwerkebene mögliche Verbindungsversuche unterbinden
Verbindungsversuche müssen auf Netzwerkebene erkannt und verhindert werden. Hierbei helfen Next Generation Firewalls wie die des Herstellers Palo Alto Networks. Hiermit wird die Verwendung von bestimmten SSL-Zertifikaten erkannt und es kann darauf reagiert werden. Beispielsweise kann die Kommunikation unterbunden und dem Client-PC ein Warnhinweis in Form einer Website zugesendet werden.
5.    Erfolgte Verbindungsversuche erkennen und forensisch untersuchen
Logmanagement und SIEM Systeme helfen dabei, bereits erfolgte Kommunikation zu ermitteln und forensische Analysen durchzuführen. Dies hilft sowohl dabei die Schadenslage zu ermitteln als auch durch Gegenmaßnahmen, weiteren Schaden zu verhindern.

Sind Sie sich nicht sicher, wie gut Sie gegen Sicherheitsvorfälle dieser Art gewappnet sind oder wie Sie effektiv und effizient auf mögliche Vorfälle reagieren können?  Melden Sie sich doch bei uns. Wir helfen Ihnen gerne weiter.


Quellen:

https://krebsonsecurity.com/2015/11/security-bug-in-dell-pcs-shipped-since-815/
http://www.heise.de/security/meldung/
http://www.laptopmag.com/articles/dell-certificate-security-flaw

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer