Skip to main content

Die wichtigsten Hardware-Sicherheitslecks im Jahr 2021

Auch Hardware enthält Sicherheitslücken – basierend auf der Art der Schwachstelle hat das Mitre-Projekt eine Rangfolge für das Jahr 2021 erstellt.

Jeder im Security-Bereich kennt die OWASP Top 10 der gefährlichsten Lücken in Web-Applikationen. Das Community-Projekt Common Weakness Enumeration (CWE) hat jetzt eine Liste der gravierendsten Schwachstellen in Hardware zusammengestellt. Das fängt an bei Geräten, deren Firmware sich nicht aktualisieren lässt.

Ähnlich wie die im Juli präsentierten Top 25 der Softwarefehler soll die Liste der Hardware-Lücken ein Augenöffner sein und Bewusstsein schaffen, um Schwachstellen an der Quelle zu vermeiden. Sie soll auch Analysten und Test-Ingenieuren helfen, Sicherheits-Tests und -Bewertungen vorzunehmen. Dazu zeigen die Listeneinträge Beispiele auf und passend dazu, wie man die dadurch erschaffene Sicherheitslücke verhindert.

Zwölf typische Fehler

Die vorgestellte Liste für das Jahr 2021 umfasst zwölf typische Fehler, die die Sicherheit von Hardware gefährden. Anders als die erwähnten Top-X-Listen sind jedoch die Hardware-Probleme nicht mehr weiter gewichtet, sondern schlicht nach ihrer CWE-Nummer sortiert. Ein typisches Problem ist es, wenn eine Firmware gar nicht erst aktualisierbar ist, um Fehlerbehebungen einzuspielen (CWE-1277).

Weniger offenbar, aber beispielsweise für geschützte sensible Schlüssel schlimm: Wenn Manipulationen an Lock-Bits Schreib- oder Lesesperren aufheben (CWE-1231). Dadurch ließen sich dann eigentlich geschützte Daten auslesen oder gar verändern. Aber auch der ungeeignete Schutz von physikalischen Seitenkanälen taucht als oft aufgetretenes Problem auf (CWE-1300).

Wer sich mit Hardware-Entwicklung befasst, sollte sich auch bei den weiteren Einträgen umschauen. Es gibt diverse Varianten, wie man unbeabsichtigt die Sicherheit von Hardware schwächen kann. Hier liefert die aktuelle CWE-Liste wertvolle Hinweise, wie man die eigene Entwicklung von Grund auf sicherer gestalten kann.

Quelle: heise.de