Datum 09.09.2024

In einer vor Kurzem veröffentlichten Publikation mit dem Titel „EUCLEAK“ wiesen Forscher auf eine mögliche Verwundbarkeit verschiedener Produkte hin, welche eine Kryptobibliothek des Herstellers Infineon Technologies AG nutzen. Mittels einer Seitenkanalattacke und einer neuartigen Analysemethode konnte dort ein erfolgreicher Angriff durchgeführt werden. Auch zertifizierte Produkte waren betroffen.

Bei einer Seitenkanalattacke handelt es sich um eine Angriffsmethode, bei der Informationen über Rechenoperationen von Halbleiterschaltkreisen gemessen und anschließend durch spezielle und hier neuartige Analysemethoden ausgewertet werden. Auf diese Weise konnten die Sicherheitsforscher bei Kryptooperationen Daten extrahieren. Für den Angriff ist ein direkter physischer Zugang zu dem entsprechenden Gerät nötig.

Der Halbleiterhersteller Infineon konnte in enger Kooperation mit der zuständigen Prüfstelle und dem BSI die gemeldete mögliche Verwundbarkeit analysieren und den Angriffspfad validieren. Im Zuge eines SOG-IS Coordinated Vulnerability Handling Process hat das BSI relevante Stakeholder wie z.B. andere europäische Zertifizierungsstellen informiert.

Aufgrund der detaillierten Ursachenanalyse und der Entwicklung einer wirksamen Mitigationsstrategie durch den Hersteller kann die mögliche Verwundbarkeit für betroffene Produkte des Herstellers bereits behoben werden. Das BSI empfiehlt allen weiteren Herstellern und Kunden entlang der Produktverwertungskette, auf Produktupdates zu achten. Updates sollten durch Entwicklerinnen und Entwickler entsprechend in die eigenen Entwicklungsprozesse integriert werden. Endkundinnen und -kunden wird empfohlen, jeweilige Patches zu installieren oder Produktupdates zu nutzen.

Dr. Gerhard Schabhüser, Vizepräsident des BSI: "Die Sicherheit von IT-Produkten ist ein Grundpfeiler der Cybernation Deutschland – das trifft insbesondere auf zertifizierte Produkte zu. Aber auch hier gilt: 100-prozentige Sicherheit gibt es nicht. Umso wichtiger sind für eine ganzheitlich gedachte Cybersicherheit effiziente, erprobte und skalierende Schwachstellenhandling- und -behebungsprozesse. So können neuartige Schwachstellen im Idealfall bereits im Zuge von Zertifizierungsverfahren behoben werden, und auch im Nachgang ist eine schnelle Reaktion möglich."