RSA Conference 2008 in San Francisco
In der IT-Sicherheit ist Umdenken gefragt
Während der RSA-Konferenz Anfang April 2008 in San Francisco machten die Vordenker und Lenker der IT-Sicherheitsfirmen eines deutlich: Angesichts der massiven Attacken aus dem Internet ist radikales Umdenken gefordert. Sowohl Unternehmen als auch private PC-Nutzer müssen ihre Surfgewohnheiten ändern.
Mehr Informationen rund um IT-Sicherheit findet sich nirgendwo sonst auf einem Fleck: Die RSA
Conference kombiniert ein pralles Konferenzprogramm und bekannte Sprecher mit einer respektablen
Messefläche und lockte so in diesem Jahr über 17.000 IT-Sicherheitsprofis nach San Francisco. Was
der wohl berühmteste Sprecher der Konferenz mitteilte, kann leider nicht berichtet werden, denn der
klimaschützende Ex-US-Vizepräsident Al Gore hatte der Presse ausdrücklich den Zugang zu seiner Rede
verboten, die die einwöchige Konferenz abschloss.
Die übrigen Sprecher waren weniger scheu, sodass es insgesamt über 220 Präsentationen zu sehen
und zu hören gab. Das Themenspektrum war denkbar breit – die Vorträge waren in Kategorien
eingeteilt wie "Hackers and Threats", "Cryptographers", "Deployment Strategies" oder "
Authentication". Die Präsentationen brachten – neben den unvermeidbaren Marketingsprüchen – immens
viel Detailwissen über Hacks, Produkte und Strategien, während die Keynotes die wegweisenden
Industrietrends aufzeigten.
Ein in den Keynotes stetig wiederkehrendes Motiv war die verheerende Bedrohungslage in Sachen
Attacken aus dem Internet und wie verfehlt es ist, ständig die Fehler der Vergangenheit durch
Patches ausbügeln zu müssen. Sprecher wie RSA-Boss Art Coviello, Symantec-Chef John W. Thompson
oder Microsoft-Chefstratege Craig Mundie verkauften den Zuhörern nicht etwa eine von Angreifern
bedrohte Internetwelt, die allein durch den Einsatz der Produkte ihrer jeweiligen Firmen schon zum
Ort ohne Gefahren wird. Thompson erwartet sogar, dass im Jahr 2008 erstmals mehr Schadsoftware
(Malware) als gutartige Software programmiert wird.
Stoppt die Patches
Die Manager erklärten vielmehr – jeder auf seine eigene Art und Weise – dass es komplett neuer
Strategien bedarf, um dem ausufernden Sicherheitsproblem Herr zu werden. So ist Coviello der
Ansicht, dass Bugfixing vergeudete Zeit sei und als reines Lösen von Problemen betrachtet werden
müsse, die in der Vergangenheit auftauchten. Wer ständig reagieren müsse, so meinte er, dem fehle
es an Zeit, wirksame Strategien zu erdenken und umzusetzen. Außerdem mangele es in vielen
Unternehmen noch am dringend nötigen Sicherheitsbewusstsein. Eine Befragung ergab, dass auf jedem
zweiten USB-Stick vertrauliche Daten gespeichert werden. Obendrein lassen sich zwei Drittel des
geistigen Eigentums eines Unternehmens per E-Mail verschicken, da es beispielsweise in
Office-Dokumenten gespeichert wird.
Laut Art Coviello verhindern die schier unbeschränkten Sicherheitsrisiken wichtige Neuerungen in
Firmen. Er forderte die IT-Sicherheitsexperten im Publikum auf, nicht reflexartig mit der Phrase "
das ist nicht sicher, das geht nicht" auf Vorschläge und Ideen zu reagieren. Stattdessen sollten
die Experten besser Risiko und Gefahren jedes neuen Projekts analysieren, um dann mit einer perfekt
auf die Neuerung abgestimmten Sicherheitsstrategie aufzuwarten. Zu guter Letzt forderte Art
Coviello gar das Ende der klassischen IT-Sicherheitsfirmen. Produkte, die Löcher in anderen
Produkten nur durch ständiges Anflicken stopfen, seien überholt. Stattdessen müsse "Sicherheit ein
integraler Bestandteil der IT-Infrastruktur werden", so der RSA-Boss.
Ohne radikales Umdenken keine Sicherheit
Drastischer noch als die anderen Firmenvertreter formulierte die Leiterin von IBM Internet
Security Systems, Val Rahmani. Sie gab unumwunden zu, dass sie keinen Sinn darin sehe, weiter am
ewigen Wettlauf zwischen Internetkriminellen und IT-Sicherheitsfirmen teilzunehmen. Ihrer Ansicht
nach wird viel zu viel Zeit – und demnach auch Geld – darauf verwandt, immer neue Angriffsmethoden
abzuwehren und Bugs zu jagen. Das veranlasste sie zu der provozierenden und eher scherzhaften
Aussage, dass sich IBM aus dem Sicherheitsgeschäft zurückziehe. Ernst ist ihr aber die Absicht, auf
eine gänzlich neue Strategie überzugehen: Es muss von nun an darum gehen, Software so zu
entwickeln, dass sie auch auf kompromittierten Systemen funktioniert. Programmierer sollten einfach
davon ausgehen, dass Clients wie auch Server mit Malware verseucht sind, und trotzdem Wege finden,
einwandfrei funktionierende Software zu schreiben.
Ein sowohl in Keynotes als auch in Konferenzvorträgen oft angesprochenes Thema war die
Authentifizierung von Internetsurfern. Verisign-Boss Jim Bidzos sagte, dass das Thema in
Unternehmen inzwischen so fest verankert sei, dass es im Firmenumfeld als angekommen und bewältigt
angesehen werden könne. Ein gänzlich unbestelltes Feld sei aber die private Nutzung des Internets.
Hier gebe es bestenfalls rudimentäre Ansätze, den Surfer zu erkennen. Benutzername und Passwort
hier, PIN-Code da: Jeder Anbieter eines Webdienstes kocht sein eigenes Süppchen, es fehlt an einer
einheitlichen Strategie. Wie diese Strategie aussehen soll, wussten allerdings weder Bidzos noch
Microsoft-Stratege Mundie.
Mundie nämlich forderte in seiner Keynote diversifizierte Authentifizierungsmöglichkeiten. So
müsste es beispielsweise möglich sein, lediglich das Alter des Nutzers zu übermitteln, ohne
sonstige Daten preiszugeben. Dies könnte einerseits bei Angeboten für Erwachsene nützlich sein,
andererseits ließe sich so aber auch sicherstellen, dass für Kinder und Jugendliche gedachte
Chat-Räume auch nur von diesen jungen Websurfern aufgesucht werden könnten. Mundie plädierte für "
End-to-End Trust" (www.microsoft.com/endtoend), also eine geschlossene Vertrauenskette, die von der
Hardware über das Betriebssystem und den Softwareanwendungen bis hin zum Anwender reichen soll.
Offener Dialog erwünscht
Hardwaregrundlage hierfür könnten die seit Jahren verfügbaren, aber bisher wenig genutzten
TPM-Chips (Trusted Platform Module) sein. Ein TPM stellt beispielsweise sicher, dass das
Betriebssystem samt laufenden Anwendungen zu einem bestimmten Zeitpunkt nicht kompromittiert ist.
Wenn eine unfehlbare Identifizierung des Nutzers hinzukommt, ist das von Mundie gewünschte
Vertrauen sichergestellt.
Obwohl er Microsoft vertritt, denkt Craig Mundie über den Tellerrand hinaus: Ihm ist klar, dass
eine solche Kette, wie er sie sich wünscht, nur dann zu erreichen ist, wenn alle Hersteller an
einem Strang ziehen und sich auf offene Standards einigen, wie sie zum Beispiel bei der
Authentifizierung des Users zwingend nötig sind. Andernfalls nämlich kämpfen weiterhin diverse
Verfahren um die Gunst der Anwender, und die für den Erfolg des Konzepts unabdingbare Akzeptanz
kommt nicht zustande. Von daher sieht Microsoft das End-to-End-Trust-Konzept als Aufruf zu einem
Dialog. Eingeladen zum Gespräch sind alle, die mit Internetsicherheit zu tun haben: de facto alle
Internetnutzer und sämtliche Firmen, die Geschäfte im und mit dem Netz betreiben.
Wie üblich kamen nach der Ankündigung Gerüchte auf, Microsoft versuche ein weiteres Mal, eigene
Produkte in den Mittelpunkt zu rücken und kleinere Firmen auszustechen. Dazu George Stathakopoulos,
General Manager für Trustworthy Computing bei Microsoft, in einem Exklusiv-Gespräch mit LANline: "
Für uns ist dieses Konzept weder eine leere Marketinghülle noch ein Versuch, andere Firmen aus dem
Markt zu drängen. Die Sicherheit im Internet ist ein Thema, dass wir auch gar nicht allein stemmen
können. Wir brauchen jetzt schnell den Dialog mit anderen Mitspielern wie Banken,
Webseitenbetreibern und Anbietern von Sicherheitsprodukten. Ob daraus konkrete Produkte
resultieren, die unter anderem wir zu Geld machen können, ist jetzt noch nicht abzusehen."
Selbstverständlich gaben sich auch die Krypto-Gurus Whitfield Diffie, Martin Hellman, Ronald
(Ron) Rivest, und Adi Shamir auf der RSA Conference 2008 wieder ein Stelldichein. Sie äußerten sich
während des traditionellen "Cryptographers´ Panel" zu Themen wie Wahlcomputern und
Bluray-Gerüchten. Whitfield Diffie sagte, dass die Kryptografie in den letzten 80 Jahren zwar
immense Fortschritte gemacht habe, dass dies aber nicht genüge, dem "Durcheinander im Internet"
beizukommen. Es reiche nicht, sich immer nur zu verteidigen: "Was wir über Jahre sichern, nehmen
die in Stunden wieder auseinander", sagte Diffie mit Bezug auf die Angreifer. Also müsse zum
Beispiel die Regierung Cyber-Kriminelle aktiver verfolgen.
Ron Rivest äußerte sich über elektronische Wahlmaschinen. Ohne starke Kryptografie seien solche
Maschinen nicht einsetzbar. Rivest hat in den vergangenen Monaten zusammen mit anderen
Wissenschaftlern an einem Konzept gearbeitet, mit dem ein Wahlcomputer de facto abgesichert werden
könne. Entscheidend sei hierbei, dass das System nicht gänzlich von Software abhänge, damit das
Wahlergebnis nicht unbemerkt durch Bugs oder Einfallstore verfälscht werden könne. Rivest bevorzugt
Systeme, die in Teilen auf Papier basieren und so eine wirksame Kontrolle der Ergebnisse
zulassen.
Zu guter Letzt dachte Adi Shamir laut darüber nach, warum der Kampf zwischen Bluray und HD-DVD
mit dem Untergang der HD-DVD endete. Shamir zitierte ein Gerücht, wonach das entscheidende Urteil
der Warner-Filmstudios darauf beruhte, dass Bluray das bessere Sicherheitskonzept habe. Zwar wurde
der Kopierschutz beider Formate geknackt, Bluray bringe im Gegensatz zu HD-DVD jedoch
Update-Funktionen mit, sodass eine Lücke geschlossen werden kann. Wäre dem tatsächlich so, dann
hätte laut Shamir das Thema "Sicherheit" auch Einzug in die Unterhaltungselektronik gefunden.
Lesen Sie mehr zum Thema
