RSA-Sicherheitskonferenz in San Francisco
Neue Löcher in alten Schuhen
Auf der RSA-Sicherheitskonferenz in San Francisco trafen sich Anfang Februar wieder mehr als 10.000 Interessierte, um aktuelle Themen zum Thema Sicherheit zu diskutieren. Diesmal standen veränderte Bedingungen beim Umgang mit Informationen im Vordergrund. Außerdem wurde die Rolle der Anwender mit besonderer Aufmerksamkeit bedacht.
Der Besuch einer Sicherheitskonferenz sensibilisiert ganz erstaunlich. Da war zum Beispiel der
Sicherheitsmann, der den großen Saal bewachte. Er ließ den Journalisten nicht durch und erklärte,
auf den Tischen für die Presse könne gar kein Adapter für europäische Stromkabel liegen, da er
persönlich abends alle Tische überprüfe. Was er da finde, räume er weg, also solle der Journalist
doch im Fundbüro nachfragen.
Als der Journalist zwei Stunden später den Raum betrat, um sich auf die erste Keynote des Tages
vorzubereiten, ging er zu dem Tisch, an dem er am Vortag gesessen hatte. Siehe da: Der Adapter
steckte noch in der Steckdose, wo er ihn am Vortag vergessen hatte.
Der Raum, in dem die Keynotes abgehalten wurden, machte des Sicherheitsmannes wegen einen sehr
sicheren und sauberen Eindruck. Ob man den Türsteher allerdings darin geschult hatte, flexibel auf
mögliche Bedrohungen zu reagieren, ist schon wieder eine ganze andere Frage.
Patchwork-Sicherheit als Thema
Eines der beiden großen Themen auf der diesjährigen RSA-Sicherheitskonferenz in San Francisco
war die so genannte "Patchwork-Sicherheit". Sicherheitsfunktionen und Sicherheitshardware werden
nach wie vor nur an bestehende Infrastruktur angehängt. Das zweite Thema war der Anwender selbst,
der sich mit den Sicherheitsmaßnahmen konfrontiert sieht.
Der eingangs erwähnte, gut siebzigjährige Sicherheitsmann verkörpert das erste Thema: Er
sicherte den Keynote-Raum tatsächlich. Niemand kam hinein. Allerdings war der Mann nachträglich an
die Tür gestellt worden und hatte als "Volunteer" bei einer Abendveranstaltung ein paar Hinweise
für sein Verhalten bekommen. Dann wurde er auf die Gäste losgelassen. Man hatte ihm gesagt, er
solle den Raum sauber halten, und dafür wurde er vielleicht sogar bezahlt. Wie er auf jeden
einzelnen "Anwender" reagieren sollte, wusste er nicht.
Der Journalist verkörpert das zweite Thema, den Anwender. Er musste mit den
Sicherheitsprozeduren klar kommen, die man ihm vor die Nase gesetzt hatte. Im konkreten Fall
kümmerte sich niemand darum, ob ihm das ganze passte oder ob er unter diesen Umständen vernünftig
arbeiten konnte. Dabei war er der Betroffene: Seine Arbeit und seine Laune litten unter der
mangelnden Flexibilität des Sicherheitssystems. Folglich verfluchte er das ganze System und
überlegte sich, wie er in Zukunft diesen Wahnsinn umgehen könne. So einfach schafft sich eine
billige Sicherheitsprozedur ihre eigenen Gegner und damit die ersten Lücken.
Sicherlich gibt es unter den Anwendern von IT-Systemen nicht nur Menschen, die versuchen, die
ihnen auferlegten Sicherheitsvorkehrungen zu umgehen. Viele tun unwissentlich das Falsche. "Wir
sind Menschen, und Menschen machen nun einmal Fehler", sagte Craig Mundie, Chief Research und
Strategy Officer bei Microsoft. Zusammen mit Bill Gates hielt er eine Keynote, auf die viele
Besucher besonders gespannt waren, da Microsoft eine Woche zuvor das neue Betriebssystem Windows
Vista auf den Markt gebracht hatte. Mundie betonte zwar, dass Vista das sicherste Betriebssystem
aller Zeiten sei – er wies aber auch darauf hin, dass das nicht heiße, dass es wirklich wasserdicht
sei.
Und so sorgte Mundie unfreiwillig für das inoffizielle Motto der Veranstaltung: Trotz neuer
Wege, die das Microsoft bei Vista im Vergleich zum Vorgänger in puncto Sicherheit geht, hörte sich
das Ergebnis ein wenig nach "neuen Löchern in alten Schuhen" an. Mundie rechtfertigte die
bestehenden Lücken damit, dass das Sicherheitsproblem größer statt kleiner werde, wenn immer mehr
Menschen mit immer mehr Endgeräten von überall auf der Welt Zugriff auf das Internet und somit auf
ihre Daten haben wollen. Auf dem Weg zu einer vollständig sicheren und einfach zu handhabenden
IT-Welt setzt Microsoft auf das IPv6 und IPSec, um die IP-Kommunikation sicherer zu machen.
Neue Gerätevielfalt
Das von Mundie und Gates beschriebene Szenario der Kommunikation mittels unzähliger Endgeräte
überall auf der Welt macht ein Umdenken der Anbieter und Anwender nötig. Die Daten liegen nicht
mehr länger hinter hohen Mauern, wo sie sicher sind; sie werden immer beweglicher. Darum bringe es
auch nichts, die Mauern noch ein wenig höher zu bauen und dicker zu machen, sagte Mundie. Wenn die
Daten die Burg verlassen, spiele es keine Rolle, wie stark die Festung sei, sagte er.
Wenn es nach ihm geht, sollten die Daten in Zukunft auch sicher sein, wenn die Zugbrücke unten
ist. "Risk-Assessment" heißt hier das Schlagwort: Risiken einschätzen und bewerten. Statt Leute aus
den Netzen auszusperren, sollten die Entscheider darüber nachdenken, wie sie garantieren können,
dass die Anwender, die sie in ihre Burg einladen, vertrauenswürdig seien. Hier stehen die Experten
aber noch am Anfang, denn auch die IT-Verbrecher sehen ihren Vorteil: "Die Burgmauern sind zu dick,
also legen wir uns auf die Lauer und warten, bis die Daten die Burg verlassen. Dann attackieren wir
den Anwender direkt." Der Mensch als Schwachstelle, "the weakest link", wird zum Zentrum des
Interesses für Gute und Böse.
Art Coviello, dem CEO von RSA Security, kamen die Ausführungen von Gates und Mundie gerade
recht. Er wies in seiner Keynote darauf hin, dass es ein Fehler sei, Sicherheit nach wie vor als
ein "Add-on" zu sehen. " In der heutigen Zeit müsse Security mit in die Planung der Infrastruktur
eingezogen werden. Dies sei in der Realität nach wie vor nicht der Fall, meinte er.
Aus diesem Grund glaube er nicht, dass es in Zukunft weiter Security-Firmen geben werde, die
alleine vor sich hin entwickeln würden. Damit spielte er auf ein anderes großes Thema der
diesjährigen Konferenz an: Die Kaufwut von EMC. EMC hatte in der zweiten Hälfte 2006 RSA gekauft
und vor kurzem die Übernahmen von Valyd Software Privat Ltd. angekündigt – das Unternehmen aus
Indien gilt als Vorreiter bei der Datenbank- und Dateiverschlüsselung. Mit diesen Zukäufen soll es
EMC-Kunden künftig möglich sein, Sicherheit konsequent ins Unternehmenskonzept mit einzubeziehen.
Sicherlich sei es vertretbar, dass Unternehmen Produkte von unterschiedlichen Anbietern kaufen, so
Coviello. Der Vorteil der Sicherheit aus einer Hand mache sich aber unter anderem beim Support
bemerkbar, wenn der Kunde nicht mehr darauf achten müsse, dass alles im Unternehmensnetz auch
irgendwie zusammenpasse. Als weiteren Punkt führte Coviello ins Feld, dass Sicherheitsmechanismen
viel effektiver seien, wenn sie auf ein Produkt genau abgestimmt seien.
Alles aus einer Hand
John Worrall, Vizepräsident Netwok Intelligence bei RSA, nannte das von Coviello beschriebene
Konzept "Security from the ground on". Zurzeit sei es durchaus noch so, dass die RSA-Mitarbeiter
schon einmal Kopfschmerzen bekämen, wenn irgendwo auf der Welt ein findiger Entwickler plötzlich
mit der Idee zu einem neuen Endgerät aufwache und dieses dann so schnell wie mögklich auf den Markt
bringe. "Die sollten uns anrufen, bevor sie loslegen. Wenn wir sie dazu bringen, schon bei den
ersten Skizzen auch über Sicherheit nachzudenken, haben wir einen Teil des Weges geschafft", sagte
Worrall am Rande der Konferenz. Die Kommunikation zwischen Entwicklern von Produkten und
Entwicklern von Sicherheitslösungen funktioniert bisher längst noch nicht gut genug.
John Swainson, CEO von CA, würde diesen Satz zweifellos unterschreiben. In seiner Rede
philosophierte er darüber, dass wir lieber jahrelang an Standards herumfeilen würden, um diese dann
an bestehende Produkte "anzukleben", statt dafür zu sorgen, dass niemand unsichere Lösungen auf den
Markt bringen könne. "Wenn die Industrie das nicht endlich selbst hinbekommt, wird am Ende noch die
Regierung dafür sorgen, dass wir uns entsprechend verhalten", machte er Angst vor der staatlichen
Regulation.
Access-Management, Anti-Virus, Anti-Spam – im Grunde sei ja alles da, um Endgeräte und
Applikationen sicherer zu machen, meinte Swainson. Allerdings existiere all das eben nur in Form
von Patchwork-Lösungen, die auf bestimmte Nutzer und Regionen zugeschnitten seien. Ein Einkauf über
Kreditkarte sei in den USA ein kalkulierbares Risiko. Beim gleichen Szenario in Rumänien und von
einem Handheld aus müsse beim Nutzer aber die rote Warnlampe aufleuchten. Das schlimmste an diesem
Puzzlespiel sei schließlich, dass man immer schon mit den nächsten großen Schritten in der
Entwicklung der Kommunikation rechnen müsse.
Menschenschutz
Auch Burt Kaliski, der Chefentwickler von RSA, hat den Menschen als Unsicherheitsfaktor
ausgemacht. Als "Weak Link" benötige der einzelne besonderen Schutz. Zum Einen solle die
IT-Sicherheit so bequem sein, dass der Anwender nicht auf den Gedanken komme, sie zu umgehen. Unser
Journalist zum Beispiel solle nicht laut fluchend davon rennen und später dem Sicherheitsmann den
wiedergefundenen Adapter mit hochrotem Gesicht unter die Nase halten. Er sollte sich viel mehr wohl
fühlen. wenn man ihm auf die Finger klopft. Vor allem aber solle er verstehen, warum ihm mitunter
das Leben schwerer gemacht werden müsse. "Das ist eines der Probleme: Der User versteht Sicherheit
nicht, und der Systemdesigner versteht den User nicht", sagte Kaliski.
Der Journalist vertraute zumindest zeitweise auf die Fähigkeiten der Security und glaubte, sein
Adapter sei nicht mehr im Keynote-Raum. Der IT-Anwender denkt: "So bald ich meinen Namen und ein
Passwort eingebe, bin ich sicher".
Wer hat dem Journalisten aber eigentlich garantiert, dass der Mann an der Tür wirklich ein
Aufpasser ist, der von RSA bezahlt wird? "Wer garantiert Ihnen, dass in dem Taxi an der Ecke auch
wirklich ein Taxifahrer am Steuer sitzt? Wenn ein Anwender glaubt, solange er das Schloss im
Browserfenster sehe, sei er sicher, habe ich auch ein paar schlechte Nachrichten für ihn", sagte
Kaliski. Im Normalfall hat der Durchschnittsanwender kaum Ahnung von der Materie und vertraut
einfach auf die Sicherheit von Anwendungen. Weil er so vorgeht, gilt er unter Experten als schwer
einschätzbar. Aber wer nun kümmert sich wirklich um den Anwender – zum Beispiel beim
Online-Banking? Der Provider ist es bestimmt nicht.
"The Bank cares absolutely!" versicherte Chris Young, Vizepräsident Financial Services Solutions
von RSA. Amerikanische Banken zum Beispiel arbeiten zur Authentifizierung ihrer Online-Auftritte
beim Anwender mit Fotos von Kontoinhabern – zusätzlich zu angeblich sicherem Browsing samt
Schlosssymbol und HTTPS. Das Foto personalisiert die Online-Site, auf der der Anwender sein Konto
verwaltet und Finanztransaktionen vornimmt. Ein "Phisher" weiß nicht, welches Foto der Kontonutzer
vorher hochgeladen hat, und kann eine gefälschte Seite nicht damit ausstatten – so fällt der
Unterschied eher auf. Jetzt muss nur noch sichergestellt werden, dass die Person, die das Bild
auswählt und wiedererkennt, auch wirklich der Anwender ist – und nicht jemand, der mit dem
legitimen Anwender nur hinreichend vertraut ist. Wechselseitige Authentifizierung ist eine
Sicherheitsfunktion mehr auf dem Weg zum perfekten Patchwork.
Menschenschwäche
Dass der Anwender einerseits nicht immer unschuldig ist und andererseits leicht missbraucht
werden kann, zeigt eine Studie von Nortel Networks. Ron Pon und Kim Edwards, Security-Spezialisten
bei Nortel, brachten die Besucher mit einer neuen Variante einer Geschichte zum Lachen, die
eigentlich zum Weinen ist: Da verteilt eine Handvoll Männer nächtens 50 USB-Sticks in einem
Bürogebäude, etwa an einer Kaffeemaschine, am Waschbecken auf der Toilette, auf einem Tisch im
Konferenzraum und so weiter.
Als die Firmenmitarbeiter am Morgen das Gebäude betreten, nimmt das Drama seinen Lauf. Während
des Arbeitstages finden die Angestellten die kleinen Laufwerke. Auf ihnen schlummert ein Trojaner,
der, sobald der Stick mit einem PC verbunden wird, über das Internet eine Meldung an einen Server
schickt. Der Server registriert die Meldung, dass der Stick angesteckt wurde und zählt fleißig mit.
Am Ende des Tages sind alle 50 USB-Sticks angesteckt worden. Alle Trojaner konnten eine Meldung an
den Server absetzen. Ein ähnliches und nicht minder erfolgreiches USB-Experiment bei einem
Kreditinstitut hatte Steve Stasiukonis, Vice President und Gründer von Secure Network Technologies,
vor einigen Monaten in der englischsprachigen Onlinepublikation "Dark Reading" beschrieben.
Am Ende der Veranstaltung waren alle wieder am Anfang, als es Brian Smith von 3Com auf den Punkt
brachte: "Just to much! Wir müssen durch eine Konsolidierungsphase, um das alles handhabbar zu
machen – all die Geräte, Applikationen und Lösungen."
Im Gegensatz zu Art Coviello ist Smith der Meinung, dass es in ein paar Jahren sehr wohl noch
spezialisierte Security-Unternehmen geben wird – allerdings würden diese wohl keine punktuelle
Sicherheit mehr anbieten können, sondern sie müssten ganzheitliche Konzepte und Lösungsansätze
bieten, denn manchmal ist weniger einfach mehr.
Lesen Sie mehr zum Thema
