Das seltsame Treiben der Industrie
Security-Anbieter in der Kritik
Die Hersteller von Sicherheitslösungen sind in den letzten Jahren aus ihrem Marktnischendasein herausgetreten. Die Branche ist längst zum akzeptierten Mainstream geworden und generiert Milliardenumsätze. Nicht immer geschieht dies freilich zum Vorteil der Kunden. Quo vadis Security-Industrie? Eine Bestandsaufnahme ist fällig.
Im Fokus der Kritiker der Security-Industrie steht weniger der Vorwurf, man verdiene mit der
IT-Sicherheit (zu) gutes Geld. Ins Visier rücken vielmehr vor allem die löchrigen Schutzkonzepte.
Bruce Potter nennt das Kind gerne beim Namen, obwohl er weiß, dass er sich damit nicht nur Freunde
macht. So präsentierte der Experte im vergangenen Jahr auf der Hackerkonferenz Defcon im
Spielerparadies Las Vegas seine provokativen Behauptungen unter dem Titeel "The Dirty Secrets of
the Security Industry" vor einer zahlreich versammelten Zuhörerschaft. Der Video-Stream dazu ist
noch auf Google
abrufbar
(siehe Kasten).
Um sich selbst vor den Nebenwirkungen seines gesprochenen Wortes zu schützen, streut der Gründer
der Non-Profit-Organisation
Shmoo Group gern zu Beginn seiner Vorträge
entsprechende Warnhinweise mit ein. "Viele Zuhörer werden in großen Teilen meiner Präsentation
nicht zustimmen. Fühlen Sie sich also frei, den ersten Stein zu werfen", sagt Potter. Schließlich
handle es sich bei seiner frontalen Kritik an den Marktmechanismen in der Branche nur um seine
persönliche Meinung.
Es gibt noch immer schlechten Code.
Das Ende des Firewall-Zeitalters habe zwar den Beginn der "Defense in Depth" eingeleitet,
argumentiert der Berater. Jedoch sei die erweiterte Netzwerkabwehr mit Elementen wie Intrusion
Detection, Antivirenschutz und Anti-Spam zu keiner Zeit in der Lage gewesen, die Probleme im
globalisierten Datenverkehr ausreichend in den Griff zu bekommen.
Auch mit Hilfe der Multifaktor-authentifizierung lasse sich kaum ein ausreichendes Schutzniveau
herstellen. "Es gibt immer noch schlechten Code", pointiert der Experte. Seine Hauptkritik richtet
er neuerdings auch gegen die mit viel Aufwand und Marketing propagierten serviceorientierten
Architekturen (SOA). Mit Hilfe von XML-basierten Firewalls sowie Single Sign-on lasse sich
schädlicher Code kaum ausschalten.
"Wir benötigen deshalb vor allem bessere Softwarekontrollen über unsere Systeme und nicht
bessere Firewalls, mit denen sich nur die niedrig hängenden Früchte greifen lassen", fordert
Potter, Mitbegründer des Beratungsunternehmens Ponte Technologies. Ganz neu ist diese Forderung
allerdings nicht. Es stellt sich zudem die Frage, ob es überhaupt berechtigt ist, die
Security-Branche für alle erdenklichen Schlupflöcher in den IT-Systemen und Produkten
verantwortlich zu machen.
Am radikalsten ins Gericht mit der Branche geht Sicherheitsguru
http://llschnuerer.cmpdm.de//sites/microsites/site.html?path=/bruce-schneier/index.html&pid=17313f77-31da-4f96-8955-7bcd430e79bb">Bruce
Schneier, der diese am liebsten abschaffen würde. Üblicherweise gipfelt die Branchenkritik
meist in der Forderung, nicht nur die Softwareentwicklung sicherer zu machen, sondern auch die
Softwarehersteller für Designfehler in die Haftung zu nehmen. Ein vollständig abgesicherter
Software- oder Hardwarelebenszyklus dürfte indes ein ähnlich großer Mythos sein wie der Versuch,
mit Netzwerkmechanismen ein ausreichendes Schutzniveau garantieren zu können.
Allein die Haftungsfrage zwischen den unterschiedlichen Spielern in der IT-Industrie
aufzuteilen, gleicht einer Sisyphusarbeit. Durchaus neu ist aber, dass die Kritik heute kaum mehr
ausschließlich aus den Reihen der Open-Source-Szene stammt, also von außen, sondern auch in der
etablierten Riege selbst weiter zunimmt. Und das, obwohl Experten allein dem Markt für die
Netzwerksicherheit in den nächsten Jahren ein Umsatzvolumen von rund sieben Milliarden Euro
zuschreiben.
Sind also für die Spezialisten aus der IT-Security bald die fetten Jahre vorbei? Zumindest macht
sich auch Raimund Genes, CTO Anti-Malware beim Sicherheitsspezialisten Trend Micro, seine Gedanken.
Die Eindringlinge seien immer einen Schritt voraus und Security-Lösungen als "eierlegende
Wollmilchsau" kaum greifbar. "Das sich selbst verteidigende Netzwerk ist noch in weiter Ferne",
sagt Genes.
Es sei zudem fraglich, ob sich dieses Vorhaben überhaupt realisieren lasse, "da die
Malware-Industrie auch nicht schläft." Der vor allem vom Netzwerkspezialisten Cisco geprägte
Begriff des "sich selbst verteidigenden Netzwerks" sei entwickelt worden, als es noch globale
Viren- und Wurmausbrüche gab. Heute dominieren hingegen verborgene, gleichwohl zielgerichtete und
ausgesprochen effiziente Attacken.
NAC ist von gestern
Die erste Phase der globalen Wurm- und Virenepidemien versuchten die Netzwerkspezialisten auf
der Basis einer Zugangskontrolle ins Netzwerk – etwa mit Hilfe der "Network Admission Control" – in
den Griff zu bekommen, bei dem nur vertrauenswürdige Rechner im Netzwerk zugelassen worden seien,
kommentiert Genes die Branchenhistorie.
Die Philosophie der IT-Sicherheit sei bis heute immer noch davon geprägt, dass alle Systeme dem
Unternehmen bekannt sind und über die aktuellsten System-Updates, Antivirentechnologien
beziehungsweise Signaturen verfügen müssten. Zusammen mit einer Anomalieerkennung auf dem Endgerät
sollte dieses Konzept für absolute Sicherheit sorgen. Der von führenden IT-Playern in den zurück
liegenden Jahren propagierte Ansatz half zwar zunächst bei der Systemverwaltung und dem Management
von Endgeräten. Jedoch zeigte eine Überprüfung auf bekannte Software- und Sicherheits-Updates die
bekannten Systemschwächen nicht an – also ob das System infizierbar war oder ob es bereits
infiziert wurde. Der Grund: "Unbekannte Systemschwächen werden heute nicht mehr dem Hersteller
genannt, sondern im Internet an den Meistbietenden verkauft", erläutert Genes. Folglich lasse sich
ein Endgerät kaum auf unbekannte Systemschwächen oder unbekannte Schadsoftware hin überprüfen. "
Dies ist natürlich möglich, generiert aber im Regelfall zu viele Fehlalarme", bilanziert der
Experte weiter.
"Security muss sich von einem Produkt zu einem Service wandeln", ergänzt Mikko Hyppönen, Chief
Research Officer bei F-Secure. Der Forscher sah auf der diesjährigen IT-Defense angesichts der
drohenden Übermacht aus der dunklen Seite des Internets sogar die Kapitulation der Abwehr
heraufziehen: "Im Gegensatz zur Verteidigungslinie schotten die Angreifer etwa beim Storm-Netzwerk
ihre Peer-to-Peer-Kommunikation durch Verschlüsselung von der Außenwelt ab, sodass es bei der Hydra
keinen Kopf zum Abschneiden gibt."
Pathos und Angstmarketing
Wie allerdings der konkrete Ausweg aus diesem Security-Dilemma aussehen könnte, ließ der Experte
offen. Letztlich vermarktet die Branche schließlich nicht nur Dienstleistungen, sondern vor allem
Produkte, die ergänzende Dienstleistungen beinhalten. Eines der Kernprobleme liegt in dem über
Jahre praktizierten Pathos in der Szene. Im Fachjargon lässt sich das gute Geschäft mit der Angst
als "Fear, Uncertainty, and Doubt" (FUD) charakterisieren, übersetzt etwa mit "das gezielte Streuen
von Angst, Unsicherheit und Zweifeln".
Und genau unter dieser Prämisse streut so mancher Protagonist nur allzu gerne gezielt
Halbwahrheiten oder gar Fehlinformationen in die Öffentlichkeit. So wundern sich informierte Kreise
immer wieder darüber, dass ein Hersteller vor einem akuten Schädling warnt – etwa ein mobiler
Bluetooth-Virus – und der Konkurrent möglicherweise zur gleichen Zeit gerade Entwarnung gibt.
Wie Unternehmen dieses Rätsel mit Hilfe ihrer eigenen Bewertungsmatrix auflösen sollen, um den
Schutz richtig zu dimensionieren, bleibt ihnen folglich selbst überlassen. Das zentrale Problemfeld
stellen also weniger die von Experten wie Bruce Potter in den Raum gestellten und vermeintlich "
schmutzigen Geheimnisse in der Security-Industrie" dar, sondern die große Kluft zwischen den
Möglichkeiten der Angreifer und jenen der Abwehr – und der daraus resultierenden Verunsicherung der
Anwender, die einige nur allzu bereitwillig ausnutzen.
Risikomanagement
So stellt sich immer wieder die Frage, ob die Wahrnehmung der Risiken auch die tatsächlich
relevanten ins Auge nimmt. Was eine richtige Krise ist, das weiß Stephan Schlentrich. Er hat als
Auslandsreporter für die öffentlich-rechtlichen Rundfunkanstalten unzählige politische Krisenherde
erlebt, unter anderem während des letzten Irakkriegs, wo er der letzte deutsche Berichterstatter
war, der Bagdad verließ.
Schlentrich kehrte dem öffentlich-rechtlichen Rundfunk vor einiger Zeit den Rücken und übernahm
die Leitung des Steinbeis-Transferzentrums CSS "Communication, Safety & Security". Dort berät
er deutsche und internationale Unternehmen in Sachen Krisenmanagement und Krisenkommunikation. Auf
der IT Defense versuchte auch er sich seinen Reim auf das bunte Treiben in der IT-Industrie zu
machen.
Bei den öffentlich rechtlichen Rundfunkanstalten (ARD) fließe regelmäßig über drei Viertel des
Budgets für die Sicherheit in den Bereich der IT, so Schlentrich. Dennoch sei dies keine Gewähr,
Gefahren wirksam abwehren zu können. "Der Wissensabfluss durch Mitarbeiter ist das größere Problem
als die IT." Aber auch Schlentrich weiß, dass sich die als Insider-Threats bezeichneten
Schwachstellen kaum mit einfachen Aufklärungs- und Sensibilisierungskampagnen eindämmen lassen.
John Viega, im vergangenen Jahr zum Chief Security Architekten beim amerikanischen
Sicherheitsanbieter McAfee aufgestiegen, konzentriert sich lieber auf die harten Fakten und listet
gleich 19 Todsünden in der Softwareentwicklung auf. Aus Sicht des Experten werden nämlich genau
jene Mechanismen von Insider-Risiken kaum verstanden, die Auswirkungen wie
Man-in-the-Middle-Attacken oder das Passwort-Cracking nach sich ziehen könnten.
Laxer Umgang mit SSL
Auch die Risikomanager hätten kaum ein wirkliches Gespür für die tatsächlich existenten Risiken.
Gerade der laxe Umgang mit SSL zeige die gravierenden Defizite der Unternehmen am besten. "Oft
sieht es so aus, als ob die SSL-Verschlüsselung arbeitet, sie tut es aber nicht wirklich", sagt
Viega. Letztlich invalide und wertlose Zertifikate schufen infolge dessen eher neue Problemfelder,
als Lücken zu beseitigen, so die Kritik: "Verisigns Zertifikate bringen viel Geld, aber wenig
Nutzen."
John Viega spart aber auch die Anbieter von Sicherheitssoftware nicht von der Kritik aus. Diese
könnten bei nicht adäquater Anwendung von SSL auch keine wirksame Unterstützung leisten. Gefordert
sei deshalb die Zunft der Entwickler. Diese fordert Viega auf, von ihrer Detailverliebtheit Abstand
zu nehmen und sich darauf zu konzentrieren, SSL schnörkellos zu implementieren und robuste und
handhabbare Produkte zu entwickeln.
Garantien, dass der Nutzer tatsächlich via Verschlüsselung kommuniziere, gäbe es keine. "Nicht
der Server, sondern der unsichtbare Dritte vertauscht und gibt sein Zertifikat stattdessen aus."
Abhilfe können nach Auffassung John Viegas umfassende Testprozeduren für SSL auf Basis von HTTPS
schaffen.
Noch zahlreiche andere wichtige Baustellen macht der Experte aus. Etwa habe ein erfolgreicher
Buffer-Overflow auf Basis von C/C++ gravierende Konsequenzen, wenn der Angreifer über
Java-Programme von außen die Kontrolle über die Maschine bekäme. Mit Hilfe der SQL-Injection könne
der Hacker zudem nicht nur die Daten einsehen, sondern auch den Zugang kontrollieren.
Ebenso in die Linie der eher sachlich orientierten Kritikerzunft reiht sich Marcus Ranum ein,
einer der Inventoren und "Godfathers of Firewall". Dennoch spart auch er nicht mit einer radikalen
Zäsur: Klassische Firewall-Konzepte hätten endgültig ausgedient. Immer öfter versage die mehrfach
hinter einander geschaltete universelle Brandschutzmauer zur globalen Rundum-Gebäudeverteidigung
ihren Dienst. Aber auch Ranum sagt nicht, wie die Abwehrphalanx der Zukunft ausgestattet sein
könnte.
Zudem macht er kaum mehr einen Unterschied zwischen dem Redmonder Softwaregiganten und der so
genannten freien Szene aus. Microsoft habe zwar den Trend einer universalen IT-Monokultur
geschaffen, weshalb nun komplexe und eindimensionale IT-Systeme mit ihren unzähligen Baustellen wie
Routern, Firewalls, Desktops und Filtern den Nutzer verwirrten. Aber auch die Open Source Community
renne dem neuen Leitstern einer universalen IT-Monokultur nur allzu bereitwillig hinterher.
So verwundert es kaum, dass die Zahl sicherheitskritischer Fehler weiter zunimmt. Mit der
Veröffentlichung von "Zero-Day"-Bugs nehmen die von finanziellen Motiven getriebenen Angreifer die
Hersteller weiter in den Schwitzkasten. "Während noch diskutiert wird, ob die Veröffentlichung
eines sicherheitskritischen Bugs vertretbar ist, ohne den Hersteller des Programms vorab zu
informieren, zwingen einige Cracker die Anbiterein einen Wettlauf mit den Entwicklern von
Exploit-Code", lautet das nüchterne Fazit von Dirk Fox, Geschäftsführer von Secorvo Security
Consulting.
Lesen Sie mehr zum Thema
