Moore's Law und die Datensicherheit
Proprietäre versus offene Systeme
Copyright (C) 12/2001 by Howard Fuhs
Mit der Erfindung des Transistors begann eine technologiche Revolution, die mit nichts in der Menschheitsgeschichte zu vergleichen ist. Bereits in den 60er Jahren wurde von Gordon Moore (Mitbegründer von Intel) ein Gesetz postuliert, welches besagt, dass sich die Integrationsdichte auf einem Microchip alle 18 Monate bei gleichbleibendem Preis verdoppelt. Auf den Computer bezogen gibt es nunmehr die Abwandlung, dass sich die Leistungsfähigkeit der Prozessoren alle 18 Monate verdoppelt. Betrachtet man das Wachstum des Internet in den letzten Jahren, so wird man zu dem Schluß kommen müssen, dass Moore's Law für das Internet derzeit keine Anwendung finden kann, da hier das Wachstum noch wesentlich schneller vonstatten geht, es verdoppelt sich derzeit ca. alle 12 Monate.
Welche Auswirkungen haben diese Tatsachen auf die Datensicherheit? Prozessoren mit einer Leistungsfähigkeit, die vor wenigen Jahren nur dem Militär oder einem Geheimdienst zur Verfügung stand und ein Kommunikationsmedium, welches einer Person erlaubt, Informationen mit einem Mausklick um den Erdball zu schicken die, ähnlich wie bei der Büchse der Pandora, nicht mehr zurückgeholt werden können, wenn sie erst einmal abgeschickt wurden.
Die Auswirkungen sind für einige Unternehmen bereits spürbar geworden. Ein Beispiel ist der Kopierschutz auf DVDs. Ein System, das Unternehmen ihre Umsätze garantieren sollte, wurde geknackt. Und noch bevor man darauf mit Rechtsanwälten und Gerichtsklagen reagieren konnte, war das Know-How des DVD-Hacks im Rekordtempo durch das Internet gegangen. Noch ein Beispiel gefällig?
Bei Premiere hat man sich darauf verlassen, einen sicheren Verschlüsselungsalgorithmus für die Übertragung des Pay-TV Programms zu haben. Bis das System mit Brute Force Attacken geknackt und die Software im Internet zum Download bereitgestellt wurde. Jetzt kann jeder PC-Anwender mit einer TV-Karte im Computer Premiere unverschlüsselt sehen.
Jetzt traf es die Secure Digital Music Initiative (SDMI), die ihre Technologie für digitale Wasserzeichen auf den Prüfstand stellte. Unter der Führung von Edward W. Felten, Professor an der Universität von Princeton, hat ein Forscherteam die digitalen Wasserzeichen binnen einer Woche erfolgreich kompromittiert. Was dann zu dem Effekt führte, dass SDMI sogar durch rechtliche Drohungen versuchte, den Forscher daran zu hindern, seine Erkenntisse auf einer Tagung zu präsentieren.
Alle diese Systeme haben gewisse Gemeinsamkeiten. Alle wurden, mit Hinweis auf Patente und Copyrights, der Öffentlichkeit nicht zugänglich gemacht, und alle wurden bei der Einführung von den Entwicklern als sicher angepriesen. Doch die wachsende Prozessorleistung sowie die geballte Wissensmacht von vernetzten Programmieren, Hackern, Crackern und Kryptoanalysten hat außer DVD und Premiere auch andere Systeme das Fürchten gelehrt.
Zu fast jeder wichtigen Computermesse gibt es ein Unternehmen aus dem Datensicherheitsbereich, welches einen Preis dafür aussetzt, dass ihr Sicherheitssystem gehackt wird. Die Motivation dies zu tun, liegt in der Annahme begründet, dass das System nicht gehackt wird und man dadurch Marketingargumente gewinnt ("Unser System wurde noch nicht kompromitiert...") oder aber, dass man erfährt, wie das System gehackt wurde, welche Schwachstelle ausgenutzt wurde, welche Mittel zum Einsatz kamen, usw. In der Vergangenheit endeten diese Wetten meistens mit einer für den Hersteller peinlichen Niederlage. Die Systeme wurden erfolgreich gehackt, der Hersteller musste die ausgesetzte "Belohnung" bezahlen, und der Hack wurde im Internet publik gemacht, was dem Hersteller entsprechend Hohn und Spott der Konkurrenz wie auch des Untergrunds einbrachte.
Solche Beispiele hat es in den letzten Jahren viele gegeben und es stellt sich die Frage für den Anwender, wo diese Gewaltspirale enden wird. Der Untergrund wird mit jeder Technologiestufe mächtiger, die Hacks von vermeintlich sicheren Systemen geschehen immer schneller. Was dabei jedoch auffällt, ist die Tatsache, dass die kompromittierten Systeme allesamt proprietäre Systeme sind, deren Algorithmen und Funktionsweisen von den Herstellern nicht offengelegt wurden. Es wurden damit Systeme teilweise sogar flächendeckend eingeführt, die keine ausreichende Begutachtung durch Fachleute und Wissenschaftler erfahren haben. Für die Unternehmen, die sich auf den Schutz verlassen, hat dies fatale Folgen. Durch die flächendeckende Einführung von unsicherer Technologie kann nicht mehr auf ein sichereres System umgestellt werden, der Arbeits- und Kostenaufwand wäre zu groß. Auf der anderen Seite wird der Missbrauch immer weiter zunehmen und das Unternehmen Umsatz kosten (siehe Premiere).
Betrachtet man sich die Situation, so stellt sich die Frage, woran die sicheren und vertrauenswürdigen Technologien zu erkennen sind, die man zur Absicherung von Daten und Geschäftsprozessen verwenden sollte? Man erkennt es daran, dass der Entwickler dieser Technologie diese inklusive ihrer gesamten Funktionalität offen legt für jedermann. Damit wird gewährleistet, dass weltweit Fachleute die Funktionalität verifizieren können und über ihre Erkenntnisse diskutieren dürfen. Nur durch dieses System ist evolutionäre Softwareentwicklung möglich, bei der schlechter Code verschwindet und starker, guter Code bleibt und weiterentwickelt wird. Wer die Qualität von Softwareprodukten im Allgemeinen und Datensicherheitsmaßnahmen im Speziellen dauerhaft erhöhen will, wird in der Zukunft um das Offenlegen der Funktionsweisen und sogar des Source-Codes nicht mehr herum kommen. Nur dann kann das Unternehmen an dem Gedanken der evolutionären Softwareentwicklung teilhaben und davon profitieren.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 12/2001 by Howard Fuhs