Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Vertrauen muss verdient werden

Paradigmenwechsel bei Sicherheitsanbietern erforderlich

Copyright (C) 10/2001 by Howard Fuhs


Der Schock für die Datensicherheitsverantwortlichen muss groß gewesen sein, als am 14. September der Heise Ticker meldete: "Hacker brechen in Zentralcomputer einer Großbank ein". Dabei bezog sich der Heise Ticker auf eine Pressemeldung der Fernsehsendung ARD-Ratgeber Technik, die in Zusammenarbeit mit einem "Hacker" aus Thüringen in einen Zentralcomputer eindringen konnte und dies in ihrer Sendung am 16. September demonstrierte. Nach Aussagen der ARD-Ratgeber Technik Redaktion war es möglich, innerhalb weniger Tage 1,5 Millionen Onlinebuchungen einschließlich Geheimnummern (PINs) mitzuprotokollieren. Bei dieser Aktion wurden übrigens mehrere ausnutzbare Sicherheitslücken bei unterschiedlichen Banken gefunden, es handelt sich also nicht um ein vereinzeltes Phänomen.

Egal welche Techniken angewandt und Lücken ausgenutzt wurden, hier wurde in aller Öffentlichkeit vorgeführt, dass die Marketingaussagen der Banken bezüglich ihrer Systemsicherheit wohl nicht sonderlich stichhaltig sind. Wie schon in der Vergangenheit (Eurocard und PIN) bestanden die Banken darauf, dass ihre Systeme sicher sind und etwaige Probleme wurden auf den Kunden abgewälzt, bis hin zur Kriminalisierung der Opfer. Es ist schon etwas unverständlich, wenn solche Fehler in Organisationen passieren, deren Daten besonders sensibel und die finanziellen Möglichkeiten vorhanden sind, sich kompetente Hilfe von Dienstleistungsunternehmen einzukaufen oder ensprechende Experten im eigenen Hause zu beschäftigen.

Doch dieser Vorfall hat mehr Aspekte, als auf den ersten Blick für den ungeübten Beobachter erkennbar. Während alles auf die Banken und ihre Nachlässigkeit eindrischt, schauen wir uns doch auch die Gegenseite an. Ein Hacker dringt im Auftrag einer Redaktion in ein fremdes Rechnersystem ein und entwendet Daten als Beweis, dass der Einbruch erfolgreich war. Um das etwas besser verständlich zu machen, wie würden Sie es finden, wenn Sie abends nach Hause kommen, ihr Wohnzimmer betreten und ein fremder Mann dort sitzt, der Ihnen eröffnet, Ihre Sicherheitsmechanismen (Wohnungstür mit Schloss) seien für ihn kein Problem zu überwinden und total unsicher? Als Beweis für den Einbruch hat er einen Aschenbecher und einen Kerzenständer in seiner Tasche (vielleicht auch wertvolleres). Der gesunde Menschenverstand sagt, egal unter welchen noblen Absichten dieser Mann handelt, er hat sich strafbar gemacht (Hausfriedensbruch, Einbruch, etc.). Doch was ist mit dem Hacker und der Redaktion? Unter Fachleuten herrscht schon seit vielen Jahren ein Konsens, dass Hackertechniken zur Absicherung von Netzwerken dazugehören, diese jedoch nur unter strikt ethischen Gesichtspunken anzuwenden sind. Das heißt in der Praxis, man wird vom "Opfer" authorisiert diese Techniken anzuwenden und die Anwendung wird vorher angekündigt und findet unter entsprechender Überwachung statt. Nichts dergleichen kann wohl für den Einbruch des Hackers in das Bankensystem gelten. Egal welche noblen Motive den beteiligten Personen unterstellt werden können, ihre Handlung war zumindest unethisch, über die Strafbarkeit wird derzeit noch in juristischen Kreisen gestritten. Natürlich ist es klar, dass eine Bank keinem mit einem Hacker bewaffneten Journalisten erlauben wird die Sicherheitsmaßnahmen zu testen, aber man ging hier weit über einen reinen Test hinaus und brach ein. Hier stellt sich ganz klar die Frage, bis wohin investigativer Journalismus gehen darf?

Die dritte beteiligte Partei sind die Anbieter von Datensicherheitslösungen. Die überlebenden Unternehmen zelebrieren sich und ihre Produkte gerade auf der Systems. Auch hier nur viel Marketingaussagen und wenig Fakten. Ich möchte einmal erleben, dass ein Hersteller offen und ehrlich zugibt, dass seine Sicherheitslösung gemessen an anderen Produkten suboptimal ist. Er würde damit seinen Kunden einen ehrlichen Gefallen erweisen, schließlich geht es hier um Sicherheit! Das wird er natürlich nicht tun, denn dann würde der Umsatz binnen weniger Tage gegen Null tendieren. Statt dessen wird munter weiterverkauft, egal wie schrottelig das System in der Praxis auch sein mag. Erlaubt sich dann ein Journalist in einer Fachzeitschrift auf gewisse Mängel hinzuweisen, so ist es immer noch einfacher die Redaktion zu verklagen (man hat schließlich auch Patente auf das Produkt, also so schlecht kann es nicht sein) als sich hinzusetzen und das Produkt zu optimieren. Wobei wir bei dem nächsten Problem der Branche sind. Die Produkte sind oftmals von ihrer Grundkonzeption nicht ohne Neuprogrammierung ernsthaft zu verbessern. Treten schwerwiegende Fehler oder Lücken auf, muss mit Patches (im wahrsten Sinne des englischen Wortes) an dem Produkt herumgeflickt werden, was mitunter auf Kosten der Stabilität, der Performance oder der Sicherheit an anderer Stelle geht. Weiterhin ist natürlich jeder Hersteller darauf bedacht, dass nicht allzu viele Interna über sein Produkt an den Kunden und die Öffentlichkeit dringen. Mit dieser Verschwiegenheitspolitik erhofft sich der Hersteller zwar einen Wettbewerbsvorteil, jedoch in Wirklichkeit geht dies zum Nachteil des Kunden, der oftmals nicht in der Lage ist ein Sicherheitssystem vernünftig zu evaluieren, da ihm interne Details und Funktionsweisen des Produkts nicht bekannt sind.

Ich glaube, dass es an der Zeit ist, bei den hier erwähnten Parteien einen grundsätzlichen Paradigmenwechsel herbeizuführen um die Sicherheit vernünftig und transparent zu gewährleisten, ohne dass die Kunden sich in einer Opfer/Täter Rolle wiederfinden und abends plötzlich ein fremder Mann in ihrem Wohnzimmer sitzt und ihnen ein neues Türschloss verkaufen will.


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 10/2001 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher