Vertrauen muss verdient werden
Paradigmenwechsel bei Sicherheitsanbietern erforderlich
Copyright (C) 10/2001 by Howard Fuhs
Der Schock für die Datensicherheitsverantwortlichen muss groß gewesen sein, als am 14. September der Heise Ticker meldete: "Hacker brechen in Zentralcomputer einer Großbank ein". Dabei bezog sich der Heise Ticker auf eine Pressemeldung der Fernsehsendung ARD-Ratgeber Technik, die in Zusammenarbeit mit einem "Hacker" aus Thüringen in einen Zentralcomputer eindringen konnte und dies in ihrer Sendung am 16. September demonstrierte. Nach Aussagen der ARD-Ratgeber Technik Redaktion war es möglich, innerhalb weniger Tage 1,5 Millionen Onlinebuchungen einschließlich Geheimnummern (PINs) mitzuprotokollieren. Bei dieser Aktion wurden übrigens mehrere ausnutzbare Sicherheitslücken bei unterschiedlichen Banken gefunden, es handelt sich also nicht um ein vereinzeltes Phänomen.
Egal welche Techniken angewandt und Lücken ausgenutzt wurden, hier wurde in aller Öffentlichkeit vorgeführt, dass die Marketingaussagen der Banken bezüglich ihrer Systemsicherheit wohl nicht sonderlich stichhaltig sind. Wie schon in der Vergangenheit (Eurocard und PIN) bestanden die Banken darauf, dass ihre Systeme sicher sind und etwaige Probleme wurden auf den Kunden abgewälzt, bis hin zur Kriminalisierung der Opfer. Es ist schon etwas unverständlich, wenn solche Fehler in Organisationen passieren, deren Daten besonders sensibel und die finanziellen Möglichkeiten vorhanden sind, sich kompetente Hilfe von Dienstleistungsunternehmen einzukaufen oder ensprechende Experten im eigenen Hause zu beschäftigen.
Doch dieser Vorfall hat mehr Aspekte, als auf den ersten Blick für den ungeübten Beobachter erkennbar. Während alles auf die Banken und ihre Nachlässigkeit eindrischt, schauen wir uns doch auch die Gegenseite an. Ein Hacker dringt im Auftrag einer Redaktion in ein fremdes Rechnersystem ein und entwendet Daten als Beweis, dass der Einbruch erfolgreich war. Um das etwas besser verständlich zu machen, wie würden Sie es finden, wenn Sie abends nach Hause kommen, ihr Wohnzimmer betreten und ein fremder Mann dort sitzt, der Ihnen eröffnet, Ihre Sicherheitsmechanismen (Wohnungstür mit Schloss) seien für ihn kein Problem zu überwinden und total unsicher? Als Beweis für den Einbruch hat er einen Aschenbecher und einen Kerzenständer in seiner Tasche (vielleicht auch wertvolleres). Der gesunde Menschenverstand sagt, egal unter welchen noblen Absichten dieser Mann handelt, er hat sich strafbar gemacht (Hausfriedensbruch, Einbruch, etc.). Doch was ist mit dem Hacker und der Redaktion? Unter Fachleuten herrscht schon seit vielen Jahren ein Konsens, dass Hackertechniken zur Absicherung von Netzwerken dazugehören, diese jedoch nur unter strikt ethischen Gesichtspunken anzuwenden sind. Das heißt in der Praxis, man wird vom "Opfer" authorisiert diese Techniken anzuwenden und die Anwendung wird vorher angekündigt und findet unter entsprechender Überwachung statt. Nichts dergleichen kann wohl für den Einbruch des Hackers in das Bankensystem gelten. Egal welche noblen Motive den beteiligten Personen unterstellt werden können, ihre Handlung war zumindest unethisch, über die Strafbarkeit wird derzeit noch in juristischen Kreisen gestritten. Natürlich ist es klar, dass eine Bank keinem mit einem Hacker bewaffneten Journalisten erlauben wird die Sicherheitsmaßnahmen zu testen, aber man ging hier weit über einen reinen Test hinaus und brach ein. Hier stellt sich ganz klar die Frage, bis wohin investigativer Journalismus gehen darf?
Die dritte beteiligte Partei sind die Anbieter von Datensicherheitslösungen. Die überlebenden Unternehmen zelebrieren sich und ihre Produkte gerade auf der Systems. Auch hier nur viel Marketingaussagen und wenig Fakten. Ich möchte einmal erleben, dass ein Hersteller offen und ehrlich zugibt, dass seine Sicherheitslösung gemessen an anderen Produkten suboptimal ist. Er würde damit seinen Kunden einen ehrlichen Gefallen erweisen, schließlich geht es hier um Sicherheit! Das wird er natürlich nicht tun, denn dann würde der Umsatz binnen weniger Tage gegen Null tendieren. Statt dessen wird munter weiterverkauft, egal wie schrottelig das System in der Praxis auch sein mag. Erlaubt sich dann ein Journalist in einer Fachzeitschrift auf gewisse Mängel hinzuweisen, so ist es immer noch einfacher die Redaktion zu verklagen (man hat schließlich auch Patente auf das Produkt, also so schlecht kann es nicht sein) als sich hinzusetzen und das Produkt zu optimieren. Wobei wir bei dem nächsten Problem der Branche sind. Die Produkte sind oftmals von ihrer Grundkonzeption nicht ohne Neuprogrammierung ernsthaft zu verbessern. Treten schwerwiegende Fehler oder Lücken auf, muss mit Patches (im wahrsten Sinne des englischen Wortes) an dem Produkt herumgeflickt werden, was mitunter auf Kosten der Stabilität, der Performance oder der Sicherheit an anderer Stelle geht. Weiterhin ist natürlich jeder Hersteller darauf bedacht, dass nicht allzu viele Interna über sein Produkt an den Kunden und die Öffentlichkeit dringen. Mit dieser Verschwiegenheitspolitik erhofft sich der Hersteller zwar einen Wettbewerbsvorteil, jedoch in Wirklichkeit geht dies zum Nachteil des Kunden, der oftmals nicht in der Lage ist ein Sicherheitssystem vernünftig zu evaluieren, da ihm interne Details und Funktionsweisen des Produkts nicht bekannt sind.
Ich glaube, dass es an der Zeit ist, bei den hier erwähnten Parteien einen grundsätzlichen Paradigmenwechsel herbeizuführen um die Sicherheit vernünftig und transparent zu gewährleisten, ohne dass die Kunden sich in einer Opfer/Täter Rolle wiederfinden und abends plötzlich ein fremder Mann in ihrem Wohnzimmer sitzt und ihnen ein neues Türschloss verkaufen will.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 10/2001 by Howard Fuhs