Möglich, aber unmachbar

Von Uli Ries

Das Internet, die Protokolle und Techniken, die ihm zugrunde liegen – wie TCP/IP, Domain Name System (DNS) oder Border Gateway Protocol (BGP) –, wurden nicht konzipiert, damit wir eine perfekte Plattform für Online-Shopping, soziale Netzwerke, Online-Flirten oder Banküberweisungen bekommen. Ziel der Erfinder des ursprünglich Arpanet genannten Verbunds der einzelnen Techniken war ein Kommunikationsnetz, über das US-Universitäten Daten austauschen sollten und das dezentral organisiert ist. Entsprechend wenig wurde auf Sicherheitsmechanismen geachtet – wenn man von der Ausfallsicherheit einmal absieht.

E-Book am Online-Kiosk
	Dieser Beitrag erschien zuerst in unserer Magazinreihe. Das regelmäßige PDF-Magazin können Sie kostenlos abonnieren. Einzelhefte bekommen Sie online im Zeitschriftenkiosk des MittelstandsWiki.

40 Jahre unbekümmert

So diktierte der DNS-Erfinder, Dr. Paul Mockapetris, Reportern in den Block, dass die Sicherheitsarchitektur von DNS kein Problem sein könne – schließlich habe DNS überhaupt keine Sicherheitsarchitektur. Kein Wunder also, dass der Hacker Dan Kaminsky 2008 einen Bug im DNS fand, der Cybergangstern Tür und Tor für weltweite Man-in-the-Middle-Lauschattacken geöffnet hätte. Durch einen Angriff wäre nicht nur herkömmlicher http-Traffic gefährdet, sondern er beträfe auch alle anderen Mechanismen, die auf TCP/IP und somit DNS setzen: E-Mail, VoIP, Datenbankabfragen und so weiter. Kamsinsky stellte daher während einer Podiumsdiskussion fest: „Wir leben im Jahr 2009, das Internet ist 40 Jahre alt – und wir können noch nicht einmal sichere E-Mails verschicken.“

Nicht erst in dieser Podiumsdiskussion kam daher die Frage auf, ob es nicht endlich Zeit wäre, dem in allen Lebensbereichen unabdingbaren Internet einen modernen und sicheren Unterbau zu verschaffen.

Die effektivste Lösung wäre ein Neustart, wie ihn z.B. das Clean Slate Project der US-Universität Stanford vorschlägt – also ein komplett neues Internet, das „reinen Tisch macht“ und sich vom Start weg aller heute bekannten Probleme entledigte. Realistisch ist eine solche Idee jedoch nicht, wie der Hacker meint. Laut Kaminsky hätten die vom DNS-Bug betroffenen Hersteller einen Patch entwickeln können, der das gefundene Problem ein für allemal aus der Welt geschafft hätte. Dies hätte aber an den Standards gekratzt und es hätte dazu kommen können, dass Teile des Internets über Nacht nicht mehr funktioniert hätten. Angesichts der wirtschaftlichen Relevanz des Netzes ein untragbares Risiko. Also wurde eine Lösung gefunden, die es Crackern zumindest schwerer macht, den Bug auszunutzen, dabei aber gleichzeitig die über allem stehende Kompatibilität nicht gefährdet.

Die gleiche Problematik zeigt sich auch beim Border Gateway Protocol (BGP). Per BPG kommunizieren Router im Netz miteinander und tauschen Informationen darüber aus, wie die autonomen Systeme (AS) erreicht werden können. Die AS sind die großen und voneinander an sich unabhängigen Netze von Providern, Unternehmen oder Universitäten, durch deren Zusammenschluss das Internet erst entsteht. Bereits 1989 wurde erstmals bekannt, dass sich BGP manipulieren lässt und 2008 gab es eine öffentliche Demonstration: Hacker zeigten, dass sie die Routen, die die Datenpakete nehmen, verändern können. Damit sind ähnlich katastrophale Angriffe möglich, wie sie auch die DNS-Attacke erlaubt hätte. Lösen lässt sich das Problem nicht, ohne die Kompatibilität der Router zu riskieren – und somit den Datenfluss im Internet zu gefährden.

Abwarten und nachstopfen

Eine technische Revolution, die das Netz im Handumdrehen von allen heute verbreiteten Plagen befreit, wird es also nicht geben. Die durch die weltweit einheitlichen Netzwerkstandards garantierte Kompatibilität der vielen Millionen Internet-Komponenten darf keinesfalls gefährdet werden. Sonst droht laut Kaminsky das Chaos.

Dieser Meinung ist auch Scott Charney, Microsofts oberster Sicherheitsfachmann und Boss von Microsofts Trustworthy Computing Group. Charney rechnet selbst durch einen Neustart nicht mit dem problemfreien Netz: „Natürlich würden wir mit unserem heutigen Wissen ein komplett anderes, sichereres Internet bauen“, so der Microsoft-Manager. „Ein für alle Zeiten sicheres Internet hätten wir dann aber trotzdem nicht. Die Kriminellen finden immer neue Wege, unsere Schutzmechanismen zu umgehen. Das Katz-und-Maus-Spiel wird im Netz genauso weitergehen wie in der wirklichen Welt“, sagt Charney. Auch in Zukunft kommen demnach weder IT-Administratoren noch Endanwender ohne regelmäßiges Patchen durchs digitale Leben. Mit anderen Worten: Die ewige Flickschusterei wird weitergehen.

Für die immer neuen, in Software und Protokollen auftauchenden Lücken hat Dr. Ari Juels eine Erklärung. Juels ist Chefwissenschaftler bei den Kryptospezialisten von RSA und er weiß, dass kein Programmierer der Welt sein Werk gegen alle zukünftigen Bedrohungen wappnen kann. Sicherheitslücken bleiben weiterhin unvermeidbar. Außerdem stimmt Juels mit Scott Charney überein, wenn er sagt, dass Sicherheit und Datenschutz beim Programmieren von Software bis vor wenigen Jahren immer zweitrangig waren. Mehr Augenmerk lag auf Funktionen und Aussehen. Erst seit ca. fünf Jahren spielt Sicherheit schon beim Design von Anwendungen eine Rolle – so wie es z.B. Microsofts Security Development Lifecycle (SDL) vorsieht. Das SDL zwingt Programmierer, sich bei jedem Schritt der Softwareentwicklung Gedanken über mögliche Sicherheitsprobleme zu machen.

Sicherheit soll funktionieren

Laut Juels gibt es zudem oft einen Widerspruch zwischen sicheren Anwendungen einerseits und gut zu bedienenden Programmen andererseits. Allzu oft werden dem Experten zufolge Sicherheitsfunktionen erst nach Fertigstellen der Anwendung oder des Online-Dienstes angeflanscht, so dass sich dem Anwender später ein Bruch hinsichtlich der Bedienbarkeit präsentiert.

Ein Paradebeispiel für unsinnige Komplexität sei das soziale Netzwerk Facebook. Facebook-Nutzer können dem Dienst zahlreiche Zügel anlegen, um den Umgang mit ihren persönlichen Daten zu kontrollieren. Diese Einstellungen sind aber einerseits überaus gut versteckt und andererseits derart kompliziert gestaltet, dass auch Fachleute verzweifeln. In diesem Fall ist also kein Programmierfehler die Ursache des Datenlecks, sondern überflüssige Komplexität, gepaart mit der Unwissenheit der Nutzer. Denn Kontrolle kann ein Anwender nur über die Dinge haben, die er auch kennt.

Gleichzeitig spricht sich Juels vehement dagegen aus, Kinder in Computersicherheit zu unterrichten. „Das ist eine grauenhafte Idee. Erziehung sollte fundamental wichtige Dinge vermitteln. Der Umgang mit unsicheren, schlecht gestalteten Systemen gehört nicht dazu“, sagt Juels. Es sei Aufgabe der Programmierer, die Anwender zu schützen. Genau wie es Aufgabe der Polizei sei, die Bürger zu schützen – anstatt ihnen Selbstverteidigungskurse zu empfehlen.

Fazit: Wie im wirklichen Leben

Allen Unzulänglichkeiten der inzwischen 40 Jahre alten Technik zum Trotz sind die Experten der Meinung, dass mit gesundem Menschenverstand ein sicheres Nutzen des Webs möglich ist. Wer mit ausreichend Vorsicht durchs Netz surft, Unbekannten gegenüber misstrauisch genug ist und seine persönliche Daten mit Sinn und Verstand preisgibt, der könne auch heute schon halbwegs unbehelligt im Internet agieren.

Nützliche Links

Die Präsentationen der CeBIT Security World 2008 und der CeBIT Security World 2009 gibt es online als Diaschau und PDF.

In den Journalen

• Sicherheitssoftware schützt sensible Smartphones
• Gateway-Lösung eliminiert Gefahren verkürzter Links
• Signatur verhindert DNS-Angriffe
• Greylisting verbessert Spam- und Malware-Schutz