Bei den meisten hat sich das Bild des vermeintlich dummen, unachtsamen sowie naiven Users fest im Kopf eingebrannt. Er ist der Übeltäter welcher die alleinige Schuld an dem IT-Sicherheitsvorfall hat…
Der Mensch ist und bleibt zwar das schwächste Glied im Bereich IT-Security. Viel wichtiger jedoch gilt es zu hinterfragen welcher Mensch den hierbei gemeint ist?
Wenn es nach der IT-Industrie geht, sind Software Schwachstellen sowie das daraus resultierende Cyber-Security Problem naturgegeben und gehört halt dazu. Ein passender Sündenbock, der vermeintlich verantwortlich ist, ist dann auch schnell gefunden => der Anwender. Die Tatsache, dass die allermeisten der verwendeten Angriffsmethoden bereits seit Jahrzehnten akademisch gelöst wurden, muss ja auch niemand wissen.
Schlamperei und defekte Software
Warum wir so verwundbar sind
Eine gut durchdachte und effektive Strategie, unabhängig ob politisch oder innerhalb einer Firma, setzt in jedem Fall ein grundlegendes Wissen voraus.
Eben dieses Grundverständnis scheint bei den politischen ITK-Entscheiden in der Vergangenheit keineswegs vorhanden gewesen zu sein. Es entsteht der Eindruck, dass Entscheidungsträger ohne berufliche Kenntnisse von der hohen Komplexität dermassen überfordert werden, dass kein Risiko eingegangen wird.
Infolgedessen werden die diversen Expertenmeinungen ignoriert und durch die Meinung der Tech-Lobby ersetzt. Wenn alle grossen, finanziell gut ausgestatteten Tech-Giganten dasselbe sagen, muss dies zwangsläufig das Richtige sein.
Immerhin sind sich die ansonsten so uneinigen Experten in einem Punkt einig:
«Der Konsens der Tech-Giganten beschränkt sich im wesentlichen auf das verhindern von Regulierungen im Bereich Informatik».
Um zu verstehen, welche Bedrohungen unsere digitale Infrastruktur und unser gesamtes auf Daten und Vernetzung basiertes Leben ausgesetzt sind, gehen wir nachfolgend kurz auf die grundlegenden Details ein.
Angriffe in der digitalen Sphäre sind höchst unterschiedlicher technischer Komplexität. Es gibt dabei kein allgemeingültiges Vorgehen. In den meisten Fällen wird eine Kombination aus mehreren Techniken und Tricks angewendet. Im günstigsten Fall kann der Angreifer schlicht auf ein nicht geändertes Standardpasswort zurückgreifen, mit welchem ihm der Zugriff via Internet auf eine Netzwerkkamera etc. gelingt. Dieses Gerät wird nun genutzt, um weiter Schadsoftware nachzuladen und das Gerät dauerhaft als Basis für beispielsweise Informationsbeschaffung zu benutzen.
In komplizierteren Fällen macht man sich Lücken in der Art, wie Computer miteinander kommunizieren, zunutze und kombiniert diese mit einer Abfolge von Software Schwachstellen. Ziel dabei ist es, die Kontrolle des Computers zu erlangen oder Sicherheitsmechanismen zu umgehen.
Die häufigsten Angriffsmethoden sind:
- Ausführen von Software auf fremden Computern. (Exploit)
- Umgehen von Zugangskontrollen. (Privilege Escalation, Data extraction)
- Beeinträchtigung der Benutzbarkeit (DOS)
Kurz und bündig: Sabotage und Spionage in unendlich vielen Formen. Als äussert effektiv gilt die Kombination aus mehreren Methoden ähnlich wie für das Aufbohren eines Zylinderschlosses sowohl Bohrer als auch Schraubenzieher benötigt werden, um das Schloss auch wirklich öffnen zu können.
Ursachen für Softwarefehler:
- Schlamperei während der Entwicklung
- zeitlicher Rahmen und Fristen
- mangelndes Wissen im Bereich sichere Entwicklung
- Keine finanziellen Mittel für Security-Engineering / DevSecOps
- Ein Großteil der Entwickler ist immer noch der Meinung, dass es genug «Sicherheit» sei, wenn nicht genau klar ist, wo die Daten liegen …
Eigene Meinung
Es erstaunt mich immer wieder, dass sich eine ganze Branche auf die «Nicht-Lösung» von 40 Jahre alten Problemen konzentriert, welche zum Grossteil bereits akademisch gelöst sind. Hierbei wird deutlich, wie bestrebt die IT-Industrie tatsächlich ist, solche Fehler zu vermeiden und Ihre Produkte von Beginn an sicher, stabil und skalierbar zu gestalten.
Für viele der Unternehmen dürfte es ein Ding der Unmöglichkeit sein, die versäumten Investitionen in den Bereichen Quality Assurance sowie IT-Security jemals wieder nachzuholen.
Ein treffendes Beispiel hierfür ist die Business Software SAP. Nicht weniger als 400 Millionen Zeilen Code weist eine solche Business Suite auf. Zum Vergleich ein Linux System umfasst lediglich knapp 70 Millionen.
Statistisch gesehen versteckt sich ein Programmierfehler pro 1000 Zeilen Programmcode. Das bedeutet, dass die bei Grossunternehmen, meist verwendete Business-Software statistisch 400’000+ Fehler aufweist, von denen der Konzern noch nicht mal was weiss. Nur ein kompletter rewrite der gesamten Software könnte hier noch helfen. Aufgrund der Monopolstellung wird dies sehr wahrscheinlich nicht passieren.
Stichwort Too Big to Fail
Außerdem würde dies das Unternehmen Unsummen kosten und es hätte im Endeffekt ja nichts davon. Schaden nimmt bei einem allfälligen Sicherheitsvorfall sowieso nur der Kunde, der durch die AGB auf all seine Rechte verzichtet hat. Eine wirkliche Alternative gibt es leider auch nicht, da die Monopolstellung des Unternehmens kaum Konkurrenz zulässt.
Dr. Sandro Gaycken zu SAP:
Dr. Sandro Gaycken is the director of the Digital Society Institute Berlin DKE Innovation Campus 2017.
Ähnlich ist die Situation bei Microsoft, welches 2020 wiederholt eine neue Rekordzahl von 1.268 Schwachstellen verzeichnet. Dies entspricht einem Anstieg von 48 % im Vergleich zum Jahr 2019. Die Anzahl Schwachstellen ist in den letzten fünf Jahren (2016-2020) um beängstigende 181 % gestiegen.
Auch im aktuellen Jahr liegt vielleicht ein neuer Schwachstellen Rekord drin. Stand 04.12.21 wurden bereits 1143 Schwachstellen gemeldet. Mit dem durch die NewYork Times als «The New Vista» betitelte Windows 11 sieht die Zukunft alles andere als rosig aus.
Akzeptanz und Toleranz gegenüber Fehler und Schwachstellen
Je mehr ich mich mit der Thematik befasse, desto erstaunter bin ich, über welch hohe Toleranz wir gegenüber Fehler von solchen Konzernen entwickelt haben. Es ist mittlerweile normal, das nach dem überhasteten Patch für einen Zero-day Exploit mal eben zwei Tage kein Drucker mehr funktioniert oder die Terminalserver nicht mehr starten. Wir akzeptieren es und zahlen munter weiter unsere Lizenzgebühren.
Es sollte mittlerweile jedem bewusst geworden sein, dass diese Monopolstellung der Silicon Valley Giganten der langsame Tod für Innovation und Erfindergeist darstellt. Doch diese Trägheit der Tech-Giganten bietet auch die Chance, Know-how und Unabhängigkeit ins eigene Land zu holen. Open Source Projekte sind das aktuell beste Modell, um die Sicherheit sowie stetige Innovation innerhalb eins Projekts zu gewährleisten.
Deswegen bin ich überzeugt, das öffentliche Gelder (Steuergelder) nicht mehr an Firmen für ein proprietäres Produkt vergeben werden sollten. Vielmehr sollte das Budget für das beste Konzept zur Verfügung gestellt werden. Dies fördert den Konkurenzgeist, ermöglicht jungen Unternehmungen die Zusammenarbeit mit grösseren Firmen und steigert im Endeffekt das Know-how innerhalb des Landes. Zudem kann der Programmcode unter Einhaltung der Freien Lizenz von jedem weiterentwickelt werden.
Angst vor Softwarekopien ist nur dann begründet, wenn einem klar ist, dass auch die eigene Firma schon lange aufgehört hat, innovativ zu sein…
Red Hat als das grösste Open Source Unternehmen der Welt, steht für offene Entwicklungsmodelle, stabile, sichere und innovative Technologien. Seit über zwei Jahrzehnten arbeitet Red Hat in Community-Projekten zusammen und schützt Open Source Lizenzen. Um weiterhin Software zu entwickeln, die stets aufs Neue die Grenzen der Technologie auslotet. Obschon die Developer Lizenzen mittlerweile limitiert kostenlos sind, macht das Unternehmen alleine durch den Kunden-Support einen Umsatz von 3.4 Milliarden USD.
PS: Support gibt’s den auch bei Microsoft?
