E-Interview zum Virtual Roundtable "IT-Sicherheit - Technologien und Trends" mit Frau Prof. Dr. Claudia Eckert

Competence Site Virtual Roundtable IT-Sicherheit Virtual Roundtable: IT-Sicherheit – Technologien und Trends Teilnehmer: Prof. Dr. Claudia Eckert, Leiterin des Fraunhofer-Instituts SIT und Leite- rin des Lehrstuhls für Sicherheit in der Informationstechnik Organisation: Fraunhofer-Institut für Sichere Telekooperation (SIT), Darmstadt, Technische Universität Darmstadt, Fachbereich Informatik Kurzeinführung in das Thema: Inzwischen ist es wohl unstrittig: Das Thema IT-Sicherheit ist keine Eintagsfliege, sondern ein langfristiger Trend. Von 2002 bis 2005 rechnet die META Group für den deutschen IT-Sicherheits-Markt mit einem jährlichen Wachstum von durchschnittlich 9,5 %, was angesichts knapper IT-Budgets und sinkender IT-Gesamtausgaben deut- lich über dem allgemeinen Trend liegt. IT-Sicherheit ist außerdem bereits zu einem wichtigen Wirtschaftsfaktor geworden: Das Marktvolumen allein in Deutschland schätzt die META Group für das Jahr 2003 auf knapp 3 Mrd. Euro. Die wirtschaftlichen Schäden, die ein einzelner Wurm verur- sacht, können weltweit ebenfalls in die Milliarden gehen. IT-Sicherheit ist auch ein aktuelles Medien-Thema, vor allem Viren, Würmer und Tro- janer. Inzwischen sind ca. 90.000 bekannt, pro Jahr kommen mehr als 10.000 neue hinzu. Fast in jedem Monat wird mindestens einer als erhebliche Bedrohung einge- stuft. Namen wie Melissa, Code Red oder Nimda sind auch Personen, die sich nicht beruflich mit Fragen der IT-Sicherheit beschäftigen, ein Begriff, Probleme wie die Si- cherheit von Web Services oder WLANs dagegen noch nicht. Andererseits wecken aktuelle Studien von META Group (Juni 2003), Ernst & Young (August 2003), PwC (August 2003) und Mummert Consulting (September 2003) Zweifel daran, ob die Botschaft in den Unternehmen wirklich verstanden wurde. Die- sen Studien zufolge haben viele Unternehmen kein durchgehendes Sicherheitsma- nagement, fassten Sicherheit nur als rein technologisches Problem oder Manage- mentproblem auf, und beschränkten sich auf eine reaktive Abwehr, die Vermeidung katastrophaler Ausfälle oder reine Kostengesichtspunkte. In diesem Virtual Roundtable werden Experten von Technologieanbietern, Beratun- gen, Forschungseinrichtungen, Medien, Veranstaltern und Verbänden den Status Quo der IT-Sicherheit und die Entwicklungen in nächster Zeit beurteilen. Competence Site Virtual Roundtable IT-Sicherheit Was sind die größten Schwachstellen? Welches sind die größten Schadensverur- sacher? Was macht die IT anfällig für Attacken, und wie kann sie weniger verwund- bar gemacht werden? Mit welchen Bedrohungsszenarien müssen wir in Zukunft rechnen und wie werden sich die notwendigen Abwehrmaßnahmen auswirken? Wie ist es um die IT-Sicherheit speziell in deutschen Unternehmen bestellt? Diese und weitere Fragen werden in diesem Roundtable beantwortet. Sehr geehrte Frau Professor Eckert, Competence Site: Schwachstellen in den Unternehmen Anfang Oktober hat SANS Institute eine aktuelle Liste der Top-Sicherheitslücken für Windows- und Linux- bzw. UNIX-Rechner veröffentlicht. Die über mehrere Jahre fort- gesetzte Studie zeigt, dass einige Schwachstellen über Jahre hinweg Spitzenplätze einnehmen. Was sind Ihrer Einschätzung nach die gefährlichsten Schwachstellen? Welche (ungefähren) Anteile würden Sie Betriebssystemen, Anwendungen und "dem menschlichen Faktor" zuschreiben? Woran liegt es, wenn Sicherheitslücken sich über Jahre hinweg an der Spitze dieser traurigen "Hitliste" befinden? Prof. Dr. Claudia Eckert: Der Einsatz von I&K-Technologie in den unterschiedlichsten Anwendungsfeldern ist weitgehend technologie-getrieben; d.h. dem Technologieeinsatz geht leider allzu oft keine Analyse voraus, welche Anforderungen in einem Anwendungsfeld z.B. in Be- zug auf zu schützende Werte und Bedrohungsrisiken zu stellen sind. Sicherheits- technologie hat daher lediglich den Rang einer Sekundärtechnologie, die i.d.R. nachträglich (nach bitteren Erfahrungen und fast notwendig lückenhaft), unter zusätz- lichen Kosten hinzugefügt wird. Zu den heute nach wie vor sehr weit verbreiteten Schwachstellen zählen Probleme, die sich aus der fehlerhaften Programmierung ergeben und zu den so genannten Buffer-Overflow-Problemen führen. Die Komplexität heutiger Betriebs- und Anwen- dungssoftware unterstützt und begünstigt das Ausnutzen von Buffer-Overflow- Schwachstellen, um Viren, Würmer, Trojaner, die natürlich die Hit-Liste der Probleme ebenfalls anführen, auf den Rechnern zu installieren. Da ein Umdenken bei der Pro- grammierung von Software, bei den einzusetzenden Konzepten der Betriebssoft- Competence Site Virtual Roundtable IT-Sicherheit ware, oder auch bei der systematischen Qualitätssicherung von Software und schließlich auch im Umgang der Anwender mit den Systemen (Awareness) nur sehr langsam voran schreitet, werden wir die vorliegende Situation leider wohl noch län- gere Zeit beobachten müssen. Natürlich gibt es eine Reihe von Maßnahmen, um die Standardprobleme zu verkleinern, jedoch ist deren Einsatz häufig noch schwierig, so dass man gut daran tut, Experten zu Rate zu ziehen, damit man sich nicht durch feh- lerhafte Absicherungsmaßnahmen (z.B. durch eine fehlerhaft konfigurierte Firewall) in einer fatal falschen Sicherheit wiegt. Der menschliche Faktor ist sicherlich ein weiteres Hauptproblem heutiger Systeme. Unwissenheit, Nachlässigkeit oder auch Ignoranz und Bequemlichkeit führen immer wieder zum erfolgreichen Ausbreiten von Viren und Würmern. Neue Konzepte und Produkte sowie eine intensive Schulung und Ausbildung sind notwendig, damit Si- cherheitstechnologie einfach genutzt und als erforderlich akzeptiert wird. Competence Site: Gefährdungspotenziale von Attacken Viren, Würmer, Trojaner und DoS-Attacken erhalten ein hohes Maß an allgemeiner Publicity: Zahlreiche Exemplare von bösartigem Code haben es in die allgemeinen Computernews oder sogar in die täglichen Nachrichten "geschafft". Andere Heraus- forderungen wie z.B. die Sicherheit von Web Services und WLANs sind dagegen noch nicht so weit ins Bewusstsein vorgedrungen und werden daher bei Investitionen in die IT-Sicherheit kaum berücksichtigt. Richten die Attacken, die am meisten Be- achtung in den Medien finden, auch wirklich die größten Schäden an? Welche At- tacken sind Ihrer Meinung nach derzeit wirklich die gefährlichsten für Unternehmen? Prof. Dr. Claudia Eckert: Attacken, die Beachtung in den Medien finden, sind i.d.R. dadurch charakterisiert, dass sie auf Störung einer mehr oder minder unbestimmten Masse von Systemen gerichtet sind. Die beeindruckende Höhe des Schadens, den sie anrichten, resultiert daher aus der Summe sehr vieler kleiner (kurzzeitiger) Einzelschäden. Als gefährlicher sind Attacken einzuschätzen, die auf gezielte und unerkannte Aus- forschung und Beeinflussung einzelner Unternehmen oder Infrastrukturen zielen und dort zu hohen (langzeitigen) Einzelschäden führen. Competence Site Virtual Roundtable IT-Sicherheit Auch die angesprochenen Probleme im Zusammenhang mit drahtloser Übertra- gungstechnik und der Nutzung mobiler Endgeräte (u.a. PDAs, Smartphones, aber auch Laptops) werden derzeit in vielen Unternehmen einfach unterschätzt. Wenn Sicherheitsleitlinien etabliert sind, so beziehen diese sich häufig nur auf stationäre Systeme wie PCs. Die speziellen Gefahren portabler Geräte, mit denen Mitarbeiter sich zum Beispiel an beliebigen Orten in offene WLANs (u.a. Hotspots) einklinken und Daten transferieren bzw. Downloaden oder ggf. durch falsche Laufwerksfreiga- ben einen direkten Zugriff auf ihre mobilen Geräte ermöglichen, werden häufig noch ignoriert. Competence Site: IT-Marktstruktur Immer wieder werden Stimmen laut, die in der Dominanz eines Betriebssystems ei- nen Grund für die rasche Ausbreitung von Viren und Würmern sehen. Dies entspricht zwar der allgemeinen Erfahrung, wenn man sich die Anfälligkeit von Monokulturen für Schädlinge vor Augen hält. Ist dieses Beispiel aus der Biologie aber direkt auf die IT übertragbar? Könnte eine Konzentration auf wenige Systeme auch Vorteile ha- ben? Sehen Sie auch einen Zusammenhang zwischen der Offenlegung von Programmco- de und der Anfälligkeit von Software für Attacken? Ist Open Source-Software im all- gemeinen wirklich mehr oder weniger anfällig oder werden bisher Open Source-Platt- formen nur weniger „angegriffen“, weil sie als Angriffsziel nicht so populär sind? Prof. Dr. Claudia Eckert: Die Reichweite einer Attacke sinkt sicher umgekehrt proportional zur wachsenden Zahl unterschiedlicher Betriebssysteme. Die Unangreifbarkeit eines Betriebsystems muss jedoch für jedes Betriebssystem für sich gelöst werden, indem man es verlässlich und vertrauenswürdig gestaltet. Entscheidend für die Vertrauenswürdigkeit eines Betriebssystems (wie für jede Soft- ware) ist die Qualität des Programmcodes. Dessen Offenlegung kann (aber muss nicht notwendig) zu einer Qualitätserhöhung führen, wenn der Code von Experten intensiv analysiert und kontinuierlich verbessert wird. Die Offenlegung allein führt a- ber natürlich nicht automatisch zu einer Qualitätssteigerung, wie die häufigen Sicher- heitsprobleme im Kontext von Open Source Software zeigen. Ohne eine intensive Competence Site Virtual Roundtable IT-Sicherheit Code-Analyse und den offenen Austausch über Probleme und deren Lösungen wird bei der Qualität kein Fortschritt erzielt. Die Gefahr, durch eine Offenlegung noch anfälliger zu werden, besteht nach den vor- liegenden Erfahrungen nicht. Der vermeintliche Schutz, den manche Hersteller sich durch Maßnahmen der Geheimhaltung und Verschleierung erhoffen, bleibt demge- genüber aus. Ein solches Vorgehen ist unter dem Begriff Security by obscurity be- kannt und hat sich in der Vergangenheit unter Sicherheitsexperten stets als untaug- lich erwiesen.