Riesen-Aufgabe

Editorial: Wer entwickelt ein sicheres Betriebssystem?

Windows und Unix/Linux sind gleichermaßen angreifbar: Was muss ein (derzeit noch imaginäres) neues System besser machen, um weniger verwundbar zu sein?
Von

Wer entwickelt ein sicheres Betriebssystem? Wer entwickelt ein sicheres Betriebssystem?
Bild: dpa Der Bundestag wurde gehackt, möglicherweise muss für viele Millionen Euro das komplette Rechnernetz neu installiert werden, weil man nicht weiß, wie tief sich die Trojaner der Angreifer vergraben haben. Wenn bei einzelnen Rechnern das BIOS oder die Firmware der Festplatte infiziert wurden, lässt sich der Schädling mit der üblichen Methode - Betriebssystem neu aufsetzen - womöglich nicht mehr entfernen. Man weiß nicht, wie potent der Angreifer ist. Die Wahrscheinlichkeit, dass die NSA oder der KGB hinter dem Angriff stecken, ist sehr hoch.

Die vorgenannte Meldung ist für sich genommen schon schlimm genug, doch es kommt noch dicker: Offensichtlich ist vorgesehen, das neue Rechnernetzwerk mit denselben Systemen aufzusetzen wie das alte. Das ist so, als ob man nach dem Einsturz einer Brücke die Brücke unverändert mit den alten Plänen erneut aufbaut! Der nächste Einsturz bzw. im Falle des Bundestags-Netzwerk der nächste Einfall eines Trojaners ist so vorprogrammiert!

Wer entwickelt ein sicheres Betriebssystem? Wer entwickelt ein sicheres Betriebssystem?
Bild: dpa Nun sind die IT-Experten, die den Bundestag bezüglich der IT-Ausrüstung beraten, sicher nicht doof. Doch auch IT-Experten können kein sicheres Betriebssystem aus dem Hut zaubern. Dass Windows zahlreiche Schwachstellen hat, die zu monatlichen umfangreichen Patch-Days führen, ist allgemein bekannt. Auf Untergrundmarktplätzen gibt es einen regen Handel mit Zero-Day-Exploits - Sicherheitslücken, für die es noch keine Patches gibt. Und selbst, wenn es oft anders behauptet wird: Unix/Linux ist auch nicht prinzipiell sicherer (oder unsicherer) als Windows. Der Autor dieser Zeilen hat schon mehrere Linux-Systeme gesehen, die von Hackern fremdgesteuert worden sind. In einem Fall bemühte sich der Angreifer sogar, ein Update für die Sicherheitslücke nachzuinstallieren, über die er eingedrungen war. So nach dem Prinzip: "Ich möchte diesen gekaperten Rechner für mich alleine behalten und nicht noch weitere 'Gäste' darauf haben".

Uralt-Schnittstellen

Meines Erachtens ist eines der Grundprobleme von Unix/Linux die Posix-Programmierschnittstelle, deren Fundament in den 60er Jahren gelegt wurde, selbst, wenn die eigentliche Standardisierung erst in den 80er Jahren erfolgte. Konnte man damals davon ausgehen, dass dort, wo ein Computer im Einsatz ist, ein Programmierer nicht weit ist, ist heute der "reine Anwender" die Regel. Ein Anwender kann aber nicht in die von ihm installierten Programme reinschauen, ob sie wirklich nur die Datenübertragungen durchführt, die er wünscht. Und erst recht nicht kann ein Anwender die Code-Mengen kontrollieren, die aus dem Internet nachgeladen werden.

Posix erlaubt es beispielsweise einem Programm, das unter einer bestimmten Nutzerkennung läuft, beliebige Dateien dieses Nutzers zu öffnen, zu lesen, zu verarbeiten und anschließend das Ergebnis der Verarbeitung (oder den unverarbeiteten Originalinhalt) zu einem beliebigen Ziel im Internet zu übertragen. Das Programm darf auch neue Programme aus dem Netz laden und ausführen. Für keine dieser Aktionen ist die Zustimmung des Nutzers erforderlich, diese wird für laufende Anwendungsprogramme beliebiger Art vom Betriebssystem einfach als gegeben vorausgesetzt. "Sicherheit" ist das nicht.

In der Folge dieser eklatanten Mängel bei der Datensicherheit auf Ebene des Betriebssystems und der Standard-Programmierschnittstellen treiben Anwendungsprogramme mit Onlinezugriff, allen voran Internetbrowser, einen immensen Aufwand, um doch irgendwie sicher zu sein. Aber der kleinste Programmierfehler im Browser oder eines der vom Browser nachgeladenen Plugins reicht aus, und den Angreifern gelingt der Ausbruch aus der Sandbox. Auf Betriebssystem gibt es dann noch genau einen weiteren Abwehrring - nämlich den Zugang zum Administratoraccount - um den allumfassenden Zugriff zu verhindern. Hat der Angreifer hierfür ebenfalls einen Exploit in petto, den er übrigens dank der oben genannten Fähigkeiten auf Nutzer-Account-Ebene problemlos aus dem Netz nachladen und ausführen kann, kann er sich anschließend (fast) beliebig tief im System vergraben. In besonders sicherheitsrelevanten Umgebungen wird damit aus einem niegelnagelneuen PC über Nacht ein Stück Sondermüll.

Von Grund auf neu machen!

Bundestagsabgeordneter mit Windows-Tablet Bundestagsabgeordneter mit Windows-Tablet
Bild: dpa Eine schnelle Lösung für das allumfassende IT-Sicherheitsproblem gibt es nicht. Dabei wäre eine Lösung dieser Sicherheitsprobleme Voraussetzung dafür, dass die Nutzer wieder Herr ihrer Daten werden. Und das gilt gleichermaßen für den Privatanwender, der nicht will, dass jeder alle seine Bilder und Videos sehen kann, für den Firmenchef, der seine mühsam entwickelten Produktionsverfahren nicht von der Konkurrenz raubkopiert sehen will, und den Bundestagsabgeordneten, der nicht vom Geheimdienst anderer Nationen bespitzelt werden will.

Von der IT-Industrie selber wird die Lösung der Datensicherheitsprobleme wahrscheinlich nicht kommen, denn sie profitiert selber zu stark vom Gegenteil des Datenschutzes: Umfangreiche online gesammelte Logdaten helfen bei der Fehlersuche in den eigenen Software-Produkten. Sicher zahlen auch die Geheimdienste nicht schlecht für den Zugang auf den einen oder anderen Datenschatz. Wer besonders fair spielt und besonders sichere Programme und Betriebssysteme entwickelt, findet sich am Markt schnell als Verlierer wieder.

Der Druck in Richtung auf bessere Systeme muss daher von der Politik kommen. Diese versucht sich aktuell ja sogar an ganz großen Zielen: Auf der G7-Konferenz wurde die komplette Dekarbonisierung der Weltwirtschaft beschlossen. Auf der nächsten steht hoffentlich ein sicheres Betriebssystem auf der Agenda. Mit vollkommen neuen Programmierschnittstellen, die dem heutigen Bedarf an IT-Sicherheit gerecht werden, und dazu von den heutigen Fähigkeiten von IT-Systemen ausgehen.

Wo beispielsweise ein Programm "seine" Dateien, etwa Konfigurationsdateien oder die Zwischenstände früherer Verarbeitung, problemlos öffnen kann, sich aber zugleich ohne explizite Nutzerberechtigung nicht an "fremden" Dateien vergreifen kann. Wo ein Programm selbst dann, wenn es aus der Sandbox eines Internet-Browsers ausbricht, kaum mehr Rechte hat als auch innerhalb der Sandbox. Weil das Betriebssystem viel detailliertere Rechte zuweist als bisher, und das Betriebssystem die Apps bei der Ausführung ihres Codes viel genauer überwacht als bisher.

Wahrscheinlich brauchen wir für diese neuen, sicheren Systeme nicht nur neue Betriebssoftware, sondern auch neue Prozessoren. Es spricht nichts dagegen, dass diese weiterhin von Intel oder anderen bekannten Chip-Herstellern kommen. Die Politik muss aber die Marschrichtung vorgehen, sie muss anschließend die Forschung anstoßen, wie sicherere Hard- und Software aussieht, und sie muss dann die Forscher beauftragen, die Produkte der Industrie auf die Einhaltung der Ziele zu kontrollieren. Damit wir alle wieder Herr unserer Daten werden. Auf dem heimischen PC genauso wie auf dem in der Firma oder eben im Bundestag.

Weitere Editorials