Wer entwickelt ein sicheres Betriebssystem?
Bild: dpa
Der Bundestag wurde
gehackt, möglicherweise muss für viele
Millionen Euro das komplette Rechnernetz
neu installiert werden,
weil man nicht weiß, wie tief sich die Trojaner der
Angreifer vergraben haben. Wenn bei einzelnen Rechnern das BIOS
oder die Firmware der Festplatte infiziert wurden, lässt sich
der Schädling mit der üblichen Methode - Betriebssystem neu
aufsetzen - womöglich nicht mehr entfernen. Man weiß nicht,
wie potent der Angreifer ist. Die Wahrscheinlichkeit, dass die
NSA oder der KGB hinter dem Angriff stecken, ist sehr hoch.
Die vorgenannte Meldung ist für sich genommen schon schlimm genug,
doch es kommt noch dicker: Offensichtlich ist vorgesehen, das neue
Rechnernetzwerk mit denselben Systemen aufzusetzen wie das alte.
Das ist so, als ob man nach dem Einsturz einer Brücke die Brücke
unverändert mit den alten Plänen erneut aufbaut! Der nächste
Einsturz bzw. im Falle des Bundestags-Netzwerk der nächste Einfall
eines Trojaners ist so vorprogrammiert!
Wer entwickelt ein sicheres Betriebssystem?
Bild: dpa
Nun sind die IT-Experten, die den Bundestag bezüglich der
IT-Ausrüstung beraten, sicher nicht doof. Doch auch IT-Experten
können kein sicheres Betriebssystem aus dem Hut zaubern. Dass
Windows zahlreiche Schwachstellen hat, die zu monatlichen umfangreichen
Patch-Days führen, ist allgemein bekannt. Auf Untergrundmarktplätzen
gibt es einen regen Handel mit Zero-Day-Exploits - Sicherheitslücken,
für die es noch keine Patches gibt. Und selbst, wenn es oft anders
behauptet wird: Unix/Linux ist auch nicht prinzipiell sicherer
(oder unsicherer) als Windows. Der Autor dieser Zeilen hat schon mehrere
Linux-Systeme gesehen, die von Hackern fremdgesteuert worden sind.
In einem Fall bemühte sich der Angreifer sogar, ein Update für die
Sicherheitslücke nachzuinstallieren, über die er eingedrungen war.
So nach dem Prinzip: "Ich möchte diesen gekaperten Rechner für mich
alleine behalten und nicht noch weitere 'Gäste' darauf haben".
Uralt-Schnittstellen
Meines Erachtens ist eines der Grundprobleme von Unix/Linux die
Posix-Programmierschnittstelle, deren Fundament in den 60er Jahren
gelegt wurde, selbst, wenn die eigentliche Standardisierung erst in
den 80er Jahren erfolgte. Konnte man damals davon ausgehen, dass
dort, wo ein Computer im Einsatz ist, ein Programmierer nicht weit
ist, ist heute der "reine Anwender" die Regel. Ein Anwender kann
aber nicht in die von ihm installierten Programme reinschauen, ob
sie wirklich nur die Datenübertragungen durchführt, die er wünscht.
Und erst recht nicht kann ein Anwender die Code-Mengen kontrollieren,
die aus dem Internet nachgeladen werden.
Posix erlaubt es beispielsweise einem Programm, das unter einer
bestimmten Nutzerkennung läuft, beliebige Dateien dieses Nutzers zu
öffnen, zu lesen, zu verarbeiten und anschließend das Ergebnis der
Verarbeitung (oder den unverarbeiteten Originalinhalt) zu einem
beliebigen Ziel im Internet zu übertragen. Das Programm darf auch
neue Programme aus dem Netz laden und ausführen. Für keine dieser Aktionen
ist die Zustimmung des Nutzers erforderlich, diese wird für laufende
Anwendungsprogramme beliebiger Art vom Betriebssystem einfach als
gegeben vorausgesetzt. "Sicherheit" ist das nicht.
In der Folge dieser eklatanten Mängel bei der Datensicherheit
auf Ebene des Betriebssystems und der Standard-Programmierschnittstellen
treiben Anwendungsprogramme mit Onlinezugriff, allen voran
Internetbrowser, einen immensen Aufwand, um doch irgendwie sicher
zu sein. Aber der kleinste Programmierfehler im Browser oder eines
der vom Browser nachgeladenen Plugins reicht aus, und den Angreifern
gelingt der Ausbruch aus der Sandbox. Auf Betriebssystem gibt es dann
noch genau einen weiteren Abwehrring - nämlich den Zugang zum
Administratoraccount - um den allumfassenden Zugriff zu verhindern.
Hat der Angreifer hierfür ebenfalls einen Exploit in petto, den er
übrigens dank der oben genannten Fähigkeiten auf Nutzer-Account-Ebene
problemlos aus dem Netz nachladen und ausführen kann, kann er
sich anschließend (fast) beliebig tief im System vergraben. In
besonders sicherheitsrelevanten Umgebungen wird damit aus
einem niegelnagelneuen PC über Nacht ein Stück Sondermüll.
Von Grund auf neu machen!
Bundestagsabgeordneter mit Windows-Tablet
Bild: dpa
Eine schnelle Lösung für das allumfassende IT-Sicherheitsproblem gibt
es nicht. Dabei wäre eine Lösung dieser Sicherheitsprobleme
Voraussetzung dafür, dass die Nutzer wieder Herr
ihrer Daten werden. Und das gilt gleichermaßen für den Privatanwender, der
nicht will, dass jeder alle seine Bilder und Videos sehen kann, für den
Firmenchef, der seine mühsam entwickelten Produktionsverfahren nicht von der
Konkurrenz raubkopiert sehen will, und den Bundestagsabgeordneten, der
nicht vom Geheimdienst anderer Nationen bespitzelt werden will.
Von der IT-Industrie selber wird die Lösung der Datensicherheitsprobleme
wahrscheinlich nicht kommen, denn sie profitiert selber zu stark vom
Gegenteil des Datenschutzes: Umfangreiche online gesammelte Logdaten
helfen bei der Fehlersuche in den eigenen Software-Produkten. Sicher
zahlen auch die Geheimdienste nicht schlecht für den Zugang auf den
einen oder anderen Datenschatz. Wer besonders fair spielt und besonders
sichere Programme und Betriebssysteme entwickelt, findet sich am Markt
schnell als Verlierer wieder.
Der Druck in Richtung auf bessere Systeme muss daher von der
Politik kommen. Diese versucht sich aktuell ja sogar an ganz großen
Zielen: Auf der G7-Konferenz wurde die komplette Dekarbonisierung
der Weltwirtschaft beschlossen. Auf der nächsten steht hoffentlich ein
sicheres Betriebssystem auf der Agenda. Mit vollkommen neuen
Programmierschnittstellen, die dem heutigen Bedarf an IT-Sicherheit
gerecht werden, und dazu von den heutigen Fähigkeiten von IT-Systemen
ausgehen.
Wo beispielsweise ein Programm "seine" Dateien, etwa Konfigurationsdateien
oder die Zwischenstände früherer Verarbeitung, problemlos öffnen kann,
sich aber zugleich ohne explizite Nutzerberechtigung nicht an "fremden"
Dateien vergreifen kann. Wo ein Programm selbst dann, wenn es aus der
Sandbox eines Internet-Browsers ausbricht, kaum mehr Rechte hat als
auch innerhalb der Sandbox. Weil das Betriebssystem viel detailliertere
Rechte zuweist als bisher, und das Betriebssystem die Apps bei der
Ausführung ihres Codes viel genauer überwacht als bisher.
Wahrscheinlich brauchen wir für diese neuen, sicheren Systeme nicht
nur neue Betriebssoftware, sondern auch neue Prozessoren. Es spricht
nichts dagegen, dass diese weiterhin von Intel oder anderen bekannten Chip-Herstellern kommen.
Die Politik muss aber die Marschrichtung vorgehen, sie muss anschließend
die Forschung anstoßen, wie sicherere Hard- und Software aussieht,
und sie muss dann die Forscher beauftragen, die Produkte der Industrie
auf die Einhaltung der Ziele zu kontrollieren. Damit wir alle wieder
Herr unserer Daten werden. Auf dem heimischen PC genauso wie auf dem
in der Firma oder eben im Bundestag.