Teufelskreis Entwicklung: Warum Software nicht sicher ist

Jeder Informatikstudent lernt, wie man sichere Anwendungen aufsetzt. Dennoch passieren in Entwicklungsprozessen immer wieder die gleichen Fehler. ZDNet erklärt, warum das so ist und wie der Teufelskreis durchbrochen werden könnte.

Die Entwicklung von Software unter Einhaltung von strengen Sicherheitsstandards stellt Unternehmen vor ein Problem: Eigentlich müsste die Integration von Security von zwei Seiten her erfolgen, durch Standardisierung von unten und durch die frühzeitige Integration der IT-Sicherheit in die Entwicklungsprozesse von oben.

Seitens der Hersteller gibt es zwar eine ganze Reihe von Standardisierungsinitiativen, etwa die Oasis Web Services Security oder die Trusted Computing Group. Derartige Vorhaben sind jedoch nicht mehr als ein Tropfen auf den heißen Stein, um durch sichere Anwendungsentwicklung tatsächlich zu besseren Softwareprodukten zu gelangen. Schaut man dann in die alltägliche Praxis hinein, so ist der Graben noch tiefer. Buffer Overflows sind immer noch das größte Sicherheitsproblem in Software, obwohl jedem Informatiker klar ist, wie man sie vermeidet. Es gibt unzählige Baustellen von Browser- und Kernel-Bugs bis hin zu Problemen in Datenbanken wie der von Oracle.

Einfache Angriffstechniken zeigen die Defizite

So startete im November 2006 die Kampagne „Monat der Kernel-Bugs“ unter Federführung des Metasploit-Projekts, in der Tester unterschiedliche Betriebssysteme genauer unter die Lupe nahmen. Im Laufe des Projekts fand sich jeden Tag auf der Webseite ein neuer Kernel-Bug, der mit Hilfe von „Black-Box-Testing“ aufgezeigt wurde. Sogar mit veralteten Methoden wie „Fuzzing„, dem Füttern von Anwendungen mit automatisch erzeugten und pseudo-zufälligen Eingaben, ließen sich gravierende Fehler in den Betriebssystem-Kernen finden.

Fuzzing bringt natürlich zunächst eher triviale Fehler hervor. Es braucht aber kaum Fantasie, um anschließend den Gütegrad der jeweiligen Anwendungen generell in Frage zu stellen. Offenbar haben viele Softwarehersteller nach wie vor erheblichen Nachholbedarf in der Softwarequalität. „Die Entwicklung sicherer Software als Vision zu formulieren, ist ohnehin problematisch, denn Sicherheit ist ja kein Selbstzweck“, sagt Professor Christoph Meinel, Geschäftsführer am Hasso-Plattner-Institut für Softwaresystemtechnik (HPI) in Potsdam.

Themenseiten: Hacker, Security-Analysen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Teufelskreis Entwicklung: Warum Software nicht sicher ist

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *