Das Geschäft mit der IT-Sicherheit sorgt längst für Milliardenumsätze. Branchenkritiker sagen, dass viele hoch angesehene Lösungen und Konzepte gar nicht halten können, was sie versprechen. ZDNet vergleicht Thesen von Security-Industrie und Kritikern.
Branchenkritiker der Security-Industrie, wie Bruce Potter, kritisieren weniger die "schnelle Mark" im Geschäft mit der Angst. Im Vordergrund stehen vielmehr die löchrigen Schutzkonzepte.
Bruce Potter nennt das Kind gerne "The Dirty Secrets of the Security Industry", obwohl er weiß, dass er sich damit nicht nur Freunde macht. So präsentiert der Experte seine provokanten Thesen[1] immer wieder auf einschlägigen Fachkonferenzen, etwa im vergangenen Jahr auf der Hackerkonferenz Defcon im Spielerparadies Las Vegas. Entsprechend groß war seine Zuhörerschaft.
Um sich selbst vor den Risiken und Nebenwirkungen seines gesprochenen Wortes zu schützen, streut der Gründer der Non-Profit-Organisation Shmoo Group[2] gleich zu Beginn seiner Vorträge einen entsprechenden Warnhinweis mit ein. Bei seinen Ausführungen handle es sich nur um seine persönliche Meinung und nicht unbedingt um eine wissenschaftlich fundierte Analyse.
Trotzdem hat Potter die Zuhörer auf seiner Seite, wenn er das Ende der "tiefen Verteidigungslinie im Internet" propagiert. Das Ende des Firewall-Zeitalters habe innerhalb des letzten Jahrzehnts den Beginn der "Defense in Depth[3]" eingeleitet, argumentiert der Sicherheitsexperte.
Jedoch sei die erweiterte Netzwerkabwehr mit Elementen wie Intrusion Detection, Antivirenschutz und Anti-Spam zu keiner Zeit in der Lage gewesen, die Probleme im globalisierten Datenverkehr ausreichend in den Griff zu bekommen. Auch mit Hilfe der Multifaktor-Authentifizierung lasse sich kaum ein ausreichendes Schutzniveau herstellen. "Es gibt immer noch schlechten Code", pointiert der Experte.
Seine Hauptkritik richtet Bruce Potter neuerdings an die mit viel Aufwand und Marketing propagierten serviceorientierten Architekturen (SOA)[4]. "Das Netzwerk soll überall sein und SOA soll über allem herrschen". Mit Hilfe von XML-basierten Firewalls und Single-Sign-On lasse sich jedoch schädlicher Code kaum ausschalten.
Dass derartige Behauptungen mit Blick auf serviceorientierte IT-Architekturen nicht gänzlich aus der Luft gegriffen sind, bestätigt auch ein kürzlich vom Bundesamt für Sicherheit in der Informationstechnik (BSI)[5] veröffentlichtes "SOA Security Kompendium[6]", das zahlreiche Schwachstellen und Handlungsdefizite aufzeigt."Wir benötigen deshalb vor allem bessere Softwarekontrollen über unsere Systeme und nicht bessere Firewalls, mit denen sich nur die niedrig hängenden Früchte greifen lassen", fordert Potter, der das Beratungsunternehmen Ponte Technologies[7] mit gegründet hat. Ganz neu ist diese Forderung allerdings nicht. Es stellt sich zudem die Frage, ob es überhaupt berechtigt ist, die Security-Branche für alle erdenklichen Schlupflöcher in den IT-Systemen und Produkten verantwortlich zu machen.
So gesehen lässt sich zwar die mangelnde Zuverlässigkeit der Abwehr kritisieren, aber die daraus von Fundamentalkritikern wie Potter abgeleitete Schlagzeile "die schmutzigen Geheimnisse der Security-Industrie" in den Raum zu stellen, dazu benötigt man schon etwas Fantasie. Der plakative Befund dürfte vor allem dazu dienen, das eigene Renommee, sprich die "Street Credibility", in der Szene nach oben zu befördern.
Auch der gelegentlich ungeprüft in den Raum gestellte pauschale Vorwurf, Malware-Industrie und Security-Hersteller würden voneinander profitieren und sich immer wieder gegenseitig die Bälle zuspielen, sprich kooperieren, findet bislang kaum einen haltbaren Beleg, der einer wissenschaftlich fundierten Betrachtung standhalten kann.
"Security muss sich aber von einem Produkt zu einem Service wandeln", behauptet Mikko Hyppönen, Chief Research Officer bei F-Secure. Der Forscher sah auf der diesjährigen Fachkonferenz IT-Defense angesichts der drohenden Übermacht der dunklen Seite des Internets sogar die Kapitulation der Abwehr heraufziehen.
"Im Gegensatz zur Verteidigungslinie schotten die Angreifer etwa beim Storm-Netzwerk[8] ihre Peer-to-Peer-Kommunikation durch Verschlüsselung von der Außenwelt ab, so dass die Hydra keinen Kopf zum Abschneiden hat", sagt Hyppönen. Wie allerdings der konkrete Ausweg aus diesem Security-Dilemma aussehen könnte, ließ der Experte offen. Letztlich vermarktet die Security-Branche nämlich vor allem Produkte, die ergänzende Dienstleistungen beinhalten. Eine Alternative wäre, die Hersteller von Softwarelösungen ebenso wie die Anbieter von Security-Lösungen für die Zuverlässigkeit ihrer Produkte in die Haftung zu zwingen. Auch diese Forderung erscheint unrealistisch, obwohl dies etwa Sicherheitsguru Bruce Schneier immer wieder öffentlichkeitswirksam einklagt. Der selbstständige Berater hat sich damit längst in die Riege der Fundamentalkritiker eingereiht und wiederholt die "Abschaffung der Security-Industrie[9]" eingefordert.
Eines der Kernprobleme, das sich die Szene viel eher ankreiden lassen müsste, liegt in dem über Jahre hinweg praktizierten Pathos, der gelegentlich das Ausmaß messianischer Aufklärungszüge annimmt. Im Fachjargon lässt sich das gute Geschäft mit der Angst als "Fear, Uncertainty, and Doubt" (FUD)[10] charakterisieren, übersetzt etwa mit "das gezielte Streuen von Angst, Unsicherheit und Zweifeln". Und genau unter dieser Prämisse FUD streut so mancher Protagonist nur allzu gerne gezielt Halbwahrheiten oder gar Fehlinformationen in die Öffentlichkeit.
So wundern sich informierte Kreise immer wieder darüber, dass ein Hersteller vor einem akuten Schädling warnt, während der Konkurrent möglicherweise zur gleichen Zeit gerade Entwarnung gibt. Wie Unternehmen derart kryptische Rätsel dann mit Hilfe ihrer eigenen Bewertungsmatrix auflösen sollen, um den betrieblichen Schutzgürtel richtig zu dimensionieren, bleibt ihnen selbst überlassen.
Das zentrale Problemfeld stellen demzufolge weniger die von Experten wie Bruce Potter oder Bruce Schneier in den Raum gestellten, vermeintlich "schmutzigen Geheimnisse in der Security-Industrie" dar, sondern die immer größere Kluft zwischen den Möglichkeiten der Angreifer und jenen der Abwehr. Daraus resultiert eine steigende Verunsicherung der Anwender, die der eine oder andere allzu sehr vom Marketing beflissene Protagonist nur bereitwillig ausnutzt.
So stellt sich immer wieder aufs Neue die Frage, ob die Wahrnehmung der Risiken nach Relevanz priorisiert wird. Was eine richtige Krise ist, das weiß zumindest Stephan Schlentrich. Er hat als Auslandsreporter der ARD unzählige politische Krisenherde aus eigener Anschauung erlebt, unter anderem auch während des letzten Irakkrieges, wo er der letzte deutsche Berichterstatter war, der Bagdad schließlich verlassen musste.
Heute leitet Schlentrich das Steinbeis-Transferzentrum "Communication, Safety & Security" (CSS). Dort berät er deutsche und internationale Unternehmen in Sachen Krisenmanagement und Krisenkommunikation. Auf der diesjährigen IT-Defense versuchte auch er, sich seinen eigenen Reim auf das bunte Treiben in der IT-Industrie zu machen. Der Bereich der IT biete keinerlei Gewähr, um Gefahren wirksam abwehren zu können, so Schlentrich. Denn oftmals lägen die wirklich sensiblen Risiken ganz woanders.
"Der Wissensabfluss durch Mitarbeiter aus den Unternehmen ist das größere Problem als die IT", so der Experte. Aber auch er muss einräumen, dass selbst die im Fachjargon als Insider-Threats bezeichneten menschlichen Schwachstellen sich kaum mit Hilfe einer einfach gestrickten Aufklärungs- und Sensibilisierungskampagne wirksam eindämmen lassen.
Aufgrund der zahlreich vorhandenen menschlichen Schwachstellen, die dem Social Engineering im interaktiven Web 2.0 den Boden bereiten, verwundert es zudem kaum, dass die Zahl sicherheitskritischer Programmfehler weiter zunimmt - statt abzunehmen, wie dies anhand der zahlreich vorhandenen Handlings und Best Practices eigentlich zu erwarten wäre.
Mit der Veröffentlichung von "Zero-Day"-Bugs nehmen die von finanziellen Motiven angetriebenen Angreifer die Hersteller weiter in den Schwitzkasten. "Während noch diskutiert wird, ob die Veröffentlichung eines sicherheitskritischen Bugs ohne Vorabinformation an den Hersteller vertretbar ist, zwingen einige Cracker die Hersteller in einen Wettlauf mit den Entwicklern von Exploit-Code", lautet das nüchterne Fazit von Dirk Fox, Geschäftsführer von Secorvo Security Consulting.Um die Schwachstellen zumindest beim Produktdesign einzudämmen, plädiert Fundamentalkritiker Bruce Potter vor allem für bessere Softwarekontrollen der Systeme, statt einer überbordenden Firewall-Absicherung, die nur in der Lage wäre, die Brandschutzmauer ums Unternehmen scheinbar zu verstärken.
Der Experte favorisiert eine verhaltensbasierte Analyse des Netzwerkverkehrs, mit der sich auffällige Muster aufspüren ließen. Dies setze jedoch auch besser ausgebildetes Fachpersonal voraus. Denn die Mehrzahl der Security-Spezialisten habe das Wissen auf der Basis eines "Trainings on the Job" erlernt. Jedoch lasse sich nicht jedes Fachpersonal gezielt schulen. Eine einzige Schwachstelle reiche aus, das ganze System zu kompromittieren, so Potter.
Trotz all der Bemühungen befürchten auch prominente Insider, etwa der Virenexperte Eugene Kaspersky, dass die Antivirenhersteller den Kampf gegen die professionellen Malwareschreiber verlieren könnten. Candid Wüst von Symantec macht sich kaum Illusionen. Er befürwortet aufgrund des großen Risikos von "Drive-by-Downloads[11]", statt signaturbasierten Methoden proaktiv wirksame Abwehrmaßnahmen einzusetzen. Dazu zählen beispielsweise verhaltensbasierte Technologien zur Erkennung von Schadcode.
Damit ließe sich immerhin auch unbekannte Malware anhand ihres Verhaltens besser erkennen, so der Experte. Die geeignete Software soll den Schadcode nämlich bereits aufspüren, bevor Signaturen vorliegen. Aber auch dieses Vorhaben klingt reichlich ambitioniert angesichts der immer neuen Varianten, die sich die Angreifer einfallen lassen.
Als Alternative bliebe laut Candid Wüst nur noch eine Alternative, nämlich den gesamten Rechner einschließlich aller Prozesse ständig auf Unregelmäßigkeiten abzutasten. Doch die Szene der frontalen Branchenkritiker wie Bruce Potter stuft genau jene Mechanismen, die sich der untergehenden Abteilung "Defense in Depth" zuordnen lassen, als leere Schlagworte aus dem Reich des Security-Marketings ein.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/