IT-Sicherheit: Das nächste Enron?

TechRepublic: Welche Best Practices können Sie empfehlen?

Neumann: IT-Leiter wollen Anonymität und Verantwortlichkeit und außerdem eine Immunität ihrer Systeme gegenüber Denial-of-Service-Attacken. Doch es ist ein Kinderspiel, ein mit dem Internet verbundenen System lahm zu legen. Die so genannten Best Practices haben damit zu tun, wie oft man seine Passwörter wechselt, jedoch nicht, wie häufig diese Passwörter durch das Netz laufen, wo man sie leicht ausspähen kann. Da Best Practices gerade mal ein Linderungsmittel sind, gibt es nirgendwo echte Sicherheit. Die meisten Leute sehen es als Best Practice an, wenn sie das von allen anderen ebenfalls benutzte System kaufen. Natürlich kann man seinen Kopf in den Sand stecken.

Die hier erforderlichen Best Practices gehen so weit über den aktuellen Stand der gewerblichen Software- und Sicherheitssysteme hinaus, dass es fast keinen Sinn macht, über diese zu sprechen. Nehmen wir zum Beispiel die Benutzerauthentifizierung. Passwörter sollten nie benutzt werden, statt dessen sollte man eine verschlüsselte Authentifizierung verwenden. Doch selbst die hat ihre Lücken. Ich analysierte ein internationales Unternehmen, das Token-Authentifizierung benutzte (ein zusätzlicher computergenerierter Sicherheitsmechanismus). Dieses Unternehmen war der Meinung, seine Sicherheit erhöht zu haben, in Wirklichkeit hatte man ein extrem anfälliges System aufgebaut. Wie ich herausfand, konnte ich mich an die verschlüsselte Authentifizierung hängen und dann das Passwort innerhalb von 90 Sekunden auf einem anderen Teil des Netzwerks wieder abspielen (um so Zugang zu erhalten). Diese Firma bot eine gigantische Angriffsfläche.

TechRepublic: Was ist mit biometrischen Systemen?

Neumann: Gesichtserkennungsprogramme produzieren noch immer hohe Fehlerquoten. Bei der Fingerbilderkennung kann man mit einem gummiartigen Fingerabdruck, den man zuvor von einer anderen Oberfläche abgenommen hat, das System hinters Licht führen. 80 Prozent aller Systeme lassen sich hundertprozentig austricksen.

TechRepublic: Sie schlagen aber doch nicht vor, dass wir einfach so aufgeben?

Neumann: Natürlich nicht. Sehen Sie sich einmal das Common Criteria Projekt auf der Website von NIST an. Dieses Projekt verkörpert 15 Jahre währende Bemühungen des amerikanischen Verteidigungsministeriums und anderer Stellen, Sicherheitskriterien zu definieren. Hier haben Sie die Best Practices, doch wurden bisher nur wenige bedeutende Systeme nach diesen Kriterien ausgewertet. Wenn sich keiner der Händler an diese Kriterien hält, hat man keine Möglichkeit, ein sicheres System der oberen Preisklasse zu verlangen. Den Händlern zufolge ist ein solches System angeblich zu kostspielig. Außerdem fragt niemand danach, da ja alle mit dem mangelhaften Angebot auf dem Markt glücklich sind. Natürlich nennt keiner dieses Problem beim Namen.