IT-Sicherheit

Autoindustrie braucht die guten Hacker

24.11.2012
Von 
Peter Ilg ist freier Journalist in Aalen.

IT-Sicherheit findet in der Softwareentwicklung statt

Thorsten Holz ist Professor für Systemsicherheit an der Ruhr-Universität Bochum.
Thorsten Holz ist Professor für Systemsicherheit an der Ruhr-Universität Bochum.
Foto: Ruhr-Universität Bochum

Je sorgfältiger Software entwickelt wird, umso weniger Angriffsfläche bietet sie. IT-Sicherheit ist deshalb eine Frage gründlicher Entwicklung, meint Thorsten Holz, Professor für Systemsicherheit an der Ruhr-Universität Bochum.

CW: In welcher Stufe findet IT-Sicherheit in der Softwareentwicklung statt?

HOLZ: Sie steht ganz am Anfang einer Entwicklung und ist oft als ein fester Bestandteil integriert, etwa über den Security Development Life Cycle, SDL.

CW: Können Sie das erläutern?

HOLZ: SDL ist eine Vorgehensmethode, nach der sich sichere Systeme entwickeln lassen. SDL stammt von Microsoft. 2004 setzte sich das Unternehmen zum Ziel, vertrauenswürdigere Systeme auf den Markt zu bringen. Entwickler wurden geschult und der gesamte Entwicklungsprozess in Richtung Security ausgerichtet. Sicherheit wurde ein fester Bestandteil in der Softwareentwicklung. Viele große Firmen nutzen heute SDL oder Abwandlungen davon. Das geschieht nicht nur in der Softwarebranche, sondern auch in anderen Industrien, etwa in der Automatisierungstechnik. Auch im Automobilbau sowie der Luft- und Raumfahrt wird SDL genutzt, doch sind hier allein schon aufgrund gesetzlicher Vorgaben die Anforderungen an IT-Sicherheit deutlich höher.

CW: Das heißt, je nach Anwendungsfall spielt das Thema IT-Sicherheit eine wichtige oder weniger wichtige Rolle.

HOLZ: Grundsätzlich ja, man muss aber bei der Begrifflichkeit genauer unterscheiden. Im Deutschen gibt es nur das Wort Sicherheit. Im Englischen wird zwischen Safety und Security unterschieden. Das ist wichtig und richtig. Security sind Störeinflüsse von aussen, Safety bedeutet Schutz von ungewolltem Systemverhalten. In der Luft- und Raumfahrt zum Beispiel steht die interne Systemsicherheit an oberster Stelle, weil Menschenleben geschützt werden müssen. Das gilt auch für Systeme in Autos. Banken hingegen wollen eher externe Angreifer abhalten.

CW: Ist IT-Sicherheit immer ein Teil der Informatikausbildung?

HOLZ: Ja, wobei die Intensität von der Hochschule abhängt. Im Grundstudium ist IT-Sicherheit im Fach Programmierung integriert. In höheren Semestern gibt es Vorlesungen in Softwaresicherheit. Da lernen die Studenten, was typische Programmierfehler sind und wie sie ein Angreifer für seine Zwecke ausnutzen kann und wie sich Fehler vermeiden lassen. Beides üben Studenten bei uns an Programmen mit bewusst eingebauten Fehlern.

CW: Ist ein System nur zu knacken, wenn es nicht ordentlich entwickelt ist?

HOLZ: Je besser die Entwicklung und je mehr Tests stattfinden, umso höher ist die Wahrscheinlichkeit, dass Hacker nicht eindringen können. Das alles ist eine Kostenfrage mit Nutzenabschätzung. Geht man davon aus, dass der Angreifer unbeschränkte Ressourcen hat, kann er jedes System knacken. Deshalb gibt es keine hundertprozentige Sicherheit, aber eine relativ hohe.