Reaktion auf Stuxnet

SeSaM und SaSER - kritische IT-Infrastruktur soll sicherer werden

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Die Bundesregierung und deutsche Unternehmen planen einem Pressebericht zufolge einen Gegenschlag gegen die wachsende Zahl von Cyberattacken.

Helfen sollen dabei Computerchips, Router und Betriebssystem aus Deutschland, berichtet die "WirtschaftsWoche" unter Berufung auf deutsche Sicherheitskreise. Vor allem die Sorge um "geheime Hintertüren in Soft- und Hardware, durch die anschließend fremde Geheimdienste eindringen können", habe die Verantwortlichen "in Alarmbereitschaft versetzt", heißt es weiter.

Im Rahmen der Cyber-Abwehrstrategie solle deswegen unter anderem ein sicheres Betriebssystem entwickelt werden. Vorrangiges Ziel sei es, "das für seine Sicherheitslücken bekannte Betriebssystem Windows aus dem Hause Microsoft mit einer Software-Schutzhülle einzukapseln", schreibt das Blatt. Grundlage für die Entwicklung in diesem Bereich sei ein an der TU Dresden entwickelter Mikrokernel namens "SeSaM" ("Secure and Safe Microkernel Made in Germany"). Das Projekt werde vom Bundesforschungsministerium gefördert und solle in ein mit staatlicher Hilfe finanziertes Start-up überführt werden.

Die Kollegen sind bei ihrer Meldung offenbar einer Reihe von Falschinformationen aufgesessen. Zum einen geht es bei dem Projekt nicht um das Endkunden-Betriebssystem Microsoft Windows, sondern vornehmlich um Embedded-Systeme wie Industrie-Anlagensteuerungen. Auch bildet kein an der TU Dresden entwickelter Mikrokernel die Grundlage, sondern das vor etwa zehn Jahren aus L4 heraus entwickelte kommerzielle "PikeOS", wie ein Mitarbeiter des Projektleiters / Konsortialführers Sysgo im "Golem"-Forum klarstellt und dazu auf die SeSaM-Projektseite verweist.

Auch die Kollegen von "SPON" sind flugs auf den SeSaM-Zug aufgesprungen und haben über die eher dürftige "WiWo"-Story hinaus zumindest weiterrecherchiert. Sie verbreiten dann allerdings gewagte Behauptungen wie "Ein Microkernel stellt auf einem Computer verschiedene Partitionen bereit, in denen Anwendungen getrennt voneinander ablaufen können und nur auf bestimmte Systemressourcen Zugriff erhalten" (so nicht richtig, siehe dazu etwa die Mikrokernel-Definition in der Wikipedia) und werfen Mikrokernel und Virtualisierung durcheinander. Vielleicht sollten wir alle mal wieder Andrew Tanenbaum lesen… Wie auch immer: Laut "Spiegel Online" sind für das SeSaM-Verbundvorhaben "bis 2013 rund eine Million Euro Fördergelder vorgesehen" - dabei kann mit Verlaub gesagt nicht viel herauskommen.

Neben dem sicheren Betriebssystem arbeitet die Bundesregierung der "WirtschaftsWoche"-Meldung zufolge mit der Industrie außerdem an einem europäischen Internet-Router. An "SaSER" ("Secure and Safe European Routing") sollen die Deutsche Telekom sowie die Netzausrüster Alcatel-Lucent, Nokia Siemens Networks (NSN) und ADVA Optical Networking interessiert sein. Laut Bundesforschungsministerium laufen Gespräche mit dem Ziel, "ein leistungsfähiges Konsortium zusammenzustellen". Weitere Details zu SaSER sind leider Mangelware.

Der Ruf nach alternativen Router-Lösungen war in der Vergangenheit aber schon öfter laut geworden. Aus Sicherheitssicht ist die hohe Verbreitung insbesondere des Cisco-Betriebssystems problematisch - Schwachstellen darin werden (ähnlich wie bei Windows) schnell attackiert, sobald sie bekannt werden. Erschwerend hinzu kommt, dass Router und andere Netzgeräte immer wieder auch unprofessionell konfiguriert und beispielsweise mit noch vom Hersteller voreingestellten und öffentlich bekannten Admin-Passwörtern ins Netz gehängt werden.

Vermutungen, dass die Systemsoftware von US-Netzausrüstern auch "Hintertüren" für insbesondere die US-amerikanischen Geheimdienste enthalten könnte, wurden bisher allerdings stets dementiert und nie nachgewiesen.