Web

 

Sicherheitslecks durch Offshore-Programmierung

03.06.2004

Das US-amerikanische Unternehmen Citadel Security Software Inc hat die andauernde Debatte um die Verlagerung von Arbeitsplätzen in Offshore-Länder um ein neues Thema bereichert: In Niedriglohnregionen entwickelte Software müsse einem besonderen Check unterzogen werden, um Sicherheitslücken auszuschließen, sagte Steve Solomon, CEO des texanischen Sicherheitsdienstleisters, vor einem Untersuchungsausschuss des Repräsentantenhauses. "Industrie und Regierung sollten zusammenarbeiten, um eine Art Standard zu entwickeln, der den Entstehungsprozess durchleuchtet und der wachsenden Gefahr entgegenwirkt."

Solomon sprach vor einer Kommission, die Experten zum Thema Cybersecurity anhört, um die von fehlerhafter Software ausgehende Gefahr für Wirtschaft und Gesellschaft abschätzen zu können. Seine Aussagen erregten den Unmut der Unternehmensvertreter von Microsoft und Juniper Networks. "Es ist doch völlig egal, wo Software entsteht", ereiferte sich Dubhe Bienhorn, Vice-President bei Juniper: "Jeder Entwicklungsprozess benötigt strenge Kontrollen und intensive Prüfung." Solomon konterte, dass die meisten Softwareanbieter die Offshore-Kapazitäten als einfache und billige Arbeitsquelle nutzten. "Möglicherweise unterhalten einige der Kollegen in diesem Ausschuss entsprechende Prozesse für die Offshore-Entwicklung die meisten tun das nicht", sagte er.

Besonderes Interesse verwendete der Ausschussvorsitzende Adam Putnam, ein Republikaner aus Florida, auf die Patch-Prozesse der Hersteller, mit denen sie Fehler der verkauften Anwendungen zu beheben versuchen. Bevorzugter Ansprechpartner für dieses Thema ist Microsoft. Die Frage, ob das Unternehmen den entsprechenden Benachrichtigungsprozess für gut befinde, beantwortete Scott Culp, Chef-Stratege für Sicherheitsthemen bei Microsoft: Er sei sich sicher, dass die Anbieter hart daran arbeiteten, Behörden und Privatpersonen schnell zu informieren. "Wir haben ein großes Eigeninteresse daran, so viel Leute wie möglich über unsere Fehler in Kenntnis zu setzen und ihnen dabei zu helfen, die Probleme zu beheben", sagte Culp. Zufrieden mit der derzeitigen Situation sei er jedoch nicht: "Natürlich würde ich gerne weniger Alarmmeldungen verschicken."

Beruhigen konnte diese Aussage Putnam nicht, den Politiker treibt die Sorge um Amerikas Sicherheit um. "Ich habe weiterhin Bedenken. Wir alle handeln nicht schnell genug, um unsere Bürger und die Wirtschaft vor den Folgen dieser Gefahr zu bewahren. Die Zeit zum Handeln ist gekommen."

Auch Citadel-Chef Solomon kritisierte weiterhin, das Patch-Management gaukele den Unternehmen eine scheinbare Sicherheit vor, denn es versperre den Blick auf größere Probleme. Namentlich nannte er fehlende Sicherheitsrichtlinie in den Firmen und die mangelnde Schadensbehebung nach einer Attacke. "Im Durchschnitt lassen sich durch Patches nur 30 Prozent der Schwachstellen in den Organisationen schließen. Damit sind 70 Prozent der Probleme unbearbeitet."

Louis Rosenthal, Executive Vice-President beim Finanzdienstleister ABN Amro Services, forderte den Ausschuss auf, Weg zu finden, die Softwareanbieter deutlicher in die Pflicht zu nehmen. Die Hersteller sollten endlich ihre Verantwortung für die US-amerikanische Infrastruktur akzeptieren. Als mögliche Maßnahmen schlug er vor, die Anbieter für mangelnde Qualität haften zu lassen, und sie dazu zu bewegen, auch ältere, aber noch eingesetzte Softwareversionen zu pflegen. (jha)