"Das kam einer Herztransplantation gleich" - Ulrich Isermeyer, Business Development Manager bei Adobe Systems, beschreibt anschaulich, wie schwierig es war, den Quellcode der Acrobat-Produkte zu "härten". Sein Unternehmen versucht im Rahmen einer hauseigenen "Security-Initiative" - unter anderem mit einem präventiv tätigen "Adobe Secure Software Engineering Team" (ASSET) - seit mehr als drei Jahren, die Entwicklung des Adobe Reader und von Acrobat Professional auf sichere Füße zu stellen. Bald soll auch Flash hinzukommen; die neue Creative Suite 6 ist ebenfalls bereits durch das "Abhärtprogramm" gegangen. Adobes Produkte genießen eine weite Verbreitung und machen ab und an mit Sicherheitslücken von sich reden. Deshalb trage das Unternehmen eine besondere Verantwortung, was die Vermeidung von Schwachstellen angehe, sagt Isermeyer. Um nicht im Nachhinein immer wieder fixen zu müssen, sei das sichere Design und stetiges Testen während der Entwicklungsphase unerlässlich geworden.
"Wir achten nun von Anfang an darauf, dass der Code auf bekannte Exploits hin geprüft und abgesichert ist", beschreibt Isermeyer einen veränderten Entwicklungsprozess. Seit Version 10 laufe der Adobe Reader als "geschützte Version" zudem komplett in einer eigenen Sandbox - jedoch nur, wenn der Anwender dies auch wolle. Weil im "Protected Mode" eine Interaktion mit dem Betriebssystem nicht möglich ist - nötig beispielsweise bei PDF-Dokumenten, die auf externe Medienressourcen auf der Festplatte zugreifen - lässt sich der Modus auch ausschalten. Das Ergebnis der Prozessumstellung lasse sich sehen: "Die Zahl der Patches im Acrobat hat sich drastisch verringert", berichtet Isermeyer.
Mehr als Funktionalität
Über eine veränderte Einstellung der Software-Hersteller berichtet auch Bruce Sams, Geschäftsführer des Beratungshauses Optimabit. "Früher ging es nur um Funktionalität. Später folgten die Penetrationstests - aber erst nach der Fertigstellung einer neuen Software. Heute beginnen die Unternehmen, Sicherheitsaspekte bereits in der Konzeptphase zu berücksichtigen." Entwicklerfirmen sähen zunehmend ein, dass das Einsparpotenzial auf diese Weise größer sei, als wenn im Nachgang ständig geflickt werden müsse, meint Sams. "Ein Teil unserer Kunden achtet durchaus darauf, wie die Software entwickelt wird", berichtet Ansgar Dodt, Regional Vice President beim Datensicherheitsanbieter Safenet, von ersten Erfolgen dieser Strategie. Das sei auch der vermehrten Berichterstattung über Sicherheitsvorfälle geschuldet - oder im schlimmeren Fall negativen Erfahrungen im jeweiligen Unternehmen.
Wer will das bezahlen?
Noch größer sei jedoch nach wie vor der Anteil derer, die ausschließlich auf den Kostenfaktor blickten, wenn sie sich für die eine oder andere Lösung entschieden, so Dodt. Das habe wiederum vielfach zur Folge, dass Softwarehersteller längst nicht alle Möglichkeiten ausschöpften, wenn es um die Entwicklung sicherer Produkte gehe - auch die ist schließlich mit Mehrkosten verbunden. "Es bleibt eine Kosten-Nutzen-Abwägung - für alle Seiten", resümiert der Safenet-Vertreter.
Foto: ISF - Information Security Forum
Wie lassen sich Sicherheit, Benutzeranforderungen und Entwicklungskosten unter einen Hut bringen? "Um sichere Software entwickeln zu können, sind immer einzelfallspezifische Entscheidungen zu treffen", sagt Steve Durbin, Vice President des Information Security Forum (ISF), einem unabhängigen Zusammenschluss von über 300 Unternehmen und Behörden aus aller Welt, die sich im IT-Sicherheitsumfeld gegenseitig beraten und unterstützen. Zunächst müssten Arbeitsabläufe in Entwicklungsabteilungen auf andere Füße gestellt und dauerhaft von verschiedenen Stellen überwacht werden. "Sie benötigen bestimmte Entwicklungsstandards und eine Unternehmensphilosophie, die den Aspekt IT-Sicherheit einbindet", so Durbin im COMPUTERWOCHE-Gespräch. Wenn alle Ebenen eines Unternehmens einbezogen würden, fiele es später leichter, Vertrauen beim Kunden aufzubauen. Das helfe dabei, die sicheren Produkte auch für höhere Preise zu verkaufen respektive gut dotierte Einzelaufträge an Land zu ziehen. "Das Vertrauen zwischen Herstellern und ihren Kunden fußt bei diesem Thema meist auf harten Fakten", berichtet der ISF-Vertreter aus der über 20-jährigen Erfahrung des Netzwerks.
Nächste Baustelle: Embedded-Systeme
Foto: Wibu Systems AG
Und was ist mit den Hardware-Entwicklern - stehen die vor den gleichen Herausforderungen wie ihre Software-Kollegen? Sicher ist, dass es in erster Linie die eingebetteten Systeme trifft, wenn es um das Thema IT-Sicherheit geht. Ob nun Geldautomat, Medizintechnik, Fernseher, Smartphone oder Auto - der Bedarf an sicheren IT-Systemen wird sich in den kommenden Jahren noch einmal verschärfen. "Die zunehmende Vernetzung bringt gerade die Industrieanlagen in Gefahr", weiß Oliver Winzenried, CEO bei Wibu Systems, das Sicherheitslösungen für derartige Systeme produziert. "Im ERP- und CAD-Umfeld oder auch bei Automatenherstellern besteht die Nachfrage nach sicheren Lösungen schon lange. Der Maschinen- und Anlagenbau, die Medizintechnik und auch die Textilindustrie kommen hingegen erst langsam dazu", erläutert Winzenried.
Das berichtet auch Bartol Filipovic, Sprecher der Fachgruppe Produktschutz am Fraunhofer AISEC (Einrichtung für Angewandte und Integrierte Sicherheit), das im industriellen Auftrag Sicherheitsverfahren für Soft- und Hardware entwickelt: "In der Industrie ist oft gar nicht bekannt, wie der aktuelle Stand der Technik ist." Das AISEC arbeite mit Industrieverbänden wie dem VDMA (Verband Deutscher Maschinen- und Anlagenbau) zusammen, um auf aktuelle Gefahren für Investitionsgüter wie hochspezialisierte Steuerungsanlagen hinzuweisen. "Letztlich können wir aber nur Lösungen für die Kunden bauen, die auf uns zukommen", so Filipovic, der in erster Linie die Hersteller von Industrieanlagen selbst in der Pflicht sieht, was die sichere Entwicklung angeht.
Absolut fälschungssicher?
Foto: Wibu Systems AG
Wie sieht moderne Gerätesicherheit genau aus? Bei Wibu steht der Integritätsschutz derzeit ganz oben auf der Anforderungsliste: "Sie müssen verhindern, dass Software unberechtigterweise verändert werden kann", so Winzenried. Mithilfe eines Dongles mit integrierter Smartcard (Codemeter) lasse sich eine Hardware-Software-Verbindung schaffen, die nach heutigen technischen Maßstäben fälschungs- und umgehungssicher sei. "Im Chip auf der Smartcard ist ein auf die jeweilige Hardware zugeschnittener kryptographischer Schlüssel gespeichert", berichtet der Wibu-Vorstand aus den Labors. Nur mit dem richtigen Dongle ist ein Zugang zu einem Gerät möglich - egal, welche technische Plattform diesem zugrunde liegt. "Heutige Smartcard-Chips, wie sie beispielsweise in SIM-Karten für Handys oder Pay-TV-Karten zum Einsatz kommen, sind gut gehärtet und nahezu fälschungssicher - lediglich den Transfer in den Anlagenbau haben sie noch nicht geschafft", weiß auch Filipovic.
Um den Sicherheitsfaktor noch einmal zu erhöhen, gehen Hersteller wie Wibu Systems zudem zum "Frontalangriff" über: Bei regelmäßigen Hacker-Wettbewerben sollen technisch versierte Anwender versuchen, die neuen Sicherheitssysteme zu umgehen. Bisher hat es noch nie einen vollständig erfolgreichen Versuch gegeben, obwohl das Karlsruher Unternehmen diese Veranstaltung bereits seit vielen Jahren ausrichtet. Auch Adobe lädt regelmäßig Hacker dazu ein, seine Softwareprodukte zu knacken. "Wir passen unsere Architekturen nach der Analyse neuer Angriffsvektoren sofort an", so Ulrich Isermeyer.
Bausteine der Sicherheit
Sicherheitsberater Sams schwört auf ein anderes Modell: den "Secure Software Development Lifecycle" (Secure SDLC), dessen Umsetzung im Entwicklerunternehmen schon einmal bis zu zwei Jahre in Anspruch nehmen könne. "Je nach Unternehmensgröße bekommen Sie es dazu später mit fünf bis acht Prozent Mehrkosten während der Entwicklungsphase zu tun, die Sie aber nach Fertigstellung eines Produkts durch die geringeren Aufwendungen für Patches und Updates wieder hereinholen", rechnet er vor.
Die Prozesssammlung "Secure SDLC" sei nach dem Prinzip "Strenge Qualitätsanforderungen hinsichtlich der IT-Sicherheit bringen auch eine Qualitätsverbesserung" ausgerichtet: Die langwierige und komplexe Einführung dieses Frameworks würden sich meist jedoch nur größere Unternehmen leisten, so Sams. Wie sich das modular aufgebaute Modell, das die Arbeitsabläufe eines Unternehmens unter dem Aspekt IT-Security überarbeiten helfen soll, individuell anwenden lässt, hängt vom Unternehmen und seinen Produkten ab.
Maskierter Binärcode
Foto: Fraunhofer AISEC
Safenet hat ein ähnliches Framework bereits im Einsatz und bezeichnet seine Sammlung sicherer Entwicklungsprozesse als "Information Lifecycle Protection". "Mit verschiedenen Techniken lässt sich ein Programmcode vor De-Assemblierung schützen, sodass er nur bei seiner Ausführung entschlüsselt wird", erklärt Sales Engineer Stefan Haupt. Wie diese Methode genau funktioniert, erläutert Bartol Filipovic: "Frei verfügbare Hackertools können Binärcode automatisiert nach bestimmten Signaturen durchsuchen, anhand derer sich kryptographische Algorithmen erkennen und dechiffrieren lassen. Die Frage ist also, wie sich dieses Scannen verhindern lässt." Die Antwort schiebt er direkt nach: Indem der Binärcode über mehrere verschiedene Objekte hinweg versteckt und erst bei seiner Ausführung entschlüsselt werde, sei er im Regelfall für einen Angreifer nicht aufzufinden. Das "Obfuskierung" genannte Verfahren bringe jedoch meist nur einen Zeitvorteil gegenüber möglichen Angreifern und keine dauerhafte Sicherheit, solange eine Software ohne zusätzlich benötigtes Hardware-Token eingesetzt werde. "Da die von uns entwickelten Sicherheitsverfahren aber nicht kommerziell vertrieben werden und auf einzelne Industrieanwender zugeschnitten sind, lohnt sich der Hackaufwand meist nicht", berichtet Filipovic.
Fazit: Sicher und teuer oder bequem
Interessant werden IT-Systeme für Angreifer schließlich erst dann, wenn sie weit verbreitet sind oder solche wertvollen Informationen beherbergen, die gezielte Einzelattacken rechtfertigen. Das Spannungsfeld "Produktsicherheit vs. Benutzerfreundlichkeit vs. Anschaffungskosten" wird Sicherheits-Industrie, Anwenderunternehmen, Forschung und Privatkonsumenten gleichermaßen in den kommenden Jahren mehr und mehr begleiten. Wer ein wirklich sicheres System entwickelt, das die Usability nicht vernachlässigt und gleichzeitig noch zu einem moderaten Preis angeboten werden kann, wird sich deshalb wohl vor Kunden kaum retten können. Das Rennen ist eröffnet… (sh)
Quelle Teaserbild Homepage: Fotolia, NiDerLander