Das zum US-amerikanischen Verteidigungsministerium gehörende Defense Science Board (DSB) will am 1. Januar 2007 einen Bericht veröffentlichen, der eine Reihe von Präventions- und Erkennungsmaßnahmen für im Ausland entwickelte Software fordert.
Wie leicht es für Programmierer ist, trojanische Pferde und andere Malware im Code zu verstecken, ist bekannt. Angesichts der zunehmenden Komplexität und Konnektivität der Systeme sowie der Globalisierung der Softwareindustrie hat sich der bösartige Code jedoch zu einer akuten Gefahr für das Verteidigungsministerium entwickelt, argumentiert das DSB. "Die Sache ist nicht zu unterschätzen", bestätigte Paul Strassmann, ein ehemaliger CIO des Pentagon. Die in der Software versteckte Malware sei in der Lage, eines Tages einen Denial-of-Service auszulösen und das gesamte System lahm zu legen.
Nach Ansicht von Robert Lucky, unabhängiger IT-Berater und Vorsitzender des DSB, ist der gesamte für das Verteidigungsministerium bestimmte Code gefährdet - von der Business-Software bis hin zu Anwendungen, die in der die Kriegsführung eingesetzt werden. "Das Problem ist die totale Vernetzung. Wenn der Feind erst einmal in unserem Netz drin ist, sind wir total verwundbar", so Lucky.
John Pescatore, Analyst bei Gartner, begrüßte die Diskussion. Die vom DSB geäußerten Sicherheitsbedenken seien ein wichtiges Signal für alle Organisationen, die Software kaufen. Er warnte aber, dass sich die Risiken durch bösartigen Code keineswegs nur auf Software beschränken, die in Offshore-Regionen programmiert wird. Nach Ansicht von DSB-Mann Lucky sind die die Sicherheitsrisiken bei in den USA entwickelten Produkten allerdings wesentlich geringer als bei Software aus Übersee. Das Ziel müsse sein, die Gefahren und die wirtschaftlichen Vorteile der offshore erbrachten Softwareentwicklung genau abzuwägen.
Um die Malware-Risiken einzudämmen, empfiehlt der Experte, mehr Geld in Reviews von Codes und Testing-Ergebnissen zu stecken, die Etablierung von Industrie-Standards - etwa ISO 15408 - weiter voranzutreiben und Scan-Tools einzusetzen. "Allerdings sind die auch nicht in der Lage, alles aufzuspüren, was in der Software versteckt", räumte Lucky ein. Grundsätzlich sei es fast unmöglich, sämtliche Risiken auszuschließen. Mit verschärften Kontrollen und Testing-Maßnahmen ließe sich aber zumindest ein bestimmter Prozentsatz an Problemen ausschließen.
Ira Winkler, Autorin des Fachbuchs "Spies Among Us" und ehemalige Analystin der nationalen Sicherheitsbehörde, plädiert dagegen dafür, den Anteil der offshore programmierten Software von vorneherein zu reduzieren. "Jede Zeile, die Übersee geschrieben wird, ist eine Zeile zuviel", so die Expertin. Da die US-Regierung normalerweise Bundles kaufe, die aus Hardware, einem Betriebssystem, einer Datenbank und anderen Komponenten bestünden, bestehe ein hohes Risiko, sich Malware einzufangen: "Trojaner können überall in der Umgebung versteckt sein, nicht nur im Code", warnte Winkler.
Allerdings ist die Lösung, Code nur in den USA einzukaufen, nicht mehr so einfach wie früher. Im Zuge der Globalisierung unterhalten mittlerweile die meisten US-Softwareanbieter Niederlassungen und Entwicklungszentren in Übersee. Hinzu kommt, dass manche Anwendungen auf integrierten Komponenten-Sets basieren, die wiederum in verschiedenen Ländern entwickelt werden. "Fast jedes Softwareprodukt enthält heute mindestens ein Stück, das irgendwo auf der Welt programmiert wurde", beschreibt Phillip Bond, President der Information Technology Association of America, das Problem.
Dass künftig alle Anwendungen für das Pentagon aus den USA stammen müssen, wird aber ohnehin nicht in dem DSB-Bericht stehen, beruhigte Lucky die Industrie. Es bleibt abzuwarten, welche konkreten Maßnahmen das Papier stattdessen empfiehlt. (sp)