Um die Malware-Risiken einzudämmen, empfiehlt der Experte, mehr Geld in Reviews von Codes und Testing-Ergebnissen zu stecken, die Etablierung von Industrie-Standards - etwa ISO 15408 - weiter voranzutreiben und Scan-Tools einzusetzen. "Allerdings sind die auch nicht in der Lage, alles aufzuspüren, was in der Software versteckt", räumte Lucky ein. Grundsätzlich sei es fast unmöglich, sämtliche Risiken auszuschließen. Mit verschärften Kontrollen und Testing-Maßnahmen ließe sich aber zumindest ein bestimmter Prozentsatz an Problemen ausschließen.

Ira Winkler, Autorin des Fachbuchs "Spies Among Us" und ehemalige Analystin der nationalen Sicherheitsbehörde, plädiert dagegen dafür, den Anteil der offshore programmierten Software von vorneherein zu reduzieren. "Jede Zeile, die Übersee geschrieben wird, ist eine Zeile zuviel", so die Expertin. Da die US-Regierung normalerweise Bundles kaufe, die aus Hardware, einem Betriebssystem, einer Datenbank und anderen Komponenten bestünden, bestehe ein hohes Risiko, sich Malware einzufangen: "Trojaner können überall in der Umgebung versteckt sein, nicht nur im Code", warnte Winkler.

Allerdings ist die Lösung, Code nur in den USA einzukaufen, nicht mehr so einfach wie früher. Im Zuge der Globalisierung unterhalten mittlerweile die meisten US-Softwareanbieter Niederlassungen und Entwicklungszentren in Übersee. Hinzu kommt, dass manche Anwendungen auf integrierten Komponenten-Sets basieren, die wiederum in verschiedenen Ländern entwickelt werden. "Fast jedes Softwareprodukt enthält heute mindestens ein Stück, das irgendwo auf der Welt programmiert wurde", beschreibt Phillip Bond, President der Information Technology Association of America, das Problem.

Dass künftig alle Anwendungen für das Pentagon aus den USA stammen müssen, wird aber ohnehin nicht in dem DSB-Bericht stehen, beruhigte Lucky die Industrie. Es bleibt abzuwarten, welche konkreten Maßnahmen das Papier stattdessen empfiehlt. (sp)