Schwerpunkt Sicherheit

Die Wurzel allen "Sicherheitsübels" liegt oft schon im Design und der Programmierung der Software. Die Entwickler dieser Programme sind aber auch nicht zu beneiden: Die Anforderungen an ihre Software steigen ständig, die Produkte müssen immer schneller fertig werden, während Firmen Probleme haben, zusätzliche Programmierer einzustellen. Professionelle Entwickler werden sich über Arbeitszeiten von zwölf und mehr Stunden am Tag nicht mehr wundern. Die Zeit drängt, Bugs verstehen es immer besser, sich vor ihrer Entdeckung zu schützen, es warten noch etliche Features auf ihre Implementierung. Und dann soll sich noch jemand um die Sicherheit kümmern? Keine Zeit. Zunächst muss das Produkt an sich stehen, um rechtzeitig auf den Markt zu kommen, um Sicherheit kann man sich später immer noch kümmern. Oder auch nicht - die Zeit wird immer knapp sein.

Verkauft sich Sicherheit?

Düstere Aussichten für sichere Software. Aber es gibt ja glücklicherweise noch die freien Projekte: Kein Product Manager, der eine irgendwie lauffähige Version am besten gestern schon hätte, sondern eher der Anspruch, das perfekte Programm zu schreiben. Und dennoch finden sich auch hier laufend Sicherheitslücken.

Obwohl diese Darstellung vieles vereinfacht: Beide Gruppen haben im Grunde das gleiche Problem. Es gibt zu wenig Programmierer, die sich mit Sicherheit auseinandersetzen. Und das Problem setzt sich über die Administratoren bis zum Endanwender fort. Dabei ist es gar nicht schwierig, die gröbsten Fehler zu vermeiden.

Gerade weil sich in so vielen Programmen und Diensten Sicherheitslücken verbergen, konnten sich Produkte etablieren, die Sicherheit quasi nachrüsten. Die wichtigste Kategorie sind Firewalls, die den Zugriff auf ganze Netze filtern und kontrollieren. Sie machen ein System zwar auch nicht sicherer, aber wenn der Zugang nicht oder nur von vertrauenswürdiger Seite aus möglich ist, wirken sich die Schwachstellen immerhin nicht negativ aus.

Jeder Dienst, den die Firewall zulässt, stellt einen möglichen Angriffspunkt dar. Einige Dienste werden aber immer zugänglich sein, etwa die unverzichtbare E-Mail. Leider haben sich gerade Mails in letzter Zeit zum Hauptverbreitungsmedium für Viren und Würmer entwickelt. Linux hilft auch hier mit einem Virenscanner, der in den Mailserver integriert ist.

Was darf Root?

Aber auch Linux ist noch nicht perfekt. Sobald ein Angreifer in den Rechner eindringt und Root-Rechte erlangt, kann er mit dem System machen was er will. Spezielle Kernel-Erweiterungen können die Allmacht von Root einschränken und damit die Folgen eines erfolgreichen Angriffs wesentlich abschwächen.

Im Normalfall wird hinter Root aber der legitime Systemverwalter stehen. Für ihn stellt sich nicht nur die Frage, was er kann, sondern vor allem, was er überhaupt darf. Der Datenschutz soll verhindern, dass ein Admin seine User auf "Klick und Tipp" überwacht. Die Grenze zu den notwendigen und legalen Kontrollen und Überwachungen zu ziehen fällt dabei nicht immer leicht.

Bei allen Maßnahmen steht der Mensch immer im Mittelpunkt: Es sind seine Daten, die es zu schützen gilt, er ist es aber auch, der als Angreifer auftritt. Schon durch Unwissenheit oder Fahrlässigkeit kann er den wirksamen Schutz verhindern.