Alternative zu gängigen Sicherheitsstrategien

Geheimhaltung ist in aller Regel der Kerngedanke traditioneller Sicherheitskonzepte. An sich ist gegen dieses Prinzip auch in der Softwareentwicklung und in der Integration von Businesslösungen wenig einzuwenden. Die hieraus abgeleitete und leider oft gehörte Meinung, dass Open-Source-Software (OSS) demnach für IT-Lösungen mit hohem Sicherheitsanspruch nicht geeignet sei, greift jedoch deutlich zu kurz - nein, sie ist schlicht falsch!
Wie soll ich herausfinden, ob mein gewähltes Verfahren keine Sicherheitsmängel aufweist? Ein viel versprechender Ansatz ist hier, die Wahrscheinlichkeit möglicher Schwachstellen so niedrig wie möglich zu halten. Eine exzellente Strategie hierfür ist, die betroffene Software von so vielen Experten wie möglich untersuchen zu lassen. Genau dies kann das Open-Source-Modell leisten: Wie bei Peer Reviews in der Wissenschaft werden Verfahren und Implementation einer Lösung von Spezialisten auf dem Gebiet - eben Peers - eingehend untersucht. Ganz im Sinne des Vier-Augen-Prinzips können damit Schwachstellen und Fehler eher entdeckt werden.
Dabei kompromitiert die Veröffentlichung beispielsweise eines Verschlüsselungsverfahrens in keiner Art und Weise dessen Zuverlässigkeit. Es sind die Schlüssel, die es zu schützen gilt - ohne diese kann die verschlüsselte Datei nicht geknackt werden. In der Umkehrung ist diese Aussage noch stärker: wenn ein Verfahren nur solange sicher ist, wie es nicht öffentlich bekannt ist, ist Skepsis dem Verfahren gegenüber

Denn nicht nur das Konzept selbst muss auf Sicherheitsaspekte hin geprüft werden - auch die konkrete Implementation muss angeschaut werden, da das theoretisch sichere Verfahren nur eine notwendige, aber nicht eine hinreichende Bedingung für sichere Software ist. In der Geschichte gibt es viele Beispiele - nicht zuletzt im Bereich der drahtlosen Kommunikation -, bei denen Probleme in der Umsetzung für Angriffsmöglichkeiten gesorgt haben. Sei es, weil die Schlüssellänge nicht vollständig ausgenutzt wurde, weil temporäre Dateien mit wichtigen Daten nach Gebrauch nicht wieder gelöscht wurden, oder weil die Memory-Verwaltung nicht vorsichtig genug geprüft wurde (Stichwort: Buffer Overflow).
Das bedeutet, dass auch jede neue Version eines Produktes wieder ausführlich analysiert werden muss, um sicher zu gehen, dass sich mit den Veränderungen oder Erweiterungen nicht neue Fehler eingeschlichen haben. Auch hier leistet das Peer-Review-Modell, wie es in der Open-Source-Gemeinschaft gelebt wird, gute Dienste.

Aber auch als sicher eingestufte Software alleine garantiert noch nicht die Sicherheit eines Systems - schon gar nicht auf Dauer. Security-Management ist geprägt vom andauernden Wettrüsten: Einerseits suchen Angreifer ständig nach Schwachstellen und versuchen diese auszunutzen. Die Angegriffenen ihrerseits reagieren und verstärken laufend ihr Sicherheitsdispositiv. Um die Sicherheit zu gewährleisten, müssen die Systeme also laufend gepflegt werden. Ein Beispiel dazu zeigt die Illustration.

Auf den ersten Blick könnte man ja meinen, dass die Durchfahrt durch diese Strasse mit der Barriere verhindert wird. Allerdings hat ein «Angreifer» bemerkt, dass das Sicherheitsdispositiv ohne weiteres zu umgehen ist. Ein nachhaltiges Sicherheitskonzept muss demzufolge stets auch die Definition von proaktiven Wartungs- und Überprüfungsprozessen umfassen. Erst die aktive Bewirtschaftung solcher Systeme (Managed Security) garantiert deren Sicherheit. Auch hier ist Offenheit nützlich, wie sie in der OSS-Gemeinschaft gelebt wird. Im gemeinsamen Interesse, Software und Prozeduren laufend zu verbessern, diskutieren Fachleute mögliche Sicherheitslücken - nicht selten liegt der Beschreibung auch gleich ein Vorschlag zur Behebung des Problems bei.
Ist ein Problem einmal erkannt und eine Lösung publiziert, muss diese auch noch flächendeckend verteilt werden. Dabei ist ein Software-Management-System ein wesentlicher Pluspunkt, da damit der Ersatz der betroffenen Software mitsamt Abhängigkeiten und Konfiguration zu einem hohen Grad automatisiert werden kann. Ein gutes Beispiel das Advanced Packaging Tool (APT) von Debian, einer Linux-Distribution. Hier dient Open-Source-Software dazu, ein System von Open-Source-Software zu verwalten und damit die Sicherheit des Systems zu erhöhen.

Aber nicht nur die Verfahrenstechniken und Lösungen profitieren von der Zusammenarbeit in der OSS-Community. Auch die Ingenieure und Programmierer selbst profitieren vom Austausch in der Open-Source-Welt. Sie bleiben so nicht nur technisch auf dem Laufenden. Darüber hinaus werden in der Interaktion mit Fachleuten aus aller Welt auch die ganz persönlichen Fertigkeiten und Denkansätze im Zusammenhang mit Sicherheitsthemen in der Softwareentwicklung trainiert und weiterentwickelt. Denn eines ist trotz technologischen Fortschritts gewiss: Das grösste und oft unberechenbarste Sicherheitsrisiko ist der Mensch selbst - sei dies nun als Programmierer in der Implementation oder sei dies als Benutzer in der Anwendung eines Sicherheitsverfahrens.

Um Systeme sicher zu machen und sicher zu halten braucht es zuverlässige Werkzeuge - und Spezialisten. Beides wird durch Open-source gefördert: Werkzeuge und Verfahren werden im Peer-review auf Herz und Nieren geprüft und die Experten können ihr Wissen dank offenem Quellcode und guter Dokumentation laufend vertiefen.

Der Autor: Simone Hefti ist Managing Director, Netcetera AG, Zürich.