INTERNET
13.10.2005, 19:58 Uhr
«IT-Sicherheit gibt es nicht fertig zu kaufen»
IT-Professor Ed Lazowska warnt, dass die mangelhafte Security im Cybernet durch die unzureichenden Basistechniken und Protokolle des Internets zementiert sei. Einen Ausweg biete nur ein grundlegend revidiertes Systemdesign.
Ed Lazowska
Lazowska ist Professor für Computer Science und Engineering an der Universität Washington. Seine Spezialgebiete sind Design, Implementierung und Analyse von Hochleistungsrechen- und -kommmunikationssystemen. Im Mai 2003 ernannte ihn US-Präsident George W. Bush zum Co-Chairman der Organisation Pitac (President"s Information Technology Advisory Committee). Aufgabe des Komitees, in dem sowohl Forscher sowie kommerzielle IT-Anbieter einsitzen, ist es, die US-Regierung hinsichtlich künftiger relevanter IT-Forschung und -Entwicklung zu beraten. Unter Lazowskas Ägide setzte sich die Pitac drei Schwerpunkte: IT im Gesundheitswesen, die Zukunft der Computerwissenschaft und Security im Cyberspace. Aus letzterem resultierte der Bericht «Cyber Security - A Crisis of Prioritization».
«Der Titel ist symptomatisch für unsere Untersuchungen», sagt Lazowska. «Es gibt tatsächlich eine Krise - aus zwei Gründen: Weil die CIO versäumt haben, Prioritäten zu setzen, und weil die Regierung geschlafen hat.» Lazowska nimmt kein Blatt vor den Mund: «Unsere Regierung gesteht Wissenschaften, Ingenieurtechniken, akademischer Ausbildung und Forschung den ihr gebührenden Wert nicht zu. Und das, obwohl sie die Voraussetzung sind dafür, dass es dem Land in Zukunft gut geht.» Die Folge davon: Die Unternehmensanwender und insbesondere deren CIO können die Produkte, die sie bräuchten, um ihre IT abzusichern, nicht kaufen, weil es sie gar nicht gibt. Aber auch die Unternehmen nimmt er in die Pflicht: Sie sollten sich mehr um Cybersecurity kümmern und auch bereit sein, für technisch hochstehende Produkte entsprechend zu bezahlen.
Unsere Schwesterzeitung CIO unterhielt sich mit Ed Lazowska.
CIO:
Sie sagen, dass die IT-Infrastruktur äusserst verletztlich sei. Wo sind die gefährlichsten Schwachstellen?
Sie sagen, dass die IT-Infrastruktur äusserst verletztlich sei. Wo sind die gefährlichsten Schwachstellen?
Ed Lazowska:
Über einige berichten die Zeitungen Tag für Tag: Phishing-Angriffe, Pharming, Denial of Service, Offenlegung von Kreditkartendaten im grossen Stil. Sogar Phishing, das eigentlich ein einfach zu vermeidendes Problem - es geht ja nur um Leichtgläubigkeit - sein müsste, hat seine Ursachen im grundlegenden Design der Protokolle, die wir heute verwenden. Diese machen es unmöglich, die Quelle einer Netzwerkkommunikation mit Sicherheit zu eruieren. Weiter denken die Öffentlichkeit und auch die meisten CIO gar nicht. Doch die IT-Infrastruktur der USA ist das Herzstück aller übrigen Infrastrukturen, zum Beispiel Stromversorgung, Überwachung des Flugverkehrs, Finanzsysteme. Wenn jemand das Stromnetz verletzen wollte - selbst wenn er nur die physischen Komponenten des Netzwerks im Auge hätte -, wäre eine Cyber-attacke die wirkungsvollste Methode dafür. Bedenken sollte man auch, dass die Hard- und Software des Militärs ganz überwiegend von kommerziellen Anbietern stammt. Pitac hat erfahren, dass 85 Prozent der Computerausrüstung, die im Irak eingesetzt wird, konventionelle IT-Produkte sind. Damit ist das Militär genauso anfällig für Cyberattacken wie der private Sektor.
Über einige berichten die Zeitungen Tag für Tag: Phishing-Angriffe, Pharming, Denial of Service, Offenlegung von Kreditkartendaten im grossen Stil. Sogar Phishing, das eigentlich ein einfach zu vermeidendes Problem - es geht ja nur um Leichtgläubigkeit - sein müsste, hat seine Ursachen im grundlegenden Design der Protokolle, die wir heute verwenden. Diese machen es unmöglich, die Quelle einer Netzwerkkommunikation mit Sicherheit zu eruieren. Weiter denken die Öffentlichkeit und auch die meisten CIO gar nicht. Doch die IT-Infrastruktur der USA ist das Herzstück aller übrigen Infrastrukturen, zum Beispiel Stromversorgung, Überwachung des Flugverkehrs, Finanzsysteme. Wenn jemand das Stromnetz verletzen wollte - selbst wenn er nur die physischen Komponenten des Netzwerks im Auge hätte -, wäre eine Cyber-attacke die wirkungsvollste Methode dafür. Bedenken sollte man auch, dass die Hard- und Software des Militärs ganz überwiegend von kommerziellen Anbietern stammt. Pitac hat erfahren, dass 85 Prozent der Computerausrüstung, die im Irak eingesetzt wird, konventionelle IT-Produkte sind. Damit ist das Militär genauso anfällig für Cyberattacken wie der private Sektor.
CIO:
Einiges deutet darauf hin, dass die CIO daran mitschuld sind. Etwa, weil beim Softwaredesign Sicherheitsüberlegungen nicht beachtet werden. Sind CIO also Opfer oder Teil des Problems?
Einiges deutet darauf hin, dass die CIO daran mitschuld sind. Etwa, weil beim Softwaredesign Sicherheitsüberlegungen nicht beachtet werden. Sind CIO also Opfer oder Teil des Problems?
Ed Lazowska:
Sowohl als auch. CIO sind teilweise daran schuld, dass heutige Betriebssysteme so unsicher sind. Schlicht deshalb, weil sie die Metakeln übersehen und es versäumt haben, Security mit Priorität zu behandeln. Kommerzielle Hersteller bieten das an, was der Käufer will. CIO sind sogar wesentlich schuld daran, wenn ihre Betriebe in Sachen Security nicht auf dem aktuellsten Stand ausgerüstet sind. Aber selbst wenn sie erkennen, dass sie sicherheitstechnisch nachrüsten müssen, können sie nicht einfach hingehen und Security einkaufen. Oft fehlt es an passender Technik, kaum eine IT-Anbieterin plant länger als ein oder zwei Produktzyklen voraus. In der IT sind Ideen immer wieder aus Forschungsprogrammen entstanden, die von der öffentlichen Hand gefördert wurden. Denken Sie nur an E-Commerce: Dazu braucht man das Internet, Webbrowser, Verschlüsselung für sichere Kreditkartentransaktionen und eine hochleistungsfähige Datenbank für die -Backend-Systeme. Die Konzepte hinter all diesen Elementen stammen aus F&E--Anstrengungen, die der Staat finanziert hatte. Langfristige F&E ist und bleibt also Sache der Regierung. Aber die Bush-Regierung kürzt die Budgets hierfür stetig, obwohl sie öffentlich das Gegenteil behauptet. Die Programme, die noch finanziert werden, sind ausserdem mehr und mehr Entwicklungsprojekte, nicht jedoch langfristige Grund-lagenforschung. Das ist riskant. Dafür können die CIO nichts.
Sowohl als auch. CIO sind teilweise daran schuld, dass heutige Betriebssysteme so unsicher sind. Schlicht deshalb, weil sie die Metakeln übersehen und es versäumt haben, Security mit Priorität zu behandeln. Kommerzielle Hersteller bieten das an, was der Käufer will. CIO sind sogar wesentlich schuld daran, wenn ihre Betriebe in Sachen Security nicht auf dem aktuellsten Stand ausgerüstet sind. Aber selbst wenn sie erkennen, dass sie sicherheitstechnisch nachrüsten müssen, können sie nicht einfach hingehen und Security einkaufen. Oft fehlt es an passender Technik, kaum eine IT-Anbieterin plant länger als ein oder zwei Produktzyklen voraus. In der IT sind Ideen immer wieder aus Forschungsprogrammen entstanden, die von der öffentlichen Hand gefördert wurden. Denken Sie nur an E-Commerce: Dazu braucht man das Internet, Webbrowser, Verschlüsselung für sichere Kreditkartentransaktionen und eine hochleistungsfähige Datenbank für die -Backend-Systeme. Die Konzepte hinter all diesen Elementen stammen aus F&E--Anstrengungen, die der Staat finanziert hatte. Langfristige F&E ist und bleibt also Sache der Regierung. Aber die Bush-Regierung kürzt die Budgets hierfür stetig, obwohl sie öffentlich das Gegenteil behauptet. Die Programme, die noch finanziert werden, sind ausserdem mehr und mehr Entwicklungsprojekte, nicht jedoch langfristige Grund-lagenforschung. Das ist riskant. Dafür können die CIO nichts.
CIO:
In welchen Themenbereichen sollte Ihrer Ansicht nach mehr geforscht werden?
In welchen Themenbereichen sollte Ihrer Ansicht nach mehr geforscht werden?
Ed Lazowska:
Cybersecurity soll heute das gesamte Spektrum abdecken. Es gibt kaum einen Unterschied mehr zwischen «intern» und «extern». Das soll kein Argument gegen Firewalls, Intrusion-Detection-Systeme und ähnliches sein. Vielmehr ist es ein wichtiges Argument dagegen, sich vollumfänglich auf sie zu verlassen. In der Cybersecurity operieren wir heute sozusagen mit Heftpflaster, und wir entwickeln die nächste Generation Heftpflaster, anstatt in Forschungsprogramme zu investieren, die grundlegende neue Systemarchitekturen erarbeiten würden, die sowohl heutige als auch künftige Risiken an der Wurzel packen könnten. Wir müssen statische und dynamische Analysetools entwickeln, um Schwachstellen aufzuspüren. Wir brauchen Techniken, um vertrauenswürdige Softwaresysteme, bestehend aus vielen Komponenten, zu einer Einheit zusammenzufügen.
Ausserdem ist das Design von Schnittstellen ein ganz wichtiger Punkt, der viel zu oft vernachlässigt wird. Da finden Sie erbärmlich schlechtes Softwaredesign und ebenso erbärmliche Benutzerschnittstel-
len - und das beispielsweise bei Routern, die das Internet für das ganze Land steuern, aber auch bei simplen Dialogfenstern Ihres Webbrowsers.
Cybersecurity soll heute das gesamte Spektrum abdecken. Es gibt kaum einen Unterschied mehr zwischen «intern» und «extern». Das soll kein Argument gegen Firewalls, Intrusion-Detection-Systeme und ähnliches sein. Vielmehr ist es ein wichtiges Argument dagegen, sich vollumfänglich auf sie zu verlassen. In der Cybersecurity operieren wir heute sozusagen mit Heftpflaster, und wir entwickeln die nächste Generation Heftpflaster, anstatt in Forschungsprogramme zu investieren, die grundlegende neue Systemarchitekturen erarbeiten würden, die sowohl heutige als auch künftige Risiken an der Wurzel packen könnten. Wir müssen statische und dynamische Analysetools entwickeln, um Schwachstellen aufzuspüren. Wir brauchen Techniken, um vertrauenswürdige Softwaresysteme, bestehend aus vielen Komponenten, zu einer Einheit zusammenzufügen.
Ausserdem ist das Design von Schnittstellen ein ganz wichtiger Punkt, der viel zu oft vernachlässigt wird. Da finden Sie erbärmlich schlechtes Softwaredesign und ebenso erbärmliche Benutzerschnittstel-
len - und das beispielsweise bei Routern, die das Internet für das ganze Land steuern, aber auch bei simplen Dialogfenstern Ihres Webbrowsers.
CIO:
Wie kommen Sie zu dieser Einschätzung?
Wie kommen Sie zu dieser Einschätzung?
Ed Lazowska:
Vor einigen Jahren haben Forscher aus Princeton und der Unviersität Washington die Enduser in einer Studie befragt, was sie wirklich verstehen von dem, was in den Dialogfenstern angezeigt wird.
Vor einigen Jahren haben Forscher aus Princeton und der Unviersität Washington die Enduser in einer Studie befragt, was sie wirklich verstehen von dem, was in den Dialogfenstern angezeigt wird.
Die Antwort hat kaum jemanden überrascht: Die User haben keinen blassen Schimmer, was ihnen vermittelt werden soll. Das ist keinesfalls die Schuld der Anwender! Klar ist auch, dass viele der Routing-Fehler im Internet genau aus diesem Grund passieren: Ein Mitarbeiter des ISP ändert die Konfiguration einiger Router - und schon ist ein Fehler eingebaut. Gleichzeitig hat sich gezeigt, dass die Konfigurationsschnittstelle vieler Internet-Router unglaublich primitiv ausgelegt und damit höchst fehleranfällig ist.
CIO:
Kann die Privatwirtschaft und insbesondere die CIO diesen Zustand beeinflussen?
Kann die Privatwirtschaft und insbesondere die CIO diesen Zustand beeinflussen?
Ed Lazowska:
CIO und CEO müssen darauf beharren, dass der Staat aktiv wird, denn die nationale Sicherheit hängt davon ab. Die CIO müssen Systeme installieren und betreiben, die in Sachen Cybersicherheit auf dem neuesten Stand sind. CIO müssen bei den IT-Anbietern darauf pochen, dass sie diese Systeme korrekt designen und implementieren, und sie müssen bereit sein, diese Leistung auch zu bezahlen. Viele Unternehmen haben inzwischen einen Chief Information Security Officer - ein wichtiger Schritt. Des weiteren gibt es den Trend, eine qualifizierte IT-Person als Mitglied im Vorstand aufzunehmen - so selbstverständlich, wie auch ein Finanzexperte im Vorstand ist. So etwas wird immer mehr zum Standard. Firmen, die nicht mitziehen, begeben sich offenen Auges in Gefahr.
CIO und CEO müssen darauf beharren, dass der Staat aktiv wird, denn die nationale Sicherheit hängt davon ab. Die CIO müssen Systeme installieren und betreiben, die in Sachen Cybersicherheit auf dem neuesten Stand sind. CIO müssen bei den IT-Anbietern darauf pochen, dass sie diese Systeme korrekt designen und implementieren, und sie müssen bereit sein, diese Leistung auch zu bezahlen. Viele Unternehmen haben inzwischen einen Chief Information Security Officer - ein wichtiger Schritt. Des weiteren gibt es den Trend, eine qualifizierte IT-Person als Mitglied im Vorstand aufzunehmen - so selbstverständlich, wie auch ein Finanzexperte im Vorstand ist. So etwas wird immer mehr zum Standard. Firmen, die nicht mitziehen, begeben sich offenen Auges in Gefahr.
Unsicherer Cyberspace
Das Internet ist an allem schuld
Laut Ed Lazowska ist an vielen der heutigen Probleme mit der Cybersecurity im Grund nur eines schuld: das Internet. Als das Netz der Netze vor über 35 Jahren begann, Datenpakete zu verschicken, war es kaum mehr als eine Spielwiese für Forscher. Seither hat es sich zum kommerziellen Instrument entwickelt, ohne das keiner mehr auskommt. Die Technik und dabei vor allem das Protokoll TCP/IP jedoch, auf dem das Internet basiert, sowie weitere Switching- und Routing-Protokolle wurden erdacht, als noch kein Mensch an die heutigen Nutzungsgebiete und damit zusammenhängenden Sicherheitsanforderungen dachte. «Wir erwarten vom Internet, Aufgaben zu bewältigen, für die es nicht konzipiert wurde», so Lazowska. «Dass ihm das trotzdem gelingt, ist bemerkenswert. Und es überrascht nicht, dass es für heutige IT-Umgebungen nicht optimal ist.»
Patches und Updates lösen das Problem nicht. «Viele der heute verwendeten Protokolle sind von sich aus nicht sicher. Sie können auch nicht sicherer gemacht werden, sondern müssen von Grund auf revidiert werden.» Dummerweise heisst die Konsequenz, dass das Internet durch etwas Neues abgelöst werden müsste - so, wie CIO alte Cobol-Systeme ersetzen müssen, weil sie schlicht überholt sind.
Tatsächlich wurde das gesamte Internet schon einmal ersetzt, und zwar in den früheren 1980er Jahren. An einem bestimmten Stichtag stiegen alle Teilnehmer auf TCP/IP um. Aber damals waren erst etwa tausend Computer ans Netz angeschlossen. Heute dagegen «wird das eine gewaltige, teure, weltweite Aufgabe», und doch müsse ein solches sichereres, verlässlicheres Internet geplant werden, glaubt Lazowska: «Denn der Preis dafür, es nicht zu tun, wäre noch viel höher.»
Patches und Updates lösen das Problem nicht. «Viele der heute verwendeten Protokolle sind von sich aus nicht sicher. Sie können auch nicht sicherer gemacht werden, sondern müssen von Grund auf revidiert werden.» Dummerweise heisst die Konsequenz, dass das Internet durch etwas Neues abgelöst werden müsste - so, wie CIO alte Cobol-Systeme ersetzen müssen, weil sie schlicht überholt sind.
Tatsächlich wurde das gesamte Internet schon einmal ersetzt, und zwar in den früheren 1980er Jahren. An einem bestimmten Stichtag stiegen alle Teilnehmer auf TCP/IP um. Aber damals waren erst etwa tausend Computer ans Netz angeschlossen. Heute dagegen «wird das eine gewaltige, teure, weltweite Aufgabe», und doch müsse ein solches sichereres, verlässlicheres Internet geplant werden, glaubt Lazowska: «Denn der Preis dafür, es nicht zu tun, wäre noch viel höher.»
