Der E-Mail-Dienst für PC-Profis, Ausgabe vom 21. September 2005

Die sechs dümmsten Ideen zur Computer-Sicherheit

Von Dr. Giesbert Damaschke, München

Liebe Leser,

wenn es um die Sicherheit von Computern geht, haben manche Leute mitunter einige seltsame Ideen. Das meint zumindest Marcus J. Ranum. Das ist nicht irgendwer, sondern ein ausgewiesener Experte für verschiedene Sicherheitsfragen, Programmierer einer Firewall und Autor des Buches "The Myth of Homeland Security". Für die Website "Certified Crypto" hat Ranum die seiner Meinung nach "sechs dümmsten Ideen zur Computer-Sicherheit" zusammengefasst, die ich Ihnen natürlich nicht vorenthalten will.

Dumme Idee: "Ja" als Standard

In jedem Programm und jedem Betriebssystem gibt es immer wieder Situationen, in denen Entscheidungen getroffen werden müssen. Sehr oft geht es dabei um Fragen wie "Darf die Applikation X auf den Bereich Y zugreifen". In solchen Fällen muss der Programmentwickler eine Antwort als Standard vorgeben – und häufig wählt er "Ja", weil dies in der Regel die einfachste Form ist, mit der der Anwender am wenigsten Probleme bekommt. Allerdings sind Computer-Gangster, Viren und Datendiebe die Ausnahme von der Regel – und die freuen sich sehr, wenn alle Abfragen standardmäßig auf "Ja" stehen. Denn das bedeutet zum Beispiel bei einer Firewall, dass jeder Eindringling ungehinderten Zugang hat, solange der Anwender es nicht ausdrücklich verbietet. Das ist ein enormes Sicherheitsloch. Um beim Beispiel der Firewall zu bleiben: Ein sicherer Computer ist im Ausgangszustand komplett nach außen abgeschottet. Erst nach genauer Analyse und Überlegung werden gezielt die Verbindungen geöffnet, die man wirklich benötigt. Nur so kann eine Firewall überhaupt vor Eindringlingen und Angreifern schützen.

Dumme Idee: Konzentration auf Lücken & Löcher

Jeder Hersteller von Anti-Virensoftware nennt stolz die Zahl der Viren und Würmer, gegen die seine Software schützen soll. Früher, so Ranum, sei das kein Problem gewesen, da gab es sehr viel mehr gute als böse Software. Damals konnte man sich auf die 10, 20 möglichen Angreifer konzentrieren und sie einzeln unschädlich machen. Doch die Zeiten haben sich geändert. Für jedes harmlose und nützliche Programm entstehen in kürzester Zeit ein paar hundert schädliche. Die Zahl der Schadensprogramme ist inzwischen so groß, dass viele Anwender wie das Kaninchen die Schlange auf die schiere Masse der der Malware starren, statt sich darum zu kümmern, sichere Software einzusetzen. Für Ranum ist die Konzentration auf mögliche Angreifer eine Variante des ersten Fehlers, nämlich eine Verschiebung der Perspektive. Man muss sich nicht mit den potentiell unendlich vielen Angreifern beschäftigen, sondern damit, wie sich die Handvoll guter Applikationen auf einem System verhält. Kommt es da zu keinem Fehlverhalten, ist alles in Ordnung, ganz gleich, wie viele Angreifer sich vor den Toren tummeln. Erst wenn eine Applikation außerhalb ihrer Parameter agiert, ist ein Problem vorhanden, das gelöst werden muss.

Dumme Idee: Eindringen und Abdichten

Bei manchen Programmierern und IT-Experten gilt es als gute Idee, das eigene System von außen anzugreifen, um so mögliche Lücken zu entdecken, die man abdichten muss. Im Grunde ist das auch eine gute Idee – aber in der Praxis gehört sie für Ranum zu den eher dümmeren Einfällen, die man haben kann. Für Ranum sind diese Verfahren eine Ressourcen- und Zeitverschwendung. Würden sie funktionieren, so Ranum, müsste dann der Internet Explorer nicht endlich einmal fehlerfrei funktionieren? Aus der Tatsache, dass immer neue Löcher gefunden werden, schließt Ranum, dass das Verfahren einfach nichts taugt. Auch hier sieht er eine fatale Verschiebung der Perspektive: Man konzentriert sich bei der Entwicklung auf mögliche Angreifer statt darauf, seine Software konzeptionell besser abzusichern.

Dumme Idee: Idealisierung der Hacker

Vor einigen Jahren warb IBM in ganzseitigen Anzeigen um Hacker. Da sah man zum Beispiel einen jungen Mann hinter Gittern mit Überschriften wie "Einige unserer besten Mitarbeiter sind noch nicht unsere Mitarbeiter". IBM forderte Hacker dazu auf, ihre Fähigkeiten nicht zu missbrauchen, sondern konstruktiv einzusetzen. Auch sonst hält sich hartnäckig das Gerücht, dass Hacker verkannte Computer-Genies sind, die man mit ein paar guten Angeboten auf die richtige Seite holen kann. Das ist für Ranum eine sehr dumme Idee, die verkennt, dass Hacking nichts mit Technik, sondern mit der Gesellschaft zu tun hat. Ein Hacker ist kein verkanntes Computer-Genie, sondern ein Mensch mit sozialen Problemen. Für einen IT-Verantwortlichen ist ein Hacker nicht cool, sondern einfach nur ein gefährlicher Halbstarker. Ein Hacker ist nicht wirklich ein guter Ingenieur oder Programmierer, sondern jemand, der sehr spezielles Wissen um ein paar sehr spezielle Sicherheitsprobleme hat, das mit einem Schlag nutzlos ist, sobald dieses spezielle Problem behoben wird.

Dumme Idee: Anwender unterrichten

Eine der Grundregeln der Computersicherheit: Jeder, der an einem Computer arbeitet, sollte wissen, was er da tut. Das ist zwar im Prinzip richtig – aber ist es auch richtig, die Anwender in Sachen Sicherheit zu unterrichten? Auch hier argumentiert Ranum mit der Erfahrung: Würde das funktionieren, dann hätten wir nicht immer wieder die nicht enden wollenden Viren- und Wurmwellen. Der richtige Weg zur Sicherheit besteht eher darin, den Anwendern eine Arbeitsumgebung zu geben, in denen sie sich auf ihre Arbeit konzentrieren können. Warum muss sich ein Anwender um die Updates und Patches seines Systems kümmern? Warum ist er überhaupt in der Lage, E-Mails mit Viren zu verschicken? Wie kann es sein, dass er eine Webseite aufruft und dadurch zum Sicherheitsproblem wird? Das sind die Fragen, um die sich ein IT-Verantwortlicher kümmern muss – und nicht darum, ob die Anwender genügend Sicherheits-Schulungen bekommen haben.

Dumme Idee: Aktion ist besser als nichts tun

Nichts wird von manchen Managern und IT-Verantwortlichen so sehr gefürchtet wie Stillstand. Denn schließlich bedeutet Stillstand Rückschritt und nur Fortschritt garantiert Wachstum und Erfolg. Falsch, sagt Ranum. Seiner Erfahrung nach sind die so genannten "early adopters" – also die Leute, die jede neue Technologie übernehmen und ausprobieren – selten die erfolgreichen Business-Gründer oder Manager. Statt angesichts eines möglichen Rückschritts in blinden Aktionismus zu verfallen, sollte man sich lieber vor Augen halten, dass weitreichende Entscheidungen gut überlegt sein wollen und es manchmal sehr viel einfacher ist, eine dumme Idee nicht zu befolgen, als eine schlaue Idee zu haben.

Und daran werde ich mich jetzt halten und für heute nichts mehr tun. Schließlich wohne ich in München, die Sonne scheint – und die Wiesn lockt. Prost auch.

Ihr

Dr. Giesbert Damaschke

Das Büro auf dem USB-Stick / Erste U3-Sticks angekündigt

USB-Sticks dienen bislang überwiegend als portables Speichermedium. Doch die Sticks können noch sehr viel mehr. Dann nämlich, wenn sie die U3-Spezifikationen einhalten. Die sehen vor, dass ein externes Speichermedium nicht nur als Datenablage fungieren kann, sondern eine komplette Büroumgebung mit allen benötigten Office- und Online-Applikationen abbildet. So ist es möglich, seine gesamte Arbeitsumgebung in der Tasche dabei zu haben, ohne einen Computer mit sich herumtragen zu müssen.

Stöpselt man den Stick an einen Computer an, so wird dieser Rechner automatisch zum gewohnten Bürorechner. Dabei wird natürlich auf die Datensicherheit geachtet. Der Zugriff auf den Stick ist mit einem Passwort geschützt und es werden keine Daten von dem Stick auf die Festplatte des jeweiligen Computers geschrieben. Zieht man den Stick ab, werden alle offenen Programme automatisch beendet und alle offenen Dateien geschlossen.

Bislang bestand dieses Konzept nur in der Theorie, doch das soll sich in Kürze ändern, haben doch führende Flash-Spezialisten wie Kingston, Scandisc, Verbatim und M-Systems erste U3-Sticks angekündigt. Damit ist zumindest der erste Schritt getan – denn nicht nur der Sticks, auch die Applikationen müssen den U3-Spezifikationen entsprechen. Bislang gibt es nur eine Handvoll Programme in einer U3-Version. Doch mit der Verfügbarkeit entsprechender Datenträger wird sich dies vermutlich ändern.

Ein U3-Stick kann wie ein normaler USB-Stick benutzt werden und wird auch preislich in der gleichen Region liegen.

Die offizielle U3-Site

Weltweit mehr als 2 Milliarden Handy-Nutzer

Mehr als zwei Milliarden Menschen (und damit rund ein Drittel der Weltbevölkerung) benutzten ein Handy. Dies ist das Ergebnis einer Studie von Wireless Intelligence. Noch vor 3 Jahren gab es weltweit nur eine Milliarden Handy-Benutzer. Allerdings sagt die Erhebung nichts über die aktive Nutzung aus. So wurden etwa auch sämtliche Prepaid-Verträge mitgezählt, die unter Umständen überhaupt nicht oder nur sehr selten benutzt werden. Während in einigen europäischen Ländern wie Italien oder Schweden die Marktsättigung bei über 100 Prozent liegt (also statistisch gesehen jeder Einwohner mehr als ein Handy besitzt), gibt es in Ländern wie China, Indien oder in Lateinamerika weiterhin starke Zuwachsraten.

Opera-Browser in Zukunft kostenlos

Bislang war der norwegische Hersteller Opera die einzige Firma, die für ihren Webbrowser Geld haben wollte und ihn nicht, wie Microsoft oder Mozilla, kostenlos bereit stellte. Zwar führte Opera nach einigem Zögern auch eine kostenlose Version ein, aber dabei musste der Anwender Werbeeinblendungen akzeptieren. Nun gab Opera bekannt, dass die Desktop-Version des Browsers in Zukunft auch in der der werbefreien Version kostenlos zu haben sein wird. Damit reagiert Opera auf den großen Erfolg von Firefox, der nicht nur dem Internet Explorer, sondern auch Opera Marktanteile abnimmt. Der Opera-Browser gilt als technisch ausgereift und als einer der besten Browser überhaupt.

Opera-Website mit Download-Möglichkeit des kostenlosen Browsers