Und nun: Sicher zum Schluss! Marc Ruef | 30.06.2008 Das Thema Sicherheit ist in aller Munde. Sei es nun im Zusammenhang mit wirtschaftlichen Interesse, den politischen Entwicklungen oder E-Commerce. Ganz besonders in der Schweiz geniesst die Sicherheit auf allen Ebenen einen hohen Stellenwert. Die Schweiz ist ein kleines Land, das sich ihre politische Stärke durch geschickte Schachzüge erarbeitet hat. Dabei wird seit jeher auf Langfristigkeit gesetzt, denn die Generation danach soll sich nicht mit einem unüberwindbaren Scherbenhaufen konfrontiert sehen. Eine weitsichtige Denkweise, die auch so manch anderem Staat gut täte. Der Begriff "Sicherheit" wurde schon oft versucht in Worte zusammenzufassen. Man könnte behaupten, dass durch gegebene Sicherheit eine Abwesenheit von Bedrohungen und Risiken gewährleistet werden kann. Die Sache ist damit durch die Absenz einer anderen definiert. Sicherheit ist damit eine Denkweise, die sich auf allen Ebenen gewährleistet sehen muss. Fehlt an einer Stelle diese, kann sich ein unliebsames Risiko durch eine dargebotene Bedrohung auftun. Obschon die Schweiz aufgrund ihres starken Finanzmarktes und des manchmal doch eher defensiven Umsetzen von Entscheidungen (z.B. EWR-/EU-Beitritt und Schengenabkommen), bleibt das wahre Verständnis für Sicherheit den Spezialisten vorbehalten. Das wahre Verständnis dafür, dass sich Sicherheit keine Nachlässigkeiten erlauben kann. Das wahre Verständnis, das sich sicher durch eine durchgängige und in sich geschlossene Herangehensweise definiert. Der wirtschaftliche Leistungsdruck führt dazu, dass sich Unternehmen einem sehr schnellen Wandel unterworfen sehen. Was der Markt heute will, kann morgen schon passé sein. Es gilt, vor allem im Rahmen von E-Business, die Zeichen der Zeit zu erkennen und noch vor den anderen eine umfassende Lösung präsentieren zu können. Dies führt dazu, dass sich in der Hitze des Gefechts Lösungen umsetzen, die bei näherer Betrachtung - vor allem in langfristiger Hinsicht - als suboptimal erweisen. Sicherheit ist eine unliebsame Sache, sofern man sich selber um sie kümmern muss. Und gerade der gegebene Zeitdruck führt dazu, dass in vielen Projekten das Thema Sicherheit gar nicht oder nur am Rande besprochen wird. Ein solides Konzept, dem die technischen Ausführungen Folge leisten, ist nur selten gegeben. Sieht es das Budget oder die Weisungen des Managements vor, dass im Rahmen einer Realisierung dennoch ein kleiner Batzen für Sicherheit eingesetzt wird, kommt diese meistens erst ganz zum Schluss. Sicherheitsüberprüfungen stehen damit dann an, wenn die Realisierung fast abgeschlossen ist. Eine Analyse der Gegebenheiten muss sodann an einem Produkt vorgenommen werden, das weder durchdacht noch fertig umgesetzt ist. Eine denkbar undankbare Aufgabe, in der Tat! Gerade weil sich in den letzten 10 % der Realisation die finalen Feinarbeiten einstellen, kann eine Einbringung dieser zu einer Verfälschung der Test-Resultate führen. Wird bei einer Projektrealisation von 90 % noch SSH mit Benutzername/Passwort eingesetzt, kann dieser Dienst bei einer Umsetzung von 100 % schon deaktiviert worden sein. Das Ausweisen der im Zusammenhang mit SSH gegebenen Risiken ist unsinnig, ist die Bedrohung unter Umständen bei der Abgabe des Berichts schon wieder überwunden. Ein weiteres Problem ist, dass das für die abschliessenden Tests gegebene Zeitfenster nur für rudimentäre Überprüfungen reicht. Automatisiertes Vulnerability Scanning ist noch möglich - Ein exzessives manuelles Penetration Testing, das vor allem bei Individual-Lösungen angebracht ist, ist halt einfach nicht mehr machbar. Eine oberflächige Sicherheitsüberprüfung, die dann doch eher einer Alibi-Aktion gleicht - man muss ja schliesslich nur irgendwie die schwammig definierten Unternehmensrichtlinien einhalten - sind die Folge. Dies führt zudem zur Problematik, dass gefundene Schwachstellen unter Umständen gar nicht behoben werden können. Da die Schwachstellenanalyse zum Schluss stattfindet, können besonders schwerwiegende Probleme, die auf eine schlechte Konzeption zurückzuführen sind, nicht richtig adressiert werden. Die Zeit für die Korrektur des Konzepts und der Nachbearbeitung der technischen Umsetzung ist nicht gegeben und würde zudem das vorhandene Budget (es ist sowieso meistens schon überzogen) noch mehr belasten. Auch wenn es sich also "nur" um technische Mängel handelt, die offengelegt werden können, sind diese oftmals vor dem "Going Live" nicht mehr behebbar. Die Zeit drängt und sich nun mit den verschiedenen Versionen und Inkompatibelitäten von Webserver und Webapplikation auseinanderzusetzen, erscheint dann plötzlich nicht mehr angebracht. Fehler, die als existent ausgewiesen werden, werden vorerst in der produktiven Umgebung in Kauf genommen. Vielleicht, wenn man dann mal Zeit hat, wird man sich diesen zu einem späteren Zeitpunkt annehmen. Doch dann, so beweist es die Geschichte immerwieder, ist schon längst ein anderes Schlachtfeld für sich erschlossen...