Welches Level von Sicherheit kann man erwarten? Marc Ruef | 17.10.2011 Ohne jetzt unabsichtlich altklug wirken zu wollen, jedoch die Zeiten ändern sich. Im Bereich der Computersicherheit wage ich zu behaupten, dass in Zyklen von 5 Jahren mit neuen Technologien und anderer Wahrnehmung dieser gearbeitet wird. Zu Meilensteinen gehören bisweilen die Diskussion des Pufferüberlauf (1996) (http://www.phrack.org/issues.html?issue=49&id=14#article), der Durchbruch von Google (http://www.google.com/about/corporate/company/history.html) und breitflächige Wahrnehmung von Virtualisierung im professionellen Umfeld (2000), Durchsetzung von Voice-over-IP (2004) (http://www.computec.ch/comment.php?comment.news.116), explosionsartiger Wachstum von Social Media (http://www.scip.ch/?labs.20100423) und Cloud Computing (2009) (http://www.scip.ch/?labs.20091127). Rückblickend erscheinen viele Trends und Hypes als offensichtlich, ja manchmal gar zwingend erforderlich. Doch wie sagt man so schön: Im Nachhinein ist man immer klüger. Dieser Satz ist kürzlich in einem technischen Gespräch zu den Resultaten eines von mir geleiteten Penetration Tests (http://www.scip.ch/?dienstleistungen.penetrationtest) gefallen. Die Besprechung fokussierte sich auf die Problematik gefundener Cross Site Scripting-Schwachstellen, die eine ernstzunehmende Gefahr für die sicherheitskritische Applikation darstellen sollte. Der Projektleiter auf der Kundenseite sagte, dass er am liebsten schon im Jahr 2006, als die Entwicklung der Applikation begonnen hat, mit der Thematik vertraut gewesen wäre - Aber auch damals wäre ihm das Verständnis für die Risiken zu weit in der Zukunft gelegen. Obschon ich sehr gut nachvollziehen kann, warum eine Person mit wenig technischem Hintergrund zu einer solchen Aussage neigt, kann und will ich sie nicht gutheissen. Cross Site Scripting ist beim besten Willen kein neues Problem. Zur Jahrtausendwende wurde es langsam breitflächig als Sicherheitsrisiko wahrgenommen und hat mit stetiger Steigung im Jahr 2006 den Höhepunkt seiner Popularität (http://osvdb.org/osvdb/show_graph/2) erreicht. Ich hingegen habe aber schon im Jahr 1997 diese Angriffstechnik, also noch Jahre bevor sie überhaupt einen allgemein gültigen Namen erhalten sollte, zu meinem Vorteil ausgenutzt. Und das ist mittlerweile schon über 15 Jahre her! Ist es deshalb nicht mittlerweile sehr dreist, diesen Angriffsvektor bei der Entwicklung und dem Betrieb einer Lösung zu vernachlässigen - Und stattdessen zu behaupten, dass es sich um eine exotische oder neuartige Möglichkeit handelt, die man deshalb vernachlässigen musste? Solche Aussagen hören wir nämlich immerwieder und ich muss gestehen, dass meine Reaktion stets von Irritation bis Aggression reichen. Denn oftmals spielen die schuldigen Personen den Vorteil aus, dass ihre Kunden weniger über technische Hintergründe wissen und deshalb in diesem Punkt nachsichtig sind. Das empfinde ich gleich als doppelte Dreistigkeit. Für mich ist es offensichtlich, dass man von einer modernen Lösung, die im professionellen Rahmen für viel Geld entwickelt wurde, ein Mindestmass an Sicherheit erwarten kann. Dazu gehört eine durchdachte und zentralisierte Eingabeüberprüfung, die einen Grossteil bekannter Angriffstechniken abzuwehren in der Lage ist. Und der Einsatz bewährter Mechanismen - wie zum Beispiel Authentisierung- und Verschlüsselungs-Methoden -, die zur betrieblichen Absicherung während der Nutzung beitragen. Werden solche Mindeststandards nicht eingehalten, fällt die Lösung meines Erachtens durch die grundlegende Qualitätsprüfung durch. Leider müssen wir auch heute noch viel zu vielen Produkten ein "ungenügend" oder "mangelhaft" ausstellen.