Sicherheit auf dem PrüfstandKennwörter und Kreditkarten, Teil 3

Jesper M. Johansson

Inhalt

Überlasten von Aktualisierungstechnologien
Inkonsistente Nachrichten zur Sicherheit
Alles dreht sich um die Kontrollkästchen
Ein Ruf zu den Waffen

In den letzten beiden Ausgaben des TechNet Magazin wurde erörtert, wie Sicherheitsfachleute und die IT-Branche insgesamt die Benutzer verwirren und effektive Sicherheitsbemühungen behindern. In den ersten beiden Artikeln dieser Reihe ging es besonders um Dinge wie Lösungen, die den Heimanwendern irreführende Informationen bieten, den

Workflow beim Anmelden überlasten und schlechte Verhaltensweisen vermitteln. Bisher wurden viele verschiedene Beispiele vorgestellt, wie die Branche in ihrem Eifer, über die Verbrauchersicherheit besorgt zu erscheinen, die Situation tatsächlich verschlimmert hat. In diesem dritten und letzten Artikel wird aufgezeigt, wie einige der wichtigsten Technologien, die Heimanwendern zur Verfügung stehen, nicht die Erwartungen erfüllen, die diese Anwender an diese Lösungen stellen sollten. Das Ganze führt zu meinem Ruf zu den Waffen.

Überlasten von Aktualisierungstechnologien

Einer der Hauptgrundsätze für die elektronische Sicherheit, bei dem es sich tatsächlich um eine unbestreitbare Anforderung handelt, lautet, dass Software immer auf dem neuesten Stand sein sollte. Fast jeder wichtige Softwareanbieter bietet heute irgendeine Form eines halbautomatischen Mechanismus, um zumindest einen Teil seiner Software auf dem neuesten Stand zu halten. Doch so einfach ist es nicht.

Zum einen müssen Sie um so mehr Software aktualisieren, je mehr Software Sie besitzen. Und je mehr Softwareanbieter es sind, desto mehr Aktualisierungsmechanismen existieren. Dies ist ein verwirrender Faktor.

Wenn Sie beispielsweise nur über die Standardprogramme verfügen, aktualisiert sich Internet Explorer® selbst. Doch Internet Explorer ist praktisch nur ein Container für andere Technologien. Die mögliche Auswirkung wurde auf der CanSecWest-Konferenz 2008 vorgeführt, als Shane Macaulay eine Kombination aus Sicherheitsrisiken in Java und Adobe Flash verwendete, um einen Mac zu hacken. (Details waren beim Schreiben dieses Artikels nur spärlich vorhanden, da der Fehler immer noch nicht offen gelegt worden war.) Ich möchte damit jedoch nur ausdrücken, dass keine dieser Technologien eine integrierte Komponente ist, und doch sind beide auf den meisten Computern verfügbar, weil sie im Internet so weit verbreitet sind. Beide bedeuten bei der Aktualisierung eine gewisse Herausforderung, denn sie haben zwar einen automatischen Updatemechanismus, der jedoch nicht sehr oft ausgelöst wird.

Zudem wissen die meisten Endbenutzer einfach nicht, dass diese Technologien vorhanden sind und aktualisiert werden müssen. In vielen Fällen wurden diese Technologien auf dem Computer im OEM-Abbild bereitgestellt, das für den Heimanwender vom Betriebssystem nicht zu unterscheiden ist. Was den Endbenutzer betrifft, gibt es keine Updates, wenn Windows® Update dies behauptet.

Das zweite Problem besteht darin, dass die Aktualisierungsmechanismen oft komplizierter sind als notwendig. Jeder Aktualisierungsmechanismus, der keinen vollständig automatischen Modus hat, wird mit großer Wahrscheinlichkeit nicht häufig durchgeführt, weil der Benutzer gewöhnlich nicht weiß, dass er das Aktualisierungstool ausführen muss. Des Weiteren muss der Benutzer in den meisten Fällen Administrator sein, um die Updates zu installieren. Und im schlimmsten Fall muss der Benutzer Administrator sein, um überhaupt bezüglich verfügbarer Updates benachrichtigt zu werden.

Schließlich ist es immer häufiger der Fall, dass Anbieter Technologien für die Softwareaktualisierung verwenden, die Software bereitstellt, die in gar keinem Zusammenhang steht und die der Benutzer nicht installiert hatte, etwa Symbolleisten und so weiter. Die Softwareaktualisierungstechnologien dienen mittlerweile nicht mehr speziell zum Bereitstellen von Softwareupdates, sondern werden als Möglichkeit zum Verteilen zusätzlicher Software verwendet.

Zwei offensichtliche Fälle dafür sind der Microsoft® Windows Update-Dienst (in Abbildung 1 dargestellt) und Apple Software Update (in Abbildung 2 dargestellt). Sowohl Apple als auch Microsoft haben sich dafür entschieden, ihre Aktualisierungsmethoden nicht nur zum Aktualisieren von Software zu verwenden, sondern auch neue Software bereitzustellen, die der Benutzer ursprünglich nicht installiert hat.

Abbildung 1 Verwendung von Windows Update zum Bereitstellen von Silverlight (zum Vergrößern auf das Bild klicken)

Abbildung 2 Verwendung von Apple Software Update zum Bereitstellen von Safari (zum Vergrößern auf das Bild klicken)

Im Fall von Apple werden Ihnen iTunes und Safari angeboten, selbst wenn bei Ihnen nur QuickTime installiert ist. Interessanterweise werden sie alle auch standardmäßig ausgewählt.

Im Fall von Windows Update ist Silverlight™ die neueste Software, die über den Aktualisierungsdienst bereitgestellt wird. Microsoft hat dieses Verfahren in der Vergangenheit verwendet, um neue Software zu verteilen. Zu Gunsten von Microsoft muss gesagt werden, dass das Kontrollkästchen zum Installieren der neuen Software nicht standardmäßig aktiviert ist.

Dieser Ansatz beim Verteilen neuer Software über einen Aktualisierungsmechanismus verursacht für Benutzer zwei Probleme. Zum einen ist schließlich auf dem Computer sehr viel mehr Software vorhanden als zu Anfang. Wie Sie wissen, weist jede inhaltsreiche Softwareanwendung Fehler auf, und einige dieser Fehler können zu potenziellen Sicherheitsrisiken führen. Einige dieser Sicherheitsrisiken werden schließlich in irgendeiner Form von Angriff verwendet werden. Demzufolge werden einige Benutzer über Software angegriffen werden, die sie nicht benötigen oder verwenden, die jedoch über einen Softwareaktualisierungsmechanismus auf ihrem Computer bereitgestellt wurde.

Eine andere Wirkung besteht darin, dass Benutzer einen falschen Eindruck vom Wert von Softwareaktualisierungsmechanismen erhalten könnten. Wenn Benutzer feststellen, dass Softwareaktualisierungsmechanismen zum Bereitstellen neuer Software statt neuer Updates verwendet werden, könnten sie den Aktualisierungsmechanismus als problematisch betrachten und ihn nicht mehr verwenden. Stellen Sie sich einmal vor, wie sich ein Benutzer fühlen wird, nachdem er aufgrund einer Schwachstelle eines Programms angegriffen wurde, das er nie verwendet, aber über einen Softwareaktualisierungsmechanismus erhalten hat.

Es gibt wenige Dinge, die für die Integrität und Sicherheit des Technologieökosystems gefährlicher sind als Benutzer, die Vertrauen in die Technologien verlieren, welche eigentlich für ihre Sicherheit sorgen sollen. Wenn Benutzer dieses Vertrauen erst einmal verlieren, werden diese Technologien abgelehnt und schließlich nicht mehr verwendet werden. Wenn Technologien, die für den Schutz so wesentlich sind wie Aktualisierungstechnologien, an Gunst verlieren, gerät das gesamte Technologieökosystem in Gefahr. Der Schutz dieses Ökosystems ist der Grund, warum Microsoft Sicherheitsupdates sogar an Computer verteilt, von denen bekannt ist, dass auf ihnen durch Piraterie erworbene Software ausgeführt wird.

Im Vergleich dazu respektiere ich die saubere und zweckdienliche Mozilla Firefox-Aktualisierungsoberfläche sehr, die in Abbildung 3 dargestellt ist. Ich hoffe sehr, dass Mozilla weiterhin der Versuchung widersteht, zusätzliche Software über das Software Update-Tool zu verteilen.

Abbildung 3 Die Software Update-Oberfläche für Firefox ist eine der saubersten der Branche (zum Vergrößern auf das Bild klicken)

Inkonsistente Nachrichten zur Sicherheit

Es wäre schön, wenn die Branche Verbrauchern gegenüber gemeinschaftlich auftreten könnte. Obwohl Wettbewerb in der Branche wichtig ist, müssen Heimanwender verstehen, was Sicherheit für sie bedeuten sollte. Leider können sie dies nicht, wenn die Branche stets widersprechende Nachrichten vermittelt. Offen gesagt, würde es mir schon ausreichen, wenn Unternehmen in ihren eigenen Nachrichten konsistent wären.

Die Branche wird sich wahrscheinlich nie zu einem gemeinschaftlichen Auftreten zusammenfinden, doch die Nachrichten sollten zumindest konsistent und ehrlich sein. Aufgrund der großen Bedeutung, die dem Sicherstellen des Vertrauens von Heimanwendern in die Sicherheit zukommt, muss die Branche insgesamt eine bessere Leistung zeigen.

Ähnlich müssen wir hinterfragen, was heute eigentlichen Wert bietet. So glaube ich beispielsweise nicht, dass Antivirusprogramme so effektiv oder kritisch sind, wie uns die Branche glauben lässt. Betrachten wir einmal den Computer, den mein siebenjähriger Sohn verwendet, sowie den Computer in meiner Küche. Auf beiden sind Antivirusprogramme installiert, und in den drei Jahren, seitdem sie installiert wurden, kam es nie zu einer Warnung. Damit will ich nicht sagen, dass wir Antivirusprogramme aufgeben sollten. Zum jetzigen Zeitpunkt sind sie zentrale Komponente des Technologieökosystems. Wenn plötzlich alle Antivirusprogramme entfernt würden, würden Angreifer dies schnell ausnutzen, und es würde zu mehr Infektionen kommen.

Vielmehr kommt es darauf an, dass die Branche an Features denkt, die Benutzer in ihren Sicherheitsprodukten wirklich benötigen, und daran, wie effektiv diese Features sind und wie Unternehmen den Verbrauchern diese Anforderungen und Werte vermitteln können. Wie die Dinge stehen, erhalten Benutzer heute viel zu viele widersprechende, übertriebene und oft unwahre Nachrichten zur Sicherheit.

Alles dreht sich um die Kontrollkästchen

Ein Beispiel: In der Branche für Sicherheitssoftware dreht sich alles um Suites. Heute wird Sicherheitssoftware fast ausschließlich in Paketen scheinbar nicht verwandter Features verteilt. Und es gibt praktisch keine Informationen dazu, welche Features Benutzer tatsächlich benötigen.

Dies scheint zu einem Wettbewerb zu führen, bei dem immer mehr Kontrollkästchen aktiviert werden. Obwohl Checklisten eine gute Möglichkeit zum Vergleich von Produkten bieten, können sie zu Features führen, die nicht unbedingt notwendig oder wünschenswert sind oder überhaupt Sinn ergeben. Die Abbildungen 4 bis 7 zeigen vier verschiedene Listen von vier verschiedenen Anbietern von Sicherheitssoftware mit aktivierten Kontrollkästchen. Können wir davon ausgehen, dass das Produkt mit 17 aktivierten Kontrollkästchen dem Produkt mit nur 10 aktivierten Kontrollkästchen überlegen ist?

Ich finde diese Abbildungen ziemlich amüsant. In Abbildung 4 wurde ein Kontrollkästchen aktiviert, weil es sich bei dem Produkt um eine neue Version handelt. Und bei dem Produkt in Abbildung 5 wurde ein Kontrollkästchen aktiviert, weil es laut Behauptung des Unternehmens „Angriffe von böswilligen Websites unterbindet“. Das Produkt in Abbildung 6 erhält zusätzliche Punkte, weil es „Kinder online schützt“. Offensichtlich würde niemand ein Produkt wollen, das Kinder nicht schützt. Doch Sieger der Auszeichnung für Kreativität ist das Unternehmen, in dessen Sicherheitssuite Features wie Registrierungsbereinigung und Festplattendefragmentierung enthalten sind. Das erste Feature wird kaum jemals gebraucht, und das zweite ist bereits im Betriebssystem integriert. Tatsächlich enthält das Windows-Betriebssystem bereits Lösungen für 15 der 17 aktivierten Kontrollkästchen in Abbildung 7.

Abbildung 4 Bei diesem sehr guten Produkt sind nur 10 Kontrollkästchen aktiviert (zum Vergrößern auf das Bild klicken)

Abbildung 5 Dieses Produkt mit 11 aktivierten Kontrollkästchen muss besser sein (zum Vergrößern auf das Bild klicken)

Abbildung 6 Dieses Produkt hat sogar 12 aktivierte Kontrollkästchen (zum Vergrößern auf das Bild klicken)

Abbildung 7 Doch dieses Produkt mit 17 aktivierten Kontrollkästchen muss die beste Lösung sein, oder? (zum Vergrößern auf das Bild klicken)

Hier gibt es einige störende Trends. Bei diesen Produkten werden nicht nur Funktionen dupliziert, die bereits im Betriebssystem enthalten sind (eine Tatsache, die in der Marketingliteratur nicht erwähnt wird), sondern es wird sogar Falsches behauptet. So kann beispielsweise keine Sicherheitssoftware der Welt wirklich Angriffe von irgendeiner Seite unterbinden. Sie kann nur zur Verhinderung beitragen. Und kein Produkt kann Ihre Präsenz vor Angreifern verbergen.

Das Problem besteht darin, dass das Geschäft der Softwaresicherheit größtenteils darauf aufgebaut wurde, Benutzer vor Sicherheitsrisiken zu schützen, die durch Produkte ermöglicht wurden, welche von anderen Anbietern erstellt wurden. Doch diesen Anbietern gelingt es immer besser, ihre eigenen Kunden zu schützen, und demzufolge stellt die Sicherheitssoftwarebranche fest, dass ihr Geschäftsmodell bedroht wird. Die Sicherheitssoftwarebranche hat sicherlich viel anzubieten, da ständig neue Risiken auftreten, doch die Anbieter müssen den Kunden beim Verwalten von Risiken helfen und nicht einfach nur Schutz vor Bedrohungen bieten, die es eigentlich gar nicht gibt.

Ein Ruf zu den Waffen

Eine Sache, die ich den Lesern dieser dreiteiligen Serie vermitteln möchte, lautet, dass wir als Branche mit unseren Benutzern und Kunden auf gleicher Ebene sein müssen. Wir müssen die Risiken erklären und vermitteln, wie Benutzer diese Risiken behandeln können. Und letztendlich müssen wir die Betreffenden so ausstatten, dass sie sich selbst schützen können.

Meine größten Bedenken bei all diesen „Lösungen“ gehen dahin, dass die ernste Möglichkeit besteht, dass die Sicherheit langfristig schließlich sinkt. Wenn Benutzer und sogar IT-Manager tatsächlich glauben, dass diese Produkte wirkliche Sicherheitsrisiken lösen werden, besonders jene Risiken, die sie laut irreführender Behauptungen zu lösen vorgeben, haben wir möglicherweise keine Gelegenheit mehr, den Betreffenden zu vermitteln, wie sie sich wirklich schützen können.

Ein Beispiel sind Systeme für die Kennwortauthentifizierung. Wenn die Benutzer glauben, dass die schwachen Add-Ons zu kennwortbasierten Authentifizierungssystemen, die im ersten Teil dieser Reihe erörtert wurden, sie tatsächlich schützen, könnten sie sogar noch nachlässiger werden und noch schwächere Kennwörter verwenden. In den schlimmsten Fällen, die in dieser Reihe hervorgehoben wurden, zwingt die Technologie den Benutzer sogar, schwächere Sicherheitsvorkehrungen zu verwenden, als dies der Fall gewesen wäre, wenn die neue Technologie nicht implementiert worden wäre. Wenn böswillige Benutzer herausfinden, wie diese Systeme überwunden werden können, was oft nicht weiter schwer ist, werden wir in einer noch schlechteren Lage sein als zum jetzigen Zeitpunkt. Dies könnte zu einem bedeutenden Vertrauensproblem führen, sodass die Benutzer Lösungen von wirklichem Wert aufgeben.

Wir müssen jetzt handeln, um das Technologieökosystem zu schützen, das unsere Geschäfte stützt. Zu Neuerungen muss selbstverständlich ermutigt werden, doch wir müssen auch sehr vorsichtig sein und vermeiden, dass Neuerungen um ihrer selbst Willen einer echten Risikoanalyse im Weg stehen. Andernfalls haben wir nur ein Sicherheitstheater, das schließlich um uns herum zusammenbrechen wird.

Dasselbe gilt für die anderen Beispiele, die diskutiert wurden, etwa der bedeutungslose Sicherheitsaugenschmaus. Er bietet den Benutzern keinerlei Vorteil, wiegt sie in einem falschen Gefühl von Sicherheit und sorgt dafür, dass Onlinedienstanbieter mit Optimierungen davonkommen, die für die Benutzer tatsächlich indirekten Schaden verursachen. Dabei würden die Nettokosten nur ein paar tausend Dollar oder in den extremsten Fällen vielleicht einige zehntausend Dollar betragen, um den Benutzern richtige Informationen zu bieten. Ist es wirklich zu viel verlangt, dass Anbieter diese kleine Summe für Bemühungen zum Schutz ihrer Kunden und ihres Geschäfts aufwenden?

Dies hat viele Implikationen. Zum einen geht es dabei um die Vorstellung, dass Benutzer nicht in der Lage sind, Entscheidungen zu treffen, und daran gehindert werden müssen. Benutzer können durchaus gelehrt werden, Entscheidungen zu treffen. Schließlich haben diese Benutzer viele Entscheidungen getroffen, beispielsweise die Entscheidung, einen Computer zu erwerben oder Ihre Website zu verwenden oder eines Ihrer Produkte oder Dienste zu erwerben. Genau wie die Betreffenden lernen müssen, ein Auto sicher zu fahren, müssen sie auch lernen, einen Computer sicher zu verwenden. Die Angriffe zielen heute auf die Benutzer persönlich ab, und auf die Technologie können wir uns beim Treffen von Entscheidungen nicht verlassen. Stattdessen müssen Sicherheitstechnologien Supportsysteme für Entscheidungen sein und die richtigen Informationen zum richtigen Zeitpunkt bereitstellen, damit der Benutzer eine intelligente Entscheidung treffen kann.

Einige der schlechtesten Benutzeroberflächen der Welt sind auf Sicherheitslösungen zurückzuführen, weil die Anwendungen so entworfen wurden, dass sie entweder die Entscheidungsfindung vor dem Benutzer verbergen oder ihn (auf unfreundliche Art) mit allen verfügbaren Daten überhäufen. Keiner dieser Ansätze funktioniert. Der erstgenannte setzt Benutzer Risiken aus, da sie sich nicht darauf verlassen können, dass die Technologie die richtige Wahl trifft. Und wenn die Technologie als hinderlich für die Geschäftsziele des Benutzers empfunden wird, dauert es nicht lange, bis die Technologie deaktiviert wird. Der letztgenannte Ansatz unterdessen versagt, weil die Betreffenden nicht mit IP-Adressen, Prozess-IDs und anderen Daten, die für sie bedeutungslos sind, behelligt werden möchten. Sie möchten einfach nur wissen, was der Computer mit ihren Kennwörtern und Kreditkarten macht. Denn darum geht es letztendlich bei der Sicherheit.

Jesper M. Johansson ist Softwarearchitekt mit dem Schwerpunkt Sicherheitssoftware und schreibt redaktionelle Beiträge für das TechNet Magazin. Er hat seine Doktorarbeit zum Thema Management Information Systems geschrieben, verfügt über mehr als 20 Jahre Erfahrung auf dem Gebiet der Sicherheit und ist MVP im Bereich Unternehmenssicherheit. Sein aktuelles Buch ist das Windows Server 2008 Security Resource Kit.