Sicherheit auf dem PrüfstandNeubetrachtung der 10 unveränderlichen Gesetze zur Sicherheit, Teil 3

Jesper M. Johansson

Sie sind wahrscheinlich mit den „10 unveränderlichen Gesetzen zur Sicherheit“ vertraut. Dabei handelt es sich um eine Abhandlung zum Thema Sicherheit, die vor etwa acht Jahren veröffentlicht wurde und sich bis heute großer Bedeutung und Beliebtheit erfreut. Andererseits hat sich in den letzten acht Jahren viel verändert, was mich dazu veranlasst hat, diese Gesetze zu untersuchen und zu prüfen, ob sie noch Bestand haben. In den beiden vorhergehenden Ausgaben von „Sicherheit auf dem Prüfstand“ habe ich mich mit den ersten sieben dieser Gesetze beschäftigt.

Bisher haben sich diese Gesetze trotz der enormen Fortschritte bei Sicherheit und Konnektivität, die in den letzten Jahren erzielt wurden, relativ gut gehalten. Obwohl einige der Gesetze möglicherweise heute etwas anders ausgelegt werden und ein oder zwei Gesetze eventuell in teilweise abgeschwächter Form anzuwenden sind, sind sie immer noch als Gesetze zu betrachten. Sie sind nach wie vor äußerst nützlich bei der Entwicklung einer Informationssicherheitsstrategie, und in einem Gesetzessystem erwarten wir, dass die Gesetze mit dem Fortschritt mithalten.

Diesen Monat erläutere ich die letzten drei Gesetze und schließe meine Ausführungen mit einigen Überlegungen dazu ab, wie sich das Umfeld möglicherweise geändert hat und eine neue Lücke entstanden ist, die von den Gesetzen nicht mehr geschlossen wird. Wenn Sie die ursprüngliche Abhandlung zufällig nicht gelesen haben, können Sie sie auf TechNet finden.

Gesetz 8: Ein veralteter Virenscanner ist nur unwesentlich besser als gar kein Virenscanner.

Von allen Gesetzen ist dies das Gesetz, das sein Alter am ehesten verrät. Das liegt nicht etwa daran, dass es keine Viren mehr gibt – genau das Gegenteil ist der Fall. Anbieter von Antivirenprogrammen geben heute an, mehrere hunderttausend Viren pro Jahr neu aufzunehmen. Im „Symantec Global Internet Security Threat Report“, der im April 2008 veröffentlicht wurde, gab Symantec bekannt, dass seine Programme jetzt mehr als 1 Million verschiedener Bedrohungen erkennen.

Gesetz 8 lässt sein Alter dadurch erkennen, dass es von einem Virenscanner spricht. In den späten 90er Jahren waren Viren so ziemlich das Einzige, weswegen wir uns Sorgen machen mussten. Die Zeiten, in denen ein Microsoft Word-Makrovirus das Schlimmste war, mit dem wir fertig werden mussten, sind jedoch lange vorbei. Heute kämpfen wir gegen Viren, Würmer, Spyware, Adware, Keylogger, Rootkits, Phishingwebsites, Spam und Bots. Und als ob Sie dadurch nicht genug auf Trab gehalten würden, müssen Sie auch auf gefälschte Antimalwaresoftware achten.

Im Vergleich zu all den anderen Formen von Malware, mit denen wir uns heute befassen müssen, sind Viren eine ziemlich altmodische Technologie. Spielt es also wirklich eine Rolle, dass Ihre Antivirensoftware veraltet ist, wenn diese lediglich Viren erkennen kann? Offensichtlich gibt es heute praktisch keine Antimalwaresoftware mehr, die nur Viren erkennt – die Betonung auf Virenscannern im Gesetz verrät jedoch sein Alter. Selbst um begrenzt nützlich zu sein, muss eine Antimalwarelösung viel mehr als nur Viren erkennen.

Wie im letzten Teil meiner dreiteiligen Reihe Kennwörter und Kreditkarten erwähnt, hat dies zu einem Checklisten-Ökosystem geführt, bei dem die verschiedenen Hersteller von Sicherheitssoftware auf Grundlage der Positionen einer Checkliste, die sie abhaken können, miteinander konkurrieren. Eine der Methoden, mit denen sie diese Checklisten füllen, besteht im Schutz vor all den verschiedenen Arten von Malware.

Die meiste Antimalwaresoftware ist nur in Form von Suites erhältlich, die viel mehr als nur Antimalwarefunktionen bieten und Konsolen zur Verwaltung aller Features umfassen. Abbildung 1 zeigt die Konsole des Sicherheitspakets Microsoft Windows Live OneCare, das Antiviren-, Antispyware- und Sicherungsfeatures enthält, den integrierten Phishingfilter in Internet Explorer überwacht und eine separate Firewall umfasst, die nicht auf der in Windows integrierten Firewall basiert (eine Redundanz, die in Sicherheitssuites üblich ist). Heute ist Antivirensoftware in Wirklichkeit Antimalwaresoftware, die in der Regel Zusatzfunktionen bietet.

Abbildung 1 Die Live OneCare-Konsole ist ein typisches Beispiel für die heutigen Sicherheitssuites (zum Vergrößern auf das Bild klicken)

Dies beruht darauf, dass es mehr Malware als je zuvor gibt und dass es den kriminellen Elementen, die Malware entwickeln, immer besser gelingt, diese als legitime Software zu tarnen. Schadprogramme sind heute eine Mischung aus Trojanersoftware und anderer Malware.

Dem durchschnittlichen Benutzer fällt es äußerst schwer, legitime Software von Malware zu unterscheiden. Zudem wird ein großer Teil der Malware über legitime Websites oder ehemals legitime Websites verbreitet – häufig in Form von Werbung. Einige richten sogar automatisch Schaden an, ohne dass Benutzereingriffe außer dem Besuch der Website erforderlich sind.

Antimalwaresoftware kann bei der Erkennung einiger dieser Malwareformen helfen. Der beste Ansatz, um sich diese Welle krimineller Energie vom Leibe zu halten, besteht darin, Antimalwaresoftware und umsichtige Computerverfahren zu verwenden. Obwohl sich möglicherweise argumentieren ließe, dass umsichtige Verfahren allein ausreichen, hängt dies von gutem Urteilsvermögen und gesundem Menschenverstand ab – Eigenschaften, die leider beunruhigend selten anzutreffen sind.

Betrachten Sie ein anderes Szenario: die Computernutzung durch Kinder. Sie verfügen über keine entsprechenden Erfahrungen, auf die sie zurückgreifen können, und viele Eltern sind mit dem Thema Computersicherheit nicht ausreichend vertraut, um ihren Kindern dessen Wichtigkeit vermitteln zu können. Außerdem ist es beinahe unmöglich, Kinder die ganze Zeit zu beaufsichtigen, während sie einen Computer verwenden.

In dieser Situation bietet Antimalwaresoftware zumindest zum Teil ein Sicherheitsnetz – sie zwingt Kriminelle, ihre Methoden immer weiter zu verbessern. Obwohl dadurch ein Teufelkreis entstehen kann, bei dem die Malware immer besser wird, trägt es auch eindeutig dazu bei, einen Großteil davon im Zaum zu halten.

Antimalwaresoftware dürfte zumindest die einfachste Malware aus dem Ökosystem heraushalten, sodass sich Sicherheitsfachleute auf die ausgefeilteren Angriffsformen konzentrieren können. Wenn Antimalwaresoftware vollständig aus dem Ökosystem entfernt wird, ist es tatsächlich wahrscheinlich, dass wir selbst durch simple Malware vollkommen überflutet werden. Das Problem wäre um mehrere Größenordnungen schlimmer als heute.

All dies beantwortet jedoch nicht die Frage: „Trifft das Gesetz 8 immer noch zu?“ Offensichtlich hängt dies von der Interpretation ab. Aus einer puristischen Perspektive betrachtet, besagt das Gesetz, dass veraltete Antivirensoftware nur unwesentlich besser ist als fehlende Antivirensoftware. Angesichts der schnellen Mutation von Malware ließe sich jedoch problemlos argumentieren, dass Antivirensoftware, die nicht auf dem neuesten Stand ist, vollkommen nutzlos ist. Dies ist möglicherweise ein wenig übertrieben, aber keine völlig unvernünftige Behauptung.

Eine viel realistischere Betrachtungsweise von Gesetz 8 besteht darin, es für die moderne Welt neu zu interpretieren. Daher würde ich es folgendermaßen umformulieren: „Antimalwaresoftware muss verwendet und auf dem neuesten Stand gehalten werden.“ Wenn es aus dieser pragmatischeren Perspektive betrachtet wird, trifft Gesetz 8 definitiv immer noch zu. Schließlich können selbst die erbittertsten Gegner von Antimalwaresoftware nicht erfolgreich argumentieren, dass wir sie vollständig aus dem Sicherheitsökosystem verbannen sollten.

Ich persönlich neige dazu, Gesetze unter Ausnutzung des Auslegungsspielraums zu betrachten; und möchte behaupten, dass das Gesetz 8 immer noch Bestand hat. Angesichts der immer schnelleren Mutation von Malware würde ich jedoch hinzufügen, dass es unbedingt erforderlich ist, Antimalwaresoftware auf dem neuesten Stand zu halten.

Gesetz 9: Absolute Anonymität ist weder im wahren Leben, noch im Web praktikabel.

Wenn ich an dieses Gesetz denke, fällt es mir schwer, keinen Witz darüber zu reißen, dass unsere Regierungen und große Unternehmen sicherstellen, dass wir nur sehr wenig Anonymität genießen. Gemeinsam haben die Regierung der USA und The TJX Companies sichergestellt, dass persönliche Daten von rund der Hälfte der US-amerikanischen Bevölkerung in die Hände des kriminellen Untergrunds gelangt sind. Obwohl ich mir gern vorstellen würde, dass es so etwas wie Anonymität gibt, existiert Anonymität heute in der Praxis nicht (sofern Sie nicht bereit sind, komplett auszusteigen, Ihre Bankkonten aufzugeben, auf eine einsame Insel zu ziehen und völlig vom Radar zu verschwinden).

Es gibt eine Unmenge an Informationen über uns, die wir entweder ganz bewusst weitergeben oder die durch Interaktion mit uns zusammengetragen werden können. Websites für soziale Netzwerke haben uns insgesamt davon überzeugt, dass die meisten Erwachsenen, die das Internet nutzen, sowie viele Kinder eine Vielzahl persönlicher Informationen öffentlich zur Verfügung stellen. Viele davon sind nicht unbedingt Informationen, von denen wir möchten, dass andere Personen darauf Zugriff haben. Einige sind für uns oder andere peinlich. (Vergessen Sie nicht, dass ein potenzieller Arbeitgeber ein belastendes Foto von Ihnen sehen könnte.)

Dann sind da noch Informationen, die ernsthaft Schaden anrichten können. Telefonnummern, Adressen, Finanzen und alle anderen Arten von persönlichen Informationen sollten vertraulich behandelt werden. In einem Fall hatte ein Benutzer eine wirklich gute Methode zur Nachverfolgung aller Websites entwickelt, die er für Bankgeschäfte, zur Verwaltung von Kreditkarten usw. verwendete. Er erstellte eine benutzerdefinierte Homepage mit allen Links, die er benötigte. Um sich leichter an die richtigen Informationen erinnern zu können, scannte er zudem alle seine wichtigen Dokumente, einschließlich eines Schecks mit seiner Bankkontonummer, seiner Kreditkarten (Vorder- und Rückseite), seines Führerscheins, seines Reisepasses und selbst seiner Sozialversicherungskarte.

Dies hätte gut funktioniert, wenn er die Webseite an einem sicheren Ort gespeichert hätte. Leider war seine persönliche Homepage, die bei seinem ISP gehostet wurde, nicht privat. Die URL wurde in der Verweiserzeichenfolge auf jeder Seite angezeigt, auf die er von seiner Seite aus klickte. Durch die Rückverfolgung dieser URL wurden persönliche Informationen offen gelegt, die in der kriminellen Szene viele tausend Dollar wert waren. Dies ist ein Extremfall, aber er verdeutlicht, wie wichtig es ist, dass Sie die Informationen zu Ihrer Person, die Sie online stellen, sorgfältig verwalten.

Obwohl Websites für soziale Netzwerke in der Regel ausgeklügelte Datenschutzoptionen bieten, sind diese häufig standardmäßig nicht aktiviert. Abbildung 2 zeigt die Datenschutzoptionen für Facebook, allerdings nicht mit ihren Standardeinstellungen. Der springende Punkt ist: Obwohl Sie keine absolute Anonymität erwarten können, können Sie ein gewisses Maß an Anonymität aufrechterhalten, wenn Sie vorsichtig sind.

Abbildung 2 Die Datenschutzeinstellungen von Facebook können verschärft werden, wenn Sie die Standardeinstellungen ändern (zum Vergrößern auf das Bild klicken)

Der Datenschutz im Internet hängt wie im wirklichen Leben weitgehend davon ab, wie Sie damit umgehen. Sie können nichts dafür, wenn eine Behörde oder ein Unternehmen Ihre persönlichen Daten falsch handhabt, aber Sie können daran arbeiten, die Auswirkungen einer derartigen Datenschutzverletzung abzuschwächen. Darüber hinaus sollten Sie vermeiden, zu viele Informationen auszuhändigen, wenn dies nicht unbedingt erforderlich ist.

Eine sehr nützliche Methode zur Kontrolle Ihrer persönlichen Informationen besteht darin, eine Betrugswarnung bei den großen Kreditauskunftsbüros einzurichten. Leider ist es Kreditbüros aufgrund ihrer beharrlichen und erfolgreichen Lobbyarbeit gestattet, die Erlangung dieser Betrugswarnungen erheblich zu erschweren. Sie kosten pro Büro 6 bis 12 Dollar für einen Zeitraum von drei Monaten und müssen in der Regel manuell verlängert werden. Eine bessere Option besteht darin, einen Drittanbieterdienst wie Debix (debix.com) zu verwenden und diesen die Betrugswarnungen für Sie einrichten zu lassen.

Wenn Sie keinen Kredit benötigen, können Sie eine Kreditsperre einrichten, um zu verhindern, dass eine Kreditauskunft über Sie angefordert werden kann. Die Kreditbüros haben jedoch sichergestellt, dass Kreditsperren in den meisten Bundesstaaten nicht legal sind, und in vielen anderen Bundesstaaten sind sie auf Personen beschränkt, deren persönliche Daten bereits gestohlen wurden. Kreditsperren sind zudem viel teurer und müssen häufig per Einschreiben veranlasst werden. (Seltsamerweise können sie in der Regel durch einen einfachen Anruf aufgehoben werden.)

Eine weitere Möglichkeit zur Kontrolle Ihrer persönlichen Informationen besteht darin einzuschränken, wer sie erhält. Überlassen Sie sie nicht Organisationen, die sie nicht benötigen. Halten Sie sich an Organisationen, denen Sie vertrauen, und unterstützen Sie keine Organisationen, die in der Vergangenheit den Schutz Ihrer Daten missachtet haben. Es gibt für Sie keinen Grund, ein Konto einzurichten und Anmeldeinformationen bereitzustellen, um grundlegende Auskünfte zu erhalten. Wenn Sie sich für den Zugriff auf ein Produkthandbuch auf einer Website registrieren müssen, verwenden Sie entweder das Produkt nicht, oder geben Sie bei der Registrierung falsche Informationen an. Falls Sie hierfür eine E-Mail-Adresse benötigen, richten Sie mithilfe eines kostenlosen Webmaildiensts vorübergehend ein falsches Konto ein.

All dies liefert wirklich den Beweis, dass Gesetz 9 auf jeden Fall noch gültig ist. Ihre Möglichkeiten, Dinge im Web und im wahren Leben geheim zu halten, sind in den letzten Jahren nicht besser geworden – tatsächlich haben sie sich recht deutlich verschlechtert. Seit der Veröffentlichung der ursprünglichen Gesetze wurde nahezu alles in die Onlinewelt verlagert, und das Internet dient jetzt als Kanal zur Abwicklung einer enormen Menge von Geschäften, bei den Ihre persönlichen Daten verwendet werden.

Daher ist es jetzt wichtiger denn je, den Überblick über Ihre persönlichen Informationen zu behalten. Eine Änderung, die ich eventuell an Gesetz 9 vornehmen würde, besteht darin, es folgendermaßen umzuformulieren: „Absolute Anonymität im Web ist unmöglich, aber Sie können kontrollieren, wie nahe Sie der Anonymität kommen.“

Gesetz 10: Technik ist kein Allheilmittel.

Gesetz 10 ist allumfassender Natur. Es soll darauf hinweisen, dass es keinen großen, blauen Knopf gibt, der automatisch für Sicherheit sorgt – oder zumindest keinen, der funktioniert. Durch Technik allein können unsere Sicherheitsprobleme nicht gelöst werden. Dies ist ein ernsthaftes Problem, da weite Teile der Sicherheitsbranche sich nach Kräften bemüht haben, die Menschen davon zu überzeugen, dass die Technik ein Allheilmittel ist. Ständig wird die Botschaft wiederholt, dass Sie lediglich die neueste Version der richtigen Sicherheitssuite benötigen, um aller Sorgen ledig zu sein.

Eigentlich wollte Scott Culp nicht unbedingt darauf hinaus, als er das Gesetz 10 verfasste, aber alle großen Gesetze entwickeln sich im Laufe der Zeit weiter. Die ursprüngliche Absicht bestand darin, darauf hinzuweisen, dass die Technik selbst nicht perfekt ist, und selbst wenn sie es wäre, die Angreifer sich einen anderen Ansatzpunkt suchen würden. Als die Gesetze geschrieben wurden, sah die Bilanz in puncto technischer Sicherheit alles andere als glanzvoll aus. Microsoft befand sich im Belagerungszustand, und Gesetz 10 war in gewisser Hinsicht eine Möglichkeit für Microsoft, seine Sicherheitsbilanz zu erklären.

Gesetz 10 nahm jedoch auch vieles voraus. Die Erklärung enthält die Aussage, dass die Bösen auf eine Erhöhung der Kosten und Schwierigkeiten, die mit dem Angriff auf Sicherheitstechnik verbunden sind, durch Verlagerung ihres Fokus von der Technik auf den Benutzer reagieren.

Genau das ist geschehen. Die Technik lässt sich nur schwer knacken – auf Menschen trifft dies jedoch nicht zu. Daher greifen Kriminelle die Menschen mit verschiedenen Social Engineering- und Phishingverfahren an. In einer Welt, in der Sicherheitslücken in bare Münze verwandelt werden können, ist dies eine ganz natürliche Entwicklung.

Gesetz 10 ist nicht nur weiterhin gültig, sondern war seiner Zeit auch weit voraus – so weit, dass die Erklärung etwas veraltet erscheint, obwohl das Gesetz heute immer noch zutrifft. Vielleicht hatte das Gesetz einfach einen anderen Bedeutungsumfang, als es verfasst wurde. Es hat heute immer noch Bestand, aber seine Bedeutung hat sich geändert, und es muss breiter ausgelegt werden. Wir müssen über die Technik hinaussehen und am prozesslichen Teil der Sicherheit und an der menschlichen Seite der Gleichung arbeiten. Um Erfolg zu haben, müssen wir herausfinden, wie wir diese Teile des Ökosystems absichern können.

Was nun?

Es hat sich erwiesen, dass die Gesetze bemerkenswert stabil sind. Sie alle sind nach acht Jahren noch immer gültig. Einige, insbesondere Gesetz 10, scheinen mit dem Lauf der Zeit Schritt gehalten zu haben und könnten genauso gut gestern geschrieben worden sein. Das letzte Gesetz, das alle praktischen Zwecke abdeckt, war visionär (oder hat sich zumindest als visionär erwiesen). Es scheint den neuen Zweig der „weichen“ Sicherheit vorhergesehen zu haben, der für ein gesundes Ökosystem so wichtig ist.

Die Technik ist wirklich kein Allheilmittel. Erst durch diese Erkenntnis konnten die Gesetze überhaupt formuliert werden. Nur durch Berücksichtigung der Tatsache, dass die Technik nicht unfehlbar ist, ist es möglich, alle anderen Gesetze vollständig zu verstehen. Wenn Sie die Gesetze 1 bis 9 betrachten, werden Sie feststellen, dass es bei ihnen allen letztlich auf „weiche“ Sicherheit und Prozesse ankommt. Alle von ihnen drehen sich im Grunde um eine Fehlkonfiguration, einen fehlenden Patch, ein von einem Menschen verursachtes Sicherheitsrisiko oder eine andere Form des falschen Umgangs mit dem System oder den von ihm geschützten Daten.

Als ich mit dem Schreiben dieser dreiteiligen Reihe begann, hatte ich die feste Absicht, einige eigene Gesetze hinzuzufügen. Bei der Analyse der Gesetze habe ich jedoch festgestellt, dass dies unnötig ist. Gesetz 10 fasst alle anderen Gesetze zusammen und deckt alles ab, was ich hätte hinzufügen können. Statt etwas hinzuzufügen, würde ich einfach Gesetz 10 folgendermaßen umformulieren: „Technik ist kein Allheilmittel, und die Überwindung des Irrglaubens ist für die Sicherheit von wesentlicher Bedeutung.“

Bedenken Sie, dass diese Gesetze aus einer Zeit stammen, in der im IT-Bereich eine Verlagerung von der auf den Jahrtausendwechsel gerichteten Denkweise hin zu einer Welt von Überwachungsexperten stattfand. Jetzt ist die Sicherheit in den Vordergrund gerückt.

Woran liegt das? Dies ist größtenteils auf das explosionsartige Wachstum krimineller Vereinigungen zurückzuführen. Die kriminellen Elemente, von denen viele offen in Ländern operieren, deren Rechtssystem kein Interesse an unserem Schutz hat, haben erkannt, dass sie mangelnde Computersicherheit zu Geld machen können. Dies hatte Einfluss auf den Drogenhandel, die Mafia in Ländern des ehemaligen Ostblocks, terroristische Vereinigungen und so weiter.

Computerkriminalität beruht jetzt ausschließlich auf drei Faktoren: Geldgier, Ideologie und nationale Oberhoheit. Um diese neuen Angriffsmethoden zu bekämpfen, müssen wir im Rahmen der unveränderlichen Gesetze handeln. Wir müssen zudem schwierige Kompromisse eingehen, was aber Thema eines zukünftigen Artikels sein soll.

Jesper M. Johansson arbeitet als Principal Security Architect für ein bekanntes Fortune 200-Unternehmen und schreibt redaktionelle Beiträge für das TechNet Magazin. Er hat seine Doktorarbeit zum Thema Management Information Systems geschrieben, verfügt über mehr als 20 Jahre Erfahrung auf dem Gebiet der Sicherheit und ist Microsoft MVP (Most Valuable Professional) im Bereich Unternehmenssicherheit. Sein aktuelles Buch ist das Windows Server 2008 Security Resource Kit.