The Turkey Curse
fukamis terror chatroom

Gedanken zur FDP-Idee der “Stiftung Datenschutz”

Sweetmorn, 4th The Aftermath, 3175.

Sabine Leutheusser-Schnarrenberger galt mir lange Zeit als eine sehr geschätzte Politikerin. Der Artikel FDP erklärt Internetregulierung zum Superprojekt bei Spiegel Online hat mich allerdings etwas irritiert. Ich stelle nicht in Abrede, dass Frau Leutheusser-Schnarrenberger die Kernthesen des Datenschutzes sehr gut verstanden hat. Was mich aber sehr verwundert war folgende Aussage: “Unser Ziel ist es, im Netz eine Art Gütesiegel zu etablieren, das den Nutzer darauf hinweist, bei welchen Anbietern seine Daten sicher sind”.

Wer sich wie ich schon längere Zeit mit IT-Sicherheit im Allgemeinen und Websicherheit im Speziellen beschäftigt, der könnte jetzt denken: “Und alle so $$$”. Wenn man aber genauer betrachtet, wie die reale Praxis der Vergabe von Prüfsiegeln aussieht, bekommt man ein leichtes Runzeln auf der Stirn.

In meiner täglichen Arbeit habe ich sehr oft mit Seiten zu tun, die nach allen möglichen “Standards” (hüstel!) zertifiziert sind, sei es Safer Shopping, PCI-DSS, McAfees Hacker Safe oder andere. Ziel dieser Siegel ist es, Vertrauen beim Benutzer zu schaffen, dass er dort ohne Gefahr alle möglichen Daten hinterlegen kann. Aber heisst das automatisch, dass diese Seiten sicher sind und man den Seiten wirklich vertrauen kann?

Ohne jetzt im Weiteren darauf einzugehen, dass einige der Anbieter selbst schwere Lücken auf ihren eigenen Webseiten haben: Die Erfahrung ist, dass zu den Tests, die bei der Vergabe dieser Siegel eine Rolle spielen, neben Formalien, die mehr oder weniger sinnvoll sind, auch eine technische Prüfung der Anwendung gehört. Meist werden diese Prüfungen in relativer Eile fast ausschliesslich mit automatischen Web Application Scannern durchgeführt, die nach sogenannten “Low Hanging Fruits” (also einfach zu findenden Sicherheitslücken) wie z.B. Cross Site Scripting oder SQL Injection suchen. Zu PCI-DSS gehört beispielsweise ausserdem die Pflicht, diese Prüfungen regelmässig durchzuführen und/oder eine Application Firewall im Einsatz zu haben, die Angriffe erkennen und verhindern soll. Dieser Prozess kostet in der Regel unverschämt viel Geld, ebenso wie die meisten Application Firewalls. Manchmal werden aber auch automatische Source Code Scanner wie Fortify eingesetzt, die den Quellcode der Anwendung vollautomatisiert nach möglichen Fehlern im Code untersuchen sollen.

Mein Kollege Stefan Esser hat in den letzten Wochen eine Reihe interessanter Angriffe gegen Webanwendungen, Application Firewalls und Schutzsysteme gefunden, die in jeder Hinsicht beindruckend sind. Ohne zum jetzigen Zeitpunkt den noch zu veröffentlichenden Advisories im Detail vorzugreifen ein einfacheres Beispiel: Es gibt seit einiger Zeit ein Stück Software, das sich zum Ziel gesetzt hat, PHP-Anwendungen vor einer Reihe von Angriffen zu schützen und sich PHP-IDS nennt. Stefan hat herausgefunden, dass unter bestimmten Bedingungen die blosse Anwesenheit dieses Codes dafür sorgen kann, dass eine eigentlich nicht angreifbare Anwendung mit einem Mal angreifbar ist. Ein wie auch immer gearteter Test für eines der Siegel hätte einer Anwendung, die diese Schutzsoftware einsetzt, vermutlich den Status “geprüfte Sicherheit” verliehen, und damit eine Anwendung zertifiziert. Und das vollkommen zu Unrecht, denn ein Angreifer hätte die Anwendung praktisch komplett übernehmen und so alle Daten stehlen können. Übrigens hätte keins der mir bekannten Tools dieses Problem finden können. Dies ist nur ein Beispiel, es gibt Dutzende andere (stay tuned! :)

Wenn man eine “Stiftung Datenschutz” ins Leben rufen will, und das in etwa mit der “Stiftung Warentest” vergleicht, so ist die Idee aus technischer Sicht genau genommen eigentlich pervers. Eine Ware, also ein physischer Gegenstand, kann recht objektiv nach verschiedenen Kriterien geprüft werden. Der einzelne Prüfer spielt dabei keine Rolle, denn ein Prüfer sollte exakt zu demselben Ergebnis kommen wie ein anderer, wenn die Prüfkriterien klar definiert sind. Bei Software ist das aber etwas vollkommen anderes, denn da kommt es sehr auf die Person an, die diese Anwendung prüft. Erfahrung spielt dabei eine ungleich grössere Rolle als der Einsatz der Werkzeuge. Automatisierung allein ist in den allermeisten Fällen nicht wirklich zielführend, um die Sicherheit einer Anwendung herzustellen, sondern kann höchstens etwas Hilfestellung leisten.

Im Falle der SchülerVZ-Geschichte glaube ich z.B. fest daran, dass diese Seite solche ein Siegel bekommen hätte, denn soweit ich weiss ist das Problem, das es da gab, gar nicht das, was man üblicherweise bei diesen Tests geprüft hätte (mal davon abgesehen, dass ich die Wellen, die dieses Problem erzeugt hat, sowieso nicht nachvollziehen kann und für vollkommen übertrieben halte).

Vertrauen in eine Anwendung schafft man nicht mit Prüfsiegeln, die im Kern genau nur eine einzige Sache aussagen: Die Anwendung wurde nach diesen oder jenen Kriterien mit diesem oder jenem Tool und diesen oder jenen Methoden geprüft und zeigte dabei keines der bekannten Probleme. Nicht mehr, nicht weniger. Aber das ist ja ganz offensichtlich nicht der Sinn hinter der “Stiftung Datenschutz”. Der Sinn dahinter ist die Aussage: “Dieser Anwendung können Sie vertrauen”.

Wenn ich also darüber nachdenke, dass Frau Leutheusser-Schnarrenberger solch eine Stiftung ins Leben rufen will, dann bin ich mir ziemlich sicher, dass der Vorschlag dazu aus Kreisen kommt, die sich damit eine lukrative Einnahmequelle eröffnen wollen und weniger den Datenschutz im Blick haben. Sinnvoll kann aus meiner Sicht dieser Schritt nicht sein, da es ein Gefühl von Sicherheit schaffen soll, das völlig ungerechtfertigt ist bzw. dieses Ziel nicht erreichen kann. Am Ende sorgt das eher für das genaue Gegenteil, nämlich ein falsches Sicherheitsgefühl, und es wird zu heftigen Diskussionen führen, wenn eine Anwendung, die ein Siegel enthält, sich als angreifbar herausstellt.

Für mich zeigt sich einmal mehr, dass die Ideen und Initiativen, die in den nächsten Jahren zu erwarten sind, sich nicht an den Gegebenheiten orientieren. Es wird weiterhin auf Symbolpolitik gesetzt, statt die ohne Zweifel existierenden Probleme zu lösen und vermutlich werden dabei auch gleich noch ein paar Pfründe gesichert. Leider gibt es eben doch sehr wenig Sachverstand zu den Themen, die mit IT und Internet zu tun haben, und ich erwarte da noch mehr Ansagen in diese Richtung.

---



The fact that no one understands you doesn't make you an artist.

The Turkey Curse is powered by WordPress, template idea by Priss

Entries (RSS) and Comments (RSS).
Generated in 0.079 seconds.