The Turkey Curse
fukamis terror chatroom

Gedanken zur FDP-Idee der “Stiftung Datenschutz”

Sweetmorn, 4th The Aftermath, 3175.

Sabine Leutheusser-Schnarrenberger galt mir lange Zeit als eine sehr geschätzte Politikerin. Der Artikel FDP erklärt Internetregulierung zum Superprojekt bei Spiegel Online hat mich allerdings etwas irritiert. Ich stelle nicht in Abrede, dass Frau Leutheusser-Schnarrenberger die Kernthesen des Datenschutzes sehr gut verstanden hat. Was mich aber sehr verwundert war folgende Aussage: “Unser Ziel ist es, im Netz eine Art Gütesiegel zu etablieren, das den Nutzer darauf hinweist, bei welchen Anbietern seine Daten sicher sind”.

Wer sich wie ich schon längere Zeit mit IT-Sicherheit im Allgemeinen und Websicherheit im Speziellen beschäftigt, der könnte jetzt denken: “Und alle so $$$”. Wenn man aber genauer betrachtet, wie die reale Praxis der Vergabe von Prüfsiegeln aussieht, bekommt man ein leichtes Runzeln auf der Stirn.

In meiner täglichen Arbeit habe ich sehr oft mit Seiten zu tun, die nach allen möglichen “Standards” (hüstel!) zertifiziert sind, sei es Safer Shopping, PCI-DSS, McAfees Hacker Safe oder andere. Ziel dieser Siegel ist es, Vertrauen beim Benutzer zu schaffen, dass er dort ohne Gefahr alle möglichen Daten hinterlegen kann. Aber heisst das automatisch, dass diese Seiten sicher sind und man den Seiten wirklich vertrauen kann?

Ohne jetzt im Weiteren darauf einzugehen, dass einige der Anbieter selbst schwere Lücken auf ihren eigenen Webseiten haben: Die Erfahrung ist, dass zu den Tests, die bei der Vergabe dieser Siegel eine Rolle spielen, neben Formalien, die mehr oder weniger sinnvoll sind, auch eine technische Prüfung der Anwendung gehört. Meist werden diese Prüfungen in relativer Eile fast ausschliesslich mit automatischen Web Application Scannern durchgeführt, die nach sogenannten “Low Hanging Fruits” (also einfach zu findenden Sicherheitslücken) wie z.B. Cross Site Scripting oder SQL Injection suchen. Zu PCI-DSS gehört beispielsweise ausserdem die Pflicht, diese Prüfungen regelmässig durchzuführen und/oder eine Application Firewall im Einsatz zu haben, die Angriffe erkennen und verhindern soll. Dieser Prozess kostet in der Regel unverschämt viel Geld, ebenso wie die meisten Application Firewalls. Manchmal werden aber auch automatische Source Code Scanner wie Fortify eingesetzt, die den Quellcode der Anwendung vollautomatisiert nach möglichen Fehlern im Code untersuchen sollen.

Mein Kollege Stefan Esser hat in den letzten Wochen eine Reihe interessanter Angriffe gegen Webanwendungen, Application Firewalls und Schutzsysteme gefunden, die in jeder Hinsicht beindruckend sind. Ohne zum jetzigen Zeitpunkt den noch zu veröffentlichenden Advisories im Detail vorzugreifen ein einfacheres Beispiel: Es gibt seit einiger Zeit ein Stück Software, das sich zum Ziel gesetzt hat, PHP-Anwendungen vor einer Reihe von Angriffen zu schützen und sich PHP-IDS nennt. Stefan hat herausgefunden, dass unter bestimmten Bedingungen die blosse Anwesenheit dieses Codes dafür sorgen kann, dass eine eigentlich nicht angreifbare Anwendung mit einem Mal angreifbar ist. Ein wie auch immer gearteter Test für eines der Siegel hätte einer Anwendung, die diese Schutzsoftware einsetzt, vermutlich den Status “geprüfte Sicherheit” verliehen, und damit eine Anwendung zertifiziert. Und das vollkommen zu Unrecht, denn ein Angreifer hätte die Anwendung praktisch komplett übernehmen und so alle Daten stehlen können. Übrigens hätte keins der mir bekannten Tools dieses Problem finden können. Dies ist nur ein Beispiel, es gibt Dutzende andere (stay tuned! :)

Wenn man eine “Stiftung Datenschutz” ins Leben rufen will, und das in etwa mit der “Stiftung Warentest” vergleicht, so ist die Idee aus technischer Sicht genau genommen eigentlich pervers. Eine Ware, also ein physischer Gegenstand, kann recht objektiv nach verschiedenen Kriterien geprüft werden. Der einzelne Prüfer spielt dabei keine Rolle, denn ein Prüfer sollte exakt zu demselben Ergebnis kommen wie ein anderer, wenn die Prüfkriterien klar definiert sind. Bei Software ist das aber etwas vollkommen anderes, denn da kommt es sehr auf die Person an, die diese Anwendung prüft. Erfahrung spielt dabei eine ungleich grössere Rolle als der Einsatz der Werkzeuge. Automatisierung allein ist in den allermeisten Fällen nicht wirklich zielführend, um die Sicherheit einer Anwendung herzustellen, sondern kann höchstens etwas Hilfestellung leisten.

Im Falle der SchülerVZ-Geschichte glaube ich z.B. fest daran, dass diese Seite solche ein Siegel bekommen hätte, denn soweit ich weiss ist das Problem, das es da gab, gar nicht das, was man üblicherweise bei diesen Tests geprüft hätte (mal davon abgesehen, dass ich die Wellen, die dieses Problem erzeugt hat, sowieso nicht nachvollziehen kann und für vollkommen übertrieben halte).

Vertrauen in eine Anwendung schafft man nicht mit Prüfsiegeln, die im Kern genau nur eine einzige Sache aussagen: Die Anwendung wurde nach diesen oder jenen Kriterien mit diesem oder jenem Tool und diesen oder jenen Methoden geprüft und zeigte dabei keines der bekannten Probleme. Nicht mehr, nicht weniger. Aber das ist ja ganz offensichtlich nicht der Sinn hinter der “Stiftung Datenschutz”. Der Sinn dahinter ist die Aussage: “Dieser Anwendung können Sie vertrauen”.

Wenn ich also darüber nachdenke, dass Frau Leutheusser-Schnarrenberger solch eine Stiftung ins Leben rufen will, dann bin ich mir ziemlich sicher, dass der Vorschlag dazu aus Kreisen kommt, die sich damit eine lukrative Einnahmequelle eröffnen wollen und weniger den Datenschutz im Blick haben. Sinnvoll kann aus meiner Sicht dieser Schritt nicht sein, da es ein Gefühl von Sicherheit schaffen soll, das völlig ungerechtfertigt ist bzw. dieses Ziel nicht erreichen kann. Am Ende sorgt das eher für das genaue Gegenteil, nämlich ein falsches Sicherheitsgefühl, und es wird zu heftigen Diskussionen führen, wenn eine Anwendung, die ein Siegel enthält, sich als angreifbar herausstellt.

Für mich zeigt sich einmal mehr, dass die Ideen und Initiativen, die in den nächsten Jahren zu erwarten sind, sich nicht an den Gegebenheiten orientieren. Es wird weiterhin auf Symbolpolitik gesetzt, statt die ohne Zweifel existierenden Probleme zu lösen und vermutlich werden dabei auch gleich noch ein paar Pfründe gesichert. Leider gibt es eben doch sehr wenig Sachverstand zu den Themen, die mit IT und Internet zu tun haben, und ich erwarte da noch mehr Ansagen in diese Richtung.

---

5 Comments »

  1. Hey Fukami,

    Du bekamst von mir den “Kreativ Blogger Award” verliehen!
    http://twitgeridoo.wordpress.com/2009/10/29/kreativ-blogger-award/

    Beste Grüße,
    Edward

    Comment by Twitgeridoo — Boomtime, 10th The Aftermath, 3175. @ 83566

  2. Nach der Lektüre der (ausgezeichneten) Slides von Stefan - und auch ein wenig vor diesem Zeitpunkt - hätte ich mir ein wenig mehr Objektivität bezüglich des Themas PHPIDS gewünscht.

    Erstens schützt das ‘Stück Software’ nicht vor Angriffen - wir haben nie behauptet dies zu tun. Zweitens war die Lücke bereits weit vor dem Talk und dem Erscheinen dieses Artikels gefixt. Drittens ist die Lücke wenn schon eher im Bereich Zend Framework in bestimmten Versionen anzusiedeln, da Properties einiger Zend-FW eigener Objekte imo ein wenig achtlos mit Strings hantieren.

    Ich weiss selber - Bashing macht dann und wann Spass - ich will mich dar gar nicht ausnehmen. Dennoch - Research im Falle dieses Blogposts ist silbern - gutes Research (Denglisch-Alarm) hingegen gülden.

    Hier haben wir aber meiner Meinung nach im Falle der Zeilen über das PHPIDS ganz klar Bronze - da wäre mehr gegangen.

    In diesem Sinne,
    .mario

    Comment by Mario Heiderich — Prickle-Prickle, 17th The Aftermath, 3175. @ 45243

  3. @mario: Das war nicht als Bashing gegen PHPIDS gedacht. Es sollte einfach ein Beispiel dafür sein, dass zwei Dinge sich negativ beeinflussen, nicht mehr, nicht weniger. Dieses Problem taucht eben nur in der Kombination von Zend Framework und PHPIDS in der alten Version auf.

    Wenn das als Bashing rübergekommen ist so bitte ich das zu entschuldigen.

    Comment by fukami — Prickle-Prickle, 17th The Aftermath, 3175. @ 46303

  4. Kam in meinen Augen nicht rüber - ist aber hiermit geschehen.

    Danke fürs Klarstellen.

    Grüße
    .mario

    Comment by Mario Heiderich — Prickle-Prickle, 17th The Aftermath, 3175. @ 46579

  5. Ja, wir haben verstanden… Hauptsache erstmal Vorschläged anderer bashen, ist ja auch ganz leicht.

    Hättest Du Dir ansatzwseise die Mühe gemacht über DEin unlogisches Gescvhreibsel nachzudenken und würdest Dich selbsrt ernst nehmen wäre Dir klar das wenn Du bestimmte Zustände berechtigt(!) kritisiert das andere das vielleicht auch könnten … aber stimmt Vorscghläge aus Richtung FDP müssen ja automatisch schlechte Ziele verfolgen.

    Viel Spass noch beim Bashing.

    Comment by Stephan — Setting Orange, 50th Chaos, 3178. Celebrate Chaoflux. @ 74634

RSS feed for comments on this post. | TrackBack URI

Leave a comment



"You can tell a lot about a fellow's character by his way of eating jellybeans." - Ronald Reagan

The Turkey Curse is powered by WordPress, template idea by Priss

Entries (RSS) and Comments (RSS).
Generated in 0.081 seconds.