Wenn die Analysten von Gartner vor etwas warnen, dann wählen sie gerne drastische Worte. Auch ein knackiges Kürzel kann hilfreich sein. In diesem Fall lautet es FUD, Fear, Uncertainty and Doubt, zu deutsch: Angst, Unsicherheit und Zweifel. Mit diesen Gemütszuständen reagieren nach Gartner-Angaben CIOs und Sicherheitschefs von Unternehmen auf die aktuellen Bedrohungen ihrer IT-Systeme. Ob die Gefahren mit der PRISM-Affäre - statistisch betrachtet - wirklich größer geworden sind, ist unklar. Aber jedenfalls wissen seitdem alle, was auf dem Gebiet von Lausch und Horch alles möglich und wie viel kriminelle Energie dabei in der Welt ist.
FUD, also die panische Angst der Verantwortlichen, führt laut Gartner dazu, dass viele "reaktionäre und hochgradig emotionale Entscheidungen treffen." Konkret ist damit die Abkehr vom systematischen Risikomanagement und die Hinwendung zu "technischen Sicherheitslösungen" gemeint.
Warum Unternehmen so agieren, dazu äußert sich Gartners "Globale Risikomanagement-Untersuchung" nur sehr vage.
Ein Grund könnte sein, dass Verantwortlichen aufgefallen ist, wie wenig Schutz ihnen die vielen aufwändigen Risikopläne vor den Abhör-, Abguck- und Absaugattacken der Geheimdienstler geboten haben. Daher vielleicht auch der Hang zu "technischen Lösungen", sprich zu anderer Technik als bisher, beispielsweise zu neuer Software.
Christoph Volkmer, der bei Alfresco als Regional Vice President für die DACH-Region verantwortlich ist, beobachtet diesen Trend auf jeden Fall. Alfreco ist eine offene Plattform für die Verwaltung von Dokumenten und zugleich ein Software-Unternehmen, dass auf Basis dieser Plattform Produkte und Dienstleistungen anbietet. "Seit ungefähr einem halben Jahr entscheiden sich Kunden immer häufiger ausdrücklich aus Sicherheitsgründen für eine Open-Source-Lösung."
Vor allem beim Thema Backdoors hat quelloffene Software große Vorteile. Warum, das beschrieb der US-Amerikanische Sicherheitsexperte, Buchautor, Unternehmer und Blogger Bruce Schneier in einem Beitrag Ende Oktober. Die Möglichkeiten des NSA sind immens, der Geheimdienst kann die meisten Verschlüsselungsverfahren für Dateien und Dokumente knacken und auch herausfinden, welches Verschlüsselungsverfahren benutzt wurde.
Aber das genügt den Schlapphüten nicht, was sie wirklich wollen, sind Backdoors, Hintertüren, durch die sie sich jederzeit unbemerkt Zugang zu IT-Systemen verschaffen können. Ziel aller Sicherheitsbemühungen müsse deshalb sein, so Schneier, den Einbau solcher Hintertüren so schwierig wie möglich zu machen.
In den 1990er Jahren hatte der FBI heimlich eine Art von Backdoor in das Kommunikationsnetzwerk der Telefonfirma AT&T eingeschleust, um Telefongespräche mithören zu können. Doch es flog auf. Es gab einen öffentlichen Aufschrei und danach wurde die ganze Aktion gestoppt. Mit dieser Erfahrung im Hinterkopf, hat sich die NSA bekanntlich dazu entschieden, mit den Betreibern der Systeme, die man anzapfen will, zu kooperieren.
Eine gute Hintertür sieht aus wie Code
Wobei man sich diese Zusammenarbeit in etwa so vorzustellen hat wie die mit der Camorra: Wer nicht freiwillig mitspielt wird bestochen, wer kein Geld nimmt bedroht und schließlich auf mannigfaltige Weise dazu gezwungen, den Überwachern Zutritt zu den eigenen Systemen zu gewähren.
Nach Ansicht von Bruce Schneier ist es bei komplexen Software-Systemen nahezu unmöglich, festzustellen, ob sie irgendwo ein Leck haben. Aus Sicht der NSA müssen solche Lecks vor allem drei Kriterien erfüllen.
-
Erstens müssen sie schwer zu entdecken sein, das heißt sie sollten die normalen Funktionen des betreffenden Programms beziehungsweise Systems so wenig wie möglich stören. Im Idealfall sollte alles genauso optimal funktionieren wie immer. Je kleiner die Hintertür, desto leichter ist sie zu entdecken. Anders gesagt: Eine gute Hintertür sollte aussehen wie normaler, notwendiger Programmcode.
-
Zweitens sollte seine Existenz immer einigermaßen glaubwürdig abgestritten werden können. Wenn sie entdeckt wird, sollte die Backdoor immer wie ein dummer Fehler aussehen, ein Tippfehler im Code zum Beispiel. Hintertüren, die man allzu offen sieht, sind dagegen oft gar keine. Sondern tatsächlich nur Fehler ...
-
Drittens: Je weniger Menschen etwas über die Backdoor wissen, desto geringer ist die Wahrscheinlichkeit, dass sie entdeckt wird.
Indirekt lässt sich aus diesen Punkten folgern, dass Open-Source-Systeme grundsätzlich schwerer zu unterminieren sind als geschlossene Systeme. Die Wahrscheinlichkeit, dass die Hintertür jemand entdeckt, ist deutlich größer, weil sich einfach viel mehr Menschen mit den Systemen beschäftigen.
Bruce Schneier nennt noch einen anderen, ebenso banalen wie überzeugenden Grund, warum kommerzielle Standardsoftware gefährlich sein kann: Wer mit seinen Programmen Geld verdienen will und muss, hat natürlich wenig Interesse an Scherereien mit Behörden, wird also in aller Regel auf die "Wünsche" der NSA eingehen. Und dass es offenbar so ist, hat die Praxis ja bereits bewiesen.
Auch Christoph Volkmer von Alfresco spricht mit seinen Kunden ständig über Security-Themen. Natürlich weiß er, dass es absolute Sicherheit nicht gibt. Darauf komme es auch gar nicht an. "Wer vor einem Löwen wegläuft, muss nicht auf Dauer schneller sein als der Löwe, sondern lediglich schneller als Andere, die auch vor ihm auf der Flucht sind." Will sagen: Wichtig ist, es dem potentiellen Eindringling so schwer wie möglich zu machen, damit dieser sich ein leichteres Opfer aussucht. Diesen Aspekt betont auch Bruce Schneier, der sich sicher ist, dass es bei den Geheimdiensten eine Abwägung gibt zwischen Aufwand und potentiellem Nutzen.
Christoph Volkmer rät Nutzern von Enterprise-Content Management-Systemen, möglichst wenige Daten hin und her zu bewegen, sondern eher Links. Diese kann man so gestalten, dass sie nur zeitlich begrenzt funktionieren beziehungsweise automatisch tot sind, wenn der Empfänger das Unternehmen verlassen hat.
Volkmer glaubt, dass das wachsende Sicherheitsbedürfnis und die besseren Möglichkeiten der Open-Source-Idee in den kommenden Jahren insgesamt massiven Rückenwind bringen werden: "Wir sehen doch bei den Smartphone Apps, dass sich Software sehr gut über Marktplätze von Communities entwickeln lässt. So wird auch die Zukunft bei der Entwicklung von PC-Programmen aussehen." Seiner Ansicht nach wird der Beruf des IT-Beraters in zehn Jahren weitgehend ausgestorben sein. "Halbfertige Produkte zu liefern und sie anschließend mit vielen Tagessätzen lauffähig zu machen, das wird der Markt nicht ewig mitmachen. Die Kunden sind auch schon viel zu lange zur Ader gelassen worden."