Edgar Weippl ist Experte für IT-Sicherheit an der TU Wien und am Forschungszentrum sba-research.


Veranstaltung: "Wer klaut hier meine Daten?" - TU-Forum zum Thema Datenschutz und Internetsicherheit: Mittwoch, 16. November, 18 Uhr, TU Wien, Prechtlsaal (1. Stock), Karlsplatz 13, 1040 Wien


Internet: www.tuwien.ac.at/tuforum
Edgar Weippl ist Experte für IT-Sicherheit an der TU Wien und am Forschungszentrum sba-research.

Veranstaltung: "Wer klaut hier meine Daten?" - TU-Forum zum Thema Datenschutz und Internetsicherheit: Mittwoch, 16. November, 18 Uhr, TU Wien, Prechtlsaal (1. Stock), Karlsplatz 13, 1040 Wien

Internet: www.tuwien.ac.at/tuforum

Sensible persönliche Daten werden von Hackern ausspioniert - davon war in den vergangenen Wochen in den Medien immer wieder die Rede. Manchmal entsteht dabei der Eindruck, dazu sei sehr viel technisches Fachwissen erforderlich. In vielen Fällen ist das Ausnützen der zugrundeliegenden Fehler allerdings kein technisch komplizierter Angriff, sondern erfordert lediglich Basiswissen, das jeder technisch Interessierte im Internet innerhalb weniger Stunden erlernen kann und das in Grundvorlesungen an Universitäten oder FHs vermittelt wird.

Grundlegender Fehler vieler Web-Anwendungen ist, dass die Entwickler davon ausgehen, Benutzer würden nur gültige Eingaben über den Web-Browser machen; Angreifer hingegen verwenden einfache Werkzeuge, um ungültige Eingaben an den Server zu schicken und so ungeplantes Verhalten auszulösen und sich Zugriff auf Daten zu verschaffen. So lassen sich etwa über Formulare oder Eingabefelder Befehle in eine Website einschleusen, die dort Schaden anrichten können.

Diese und andere häufige Fehler sind seit Jahrzehnten bekannt. Gründe, warum diese Fehler noch immer tagtäglich gemacht werden, sind vermutlich erstens Tutorials und Handbücher, die sicherheitstechnisch falschen Code zeigen. Um zum Beispiel für Softwareentwickler möglichst einfach zu erklären, wie eine Datenbank angesprochen wird, wird Code gezeigt, der zwar funktioniert, aber die notwendigen Überprüfungen auf ungültige Anweisungen nicht enthält. Security-Wissen sollte daher nicht getrennt unterrichtet werden, sondern integraler Bestandteil jeder Ausbildung sein.

Ein zweiter Grund ist, dass die Entwicklung von sicheren Anwendungen aufwendiger ist und der Nutzen von sicheren Anwendungen nicht leicht quantifizierbar ist. Um Kosten zu sparen, wird oftmals der "Sohn des Mitarbeiters, der HTML-Programmierung an der HTL" lernt, engagiert. Würde ein Manager einen Mechaniker-Lehrling anheuern, um ein neues Auto zu bauen, und dieses dann ohne jegliche Überprüfung der Betriebssicherheit an Endkunden verkaufen?

Es fehlen in der Softwareentwicklung Qualitätskriterien, die leicht überprüfbar sind. Zum Vergleich: Die Sicherheit von Autos stellt für viele Käufer ein wesentliches Kriterium dar, und die Sternchen-Wertung der Crashtests macht alles für Endkunden leicht verständlich.

Das Risiko wird immer größer.

Die Auswirkungen der Angriffe werden immenser, weil immer mehr Daten online gespeichert sind: Fotos auf Flickr, Dokumente auf Dropbox, persönliche Nachrichten und Diskussionen auf Facebook und noch vieles mehr. Über mangelnde Sicherheit bei Passworten ist schon viel geschrieben und gesagt worden; doch die Auswirkungen von schwachen Passwörtern sind in den vergangenen Jahren größer geworden, weil eben mehr Daten nur durch ein Passwort geschützt online zugänglich sind.

Höhere Sicherheit für Informationssysteme wird es nur dann geben, wenn Kunden leicht vergleichen können und Sicherheit ein wesentliches Kriterium bei der Kauf- oder Nutzungsentscheidung ist.