Bewegen wir uns überhaupt?

Bewegen wir uns überhaupt?

Stefan Friedli
von Stefan Friedli
Lesezeit: 5 Minuten

Ich schreibe diesen Text im späten Mai des Jahres 2013. Es ist wohl einer der kältesten und bedrückendsten Monate der vergangenen Jahrzehnte hier in Zürich. Es ist schwierig, nicht in eine Laune zu kommen, in der ich mich über etwas auslassen möchte. Daher entschuldige ich mich im Vorfeld bereits dafür, dass der folgende Text klingen könnte, als ob er von einem übel gelaunten alten Mann geschrieben wurde.

In der jüngeren Vergangenheit war ich an einigen Events für CISOs (Chief Information Security Officers) und ähnlich Berufsbezeichnungen in der Schweiz. Die Organisation dieser Events war hervorragend, die Verpflegung war mehr als gut und es gab genug Gelegenheit für Diskussionen und den gelegentlichen Verkaufs-Pitch. Wenn immer ich die Zeit habe, gehe ich gerne an diese Events. Nicht des Essens wegen – oder besser: Nicht nur des Essens wegen – sondern weil ich es als wichtig erachte, aktuelle Probleme mit einer grossen Anzahl Experten aus allen Zweigen der Industrie zu besprechen, damit wir gemeinsam die bestmögliche Vorgehensweise finden. Wir bei scip arbeiten mit Unternehmen aus allen Zweigen der Wirtschaft zusammen und wenn wir alle Aspekte und Bedürfnisse kennen, macht das unseren Job wesentlich einfacher.

Aber ich schweife ab. An einem dieser Events hatte ich kürzlich eine lange Diskussion mit dem CISO eines grossen Schweizer Industrieunternehmens, das ich jetzt nicht namenlich nennen werde. Privatsphäre. Wir haben zwar nie zusammengearbeitet, aber er kannte meine Arbeit und hatte einige Fragen. Sind Angriffe aus dem Innern nicht schwerwiegender als jene aus dem Internet? Welche Produkte schützen am besten vor externen Attacken? Und was ist mit raffinierten und hoch ausgereiften Angriffstrategien? Und so weiter.

Nach einer Weile im Security-Business sind diese Fragen fast schon alte Bekannte. Ich habe sie schon etliche Male gehört. Das bedeutet nicht, dass sie dumme Fragen sind. Eigentlich bedeutet es genau das Gegenteil. Wenn diese Fragen so oft gestellt werden, dann müssen die Antworten darauf enorm wichtig sein. Aber aus irgendeinem Grund sind die Antworten nicht so beständig wie die Fragen. Es scheint kein FAQ (Frequently Asked Questions) für Sicherheitsfragen zu geben. Und ich denke, dass das ein Problem ist, das wir als eine Industrie lösen sollten. Zum Beispiel: Das Problem der internationalen Attacken bleibt bestehen. Im Wesentlichen ist das Problem seit Jahrzehnten unverändert. Ja, die Technologie hat sich in der jüngsten Vergangenheit stark verändert. Wir haben es mit neuen Problemen zu tun, die es internen Bedrohungen einfacher machen, Schaden anzurichten und wir begegnen diesen Problemen mit neuen Lösungen.

Das Problem ist: Wir verbringen zu viel Zeit, zu viel Geld und zu viel Energie damit, die selben Fragen wieder und wieder zu besprechen. Wir fügen der Diskussion neue Buzzwords – von Herstellern erfundene Begriffe, die neue Lösungen für alte Probleme halten – hinzu. Die Industrie, so sehe ich das, hat keine grosse Lust sich aus ihrer Komfort-Zone zu bewegen, neue Probleme zu identifizieren und mit neuen Methoden anzugehen. Statdessen beschäftigt sie sich mit den gleichen Dingen, die schon in der Vergangenheit funktioniert haben. Es ist ein System, das viel heisse Luft produziert, die Industrie am Leben hält aber unsere sich stets neu erfindende digitale Welt nicht besonders viel sicherer macht. Wir müssen in unseren Information-Security-Programmen etwas Persistenz schaffen. Leser der Labs wissen, dass ich viel Zeit damit verbracht habe, die Apple iOS Plattform zu untersuchen. Nebst anderen interessanten Dingen habe ich eine Vielzahl von Apps analysiert, einige sehr gründlich.

Die Resultate haben mich beunruhigt. Die meisten der Sicherheitsprobleme des iOS sind uralt. Wir sprechen hier von Authentications im Klartext. Passwörter, die in Klartext gespeichert werden. Ich habe sogar eine glorreiche Neuerfindung des alten Javascript Authentication mit dem Passwort im HTML-Sourcecode-Problems gefunden, wenn eine App die lokale Authentisierung mit einem Passwort abgegleicht, das gerade über ein unverschlüsseltes GET-Request reinkam.

Eine gesamte Generation von Entwicklern, die in den späten 1990er-Jahren angefangen haben zu programmieren, haben gelernt, dass das keine gute Idee ist. Und glücklicherweise haben sie aufgehört, diese Fehler zu machen … meistens, jedenfalls. Wir stehen Webseiten, die Authentisierungen ohne HTTPS erlauben, kritisch gegenüber. Aber iOS Apps haben dieses Memo wohl noch nicht erhalten.

Ich erinnere mich an eine Diskussion, die ich im Jahr 2007 mit Marc Ruef geführt habe. Es ging um ein Projekt namens Tractatus. Sein Ziel war es, einfache und klare Fakten der Computersicherheit zu erstellen – wie es der Philosoph Ludwig Wittgenstein in seinem 1918 veröffentlichten Tractatus logico-philosophicus für die Philosophie getan hatte. Und nun, mit der stetig steigenden Komplexität des InfoSec-Feldes, denke ich, dass Marc Ruefs Projekt etwas ist, das wir neu aufrollen sollten.

Wir sollten nicht die selben Fragen wieder und wieder durchkauen. Wir sollten die Folgefragen und die Varianten der Fragen behandeln. Wir sollten Details hinzufügen, wo es nötig und nützlich ist. Und neue Lösungen dort ansetzen, wo sie gebraucht werden. Aber dieser neue Zugang braucht Struktur, basierend auf dem Erbe früherer Entscheidungen, früherer Erfahrungen und altem Wissen. Kein Verkaufs-Pitch. Wir können es uns schlicht nicht leisten, jedes Mal, wenn eine neue Technologie auf den Markt kommt, wieder mit dem ersten Schritt anzufangen.

Angreifer entwickeln sich stets weiter. Sie müssen das tun, um weiterhin Erfolg zu haben und Geld zu verdienen. Die Sicherheitsindustrie muss nicht aufholen, damit sie weiterhin Geld verdient. Sogar alte Probleme generieren Geld. Firewall-Verkaufszahlen beweisen das eindrücklich. Aber wir müssen au jour bleiben, damit wir unsere Jobs machen können: Wir verteidigen System und halten sie sicher.

Über den Autor

Stefan Friedli

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv