Interview: "Haftung für Softwareschäden ist wichtig"
Schneier: Die Geschichte zeigt, dass das nicht der Fall ist. Lesen Sie sich Scott Culps letztes Essay durch: Der Mann sagt nicht, "Hey Leute, wenn Ihr einen Bug habt, schickt ihn zu mir und ich sorge dafür, dass er sofort gefixt wird." Was er tat, war gegen die Publikation von Gefahren zu argumentieren und die Forscher zu bitten, die Details unter ihren Hüten zu lassen. Ansonsten, drohte er, "werden die Hersteller keine Wahl haben, andere Wege zu finden, ihre Kunden zu schützen" – was immer das heißt. Eine solche Haltung macht den "Full Disclosure"-Ansatz, die komplette Offenlegung von Sicherheitslücken, zur einzigen Möglichkeit, das Angriffsfenster zu schließen.
Golem.de: Einige Leute scheinen zu einer Zeit zurückkehren zu wollen, in der schwerwiegende Fehler in IT-Komponenten überhaupt nicht öffentlich gemacht wurden.
Schneier: Das Problem mit diesem System war, dass die Hersteller keine Motivation hatten, Sicherheitslücken zu schließen. Das CERT [Computer Emergency Response Team an der Carnegie-Mellon-Universität, Anm. d. Red.] hat nichts berichtet, bevor kein Fix da war, also gab es keine Dringlichkeit. So war es einfacher, Lücken geheim zu halten. Es gab Vorfälle, bei denen die Hersteller Forscher bedroht haben, falls sie irgendetwas öffentlich sagten – und es gab Schmutzkampagnen gegen sie, selbst wenn keine Details genannt waren. Auf diese Weise gab es Anfälligkeiten in Software, die über Jahre nicht behoben wurden.
Golem.de: Heute haben wir eine offenere Diskussion. Wie kam es überhaupt dazu?
Schneier: Die "Full Disclosure"-Bewegung entstand aus dieser Frustration heraus. Wenn Probleme erst einmal bekannt wurden, war das eine gute Motivation für die Hersteller, sie schnell zu lösen. Und das funktioniert zumeist gut. Viele Sicherheitsexperten veröffentlichen ihre Erkenntnisse auf Mailinglisten wie Bugtraq, die Presse schreibt dann darüber – und dann können die Firmen mitteilen, wie schnell und gut sie Sicherheitslücken geschlossen haben, wenn denn mal ein Patch da ist. Man kann also sagen, dass die "Full Disclosure"-Bewegung die Sicherheit im Internet erhöht hat.
Golem.de: Aber führt das nicht dazu, dass die "bösen Jungs" diese geballten Informationen nutzen könnten, wie Culp und Microsoft meinen?
Schneier: In den letzten Jahren haben wir gemerkt, dass die vollständige Veröffentlichung von Fehlern viel mehr nützt, als dass sie schadet. Die Industrie hat sich von einer Gruppe von Firmen, die Sicherheit ignorierten, zu einer, die Probleme so schnell wie möglich löst, entwickelt. Inzwischen gibt es sogar tatsächlich Unternehmen, die von vorneherein Qualitätssoftware schreiben und die Bugs vor dem Release fixen.
Golem.de: Sie arbeiten im Bereich der IT-Sicherheitsforschung. Wie sehr hilft Ihnen die freie Offenlegung von aktuellen Bugs dabei?
Schneier: Der freie Fluss der Informationen ist auch für diesen Sektor sehr wichtig. In der IT-Sicherheitsforschung haben wir in den letzten zehn Jahren eine Blüte erlebt – und das hat auch mit der "Full Disclosure"-Bewegung zu tun. Wenn es möglich ist, Forschungsergebnisse, seien sie nun schlecht oder gut, zu veröffentlichen, führt das zu mehr Sicherheit für alle. Ohne derartige Informationen kann man auch nicht von den Fehlern der anderen lernen – stattdessen macht man die selben Fehler eben immer und immer wieder.
Golem.de: Können Sie Beispiele nennen?
Schneier: Vor ein paar Wochen kam ein Linux-Kernel heraus, dem die normalerweise beigegebenen detaillierten Informationen über die Sicherheit des Betriebssystems fehlten. Die Entwickler nannten als Grund dafür die Furcht vor dem amerikanischen Urheberrechtsgesetz Digital Millennium Copyright Act (DMCA) [der unter anderem bestimmte Hackertools verbietet, Anm. d. Red.]. Stellen Sie sich vor, Sie haben sich ein Betriebssystem auszusuchen – würden Sie sich beim Anblick eines Linux-OS ohne die Sicherheitsdetails beruhigter vorkommen?
Golem.de: Sollten derartige Gesetze Ihrer Meinung nach wieder abgeschafft werden?
Schneier: Der DMCA hat die Geheimhaltung von Fehlern sozusagen ins Gesetz geschrieben. In vielen Fällen ist es nun illegal, Sicherheitslücken zu veröffentlichen oder Hacking-Tools herauszugeben, die Kopierschutzformate aushebeln können. Forscher werden drangsaliert und es wird von ihnen gefordert, ihre Arbeit nicht zu verbreiten. Angriffspunkte bleiben geheim. Das Ergebnis ist eine Unmenge von unsicheren Systemen, deren Besitzer sich hinter dem Gesetz verstecken – und hoffen, dass niemand merkt, wie schlecht sie wirklich sind.
Golem.de: Was sehen Sie als die primäre Motivation bei Microsoft, die Nichtveröffentlichung von Sicherheitslücken zu fördern?
Schneier: Microsofts Motive, Bugs geheim zu halten, sind ganz klar: Für die Firma ist es viel einfacher, Informationen zur Sicherheit zu unterdrücken, als Probleme zu lösen – oder Produkte herzustellen, die von vorneherein sicher sind. Der ständige Strom von öffentlich bekannt gewordenen Sicherheitslücken bei Microsoft führt bei vielen Leuten dazu, die Sicherheit zukünftiger Produkte zu hinterfragen. Wenn Analysten wie die von Gartner nun raten, beispielsweise den Internet Information Server [Microsofts Webserver, Anm. d. Red.] nicht mehr einzusetzen, weil der unsicher ist, können weniger Informationen über die Sicherheit von Microsoft-Produkten nur gut fürs Geschäft sein.
Golem.de: Microsoft sagt, im Handling von Security-Problemen "sehr offen" zu sein. Das behauptet auch ihr "Gegenspieler" Scott Culp. Warum sind die Produkte der Firma also nicht sicherer?
Schneier: Die Firma behandelt Sicherheitslücken als PR-Problem. Das Ziel ist nicht, sichere Software zu schaffen, sondern den Marktanteil zu erhöhen. Der kosteneffektivste Weg dorthin bleibt, viel Lärm um Sicherheit zu machen, anstatt sie in den Produkten wirklich zu verbessern. In vielen Bereichen wäre es unfair, Microsoft dafür die Schuld in die Schuhe zu schieben – die Firma antwortet nur auf die Nachfrage, die sie vom Markt spürt. Und der will einfache Benutzbarkeit, spannende neue Features und ganz viele Möglichkeiten. Für echte Sicherheit will aber niemand zahlen. Erst dann, wenn Microsoft Marktanteile gegenüber Unternehmen verliert, die Produkte herstellen, die sicherer sind, wird es eine Änderung in der Herangehensweise des Unternehmens geben.
Golem.de: Wenn Microsoft sich durchsetzt – könnte die Geheimhaltung von Bugs wirklich funktionieren?
Schneier: Eigentlich überhaupt nicht. Man muss immer daran denken, dass die "Bösen" die Lücken sicherlich trotzdem kennen werden – und das oft, bevor die "Guten" sie entdecken. Die Geheimniskrämerei um Sicherheitslücken macht uns da kein bisschen sicherer. Das steht auch gar nicht auf Microsofts Agenda – die wollen bloß, dass die Öffentlichkeit weniger über die Security-Probleme in den Produkten der Firma erfährt. Wenn die durchschnittlich sicherer wären, als die der Konkurrenz, wäre man erheblich offener – dann sieht Microsoft ja besser aus, gegenüber anderen Firmen. Nun hätten sie aber gerne, dass die Vergleichsmöglichkeiten schrumpfen. Und die Geheimhaltung von Bugs wird das wahrscheinlich möglich machen. Die Wissenschaftler, die Lücken finden, würden dazu gezwungen, still zu halten, Journalisten schrieben weniger über Probleme in Microsoft-Produkten und die Konsumenten würden insgesamt dümmer, was Microsoft nur helfen kann.
Golem.de: Wie bewerten Sie den endlosen Fluss neuer Hacking-Tools, die Sicherheitslücken ausnutzen und frei im Netz erhältlich sind?
Schneier: Das kann man so oder so sehen. Es gibt Programme, die Gutes wie Schlechtes vollbringen – und manchmal hat diese Unterscheidung nur mit dem Marketing zu tun. Dan Farmer wurde zum Bösewicht, als er "SATAN" [ein Analysetool für Firewalls, Anm. d. Red.] schrieb – heute sind solche Untersuchungsprogramme längst extrem wertvoll für Administratoren. Gleiches gilt für Remote-Access-Produkte, die aussehen wie der Trojaner Back Orifice, der nur ein paar Features weniger hat. "L0phtcrack" ist ein Hackertool, das schwache NT-Passwörter brechen kann, um eine Attacke vorzubereiten. Die Version 3.0 wird nun als Programm für Sysadmins verkauft, derartige schwache Passwörter zu entlarven. Die meisten Tools haben gute wie schlechte Anwendungsmöglichkeiten. Im Zweifelsfall ist es mir aber lieber, dass die Informationen an die Leute gelangen, die sie brauchen, selbst wenn die "schlimmen Jungs" sie dann auch bekommen.
Ich mag das "Sei Teil der Lösung, nicht Teil des Problems"-Sprichwort. Sicherheit zu untersuchen, ist Teil der Lösung. Die Hersteller dazu zu bringen, Lücken zu schließen, ist ebenfalls Teil der Lösung. Angst zu säen, ist Teil des Problems. Dummen Teenagern Angriffstools zu geben, ebenfalls.
Golem.de: Also doch derartige Tools verbieten? Was kann man gegen ihre Anwendung unternehmen?
Schneier: Das Gleiche, was wir in der "Real World" tun: Kriminelles Verhalten bestrafen. Türen aufzubrechen und in eine Wohnung einzudringen, ist strafbar, egal ob es sich dabei um die reale Welt oder die virtuelle handelt. Wir werden allerdings die Zahl der Einbrüche nicht dadurch reduzieren, indem wir Hammer, Brechstangen oder Dietriche gesetzlich verbieten. Was wir aber tun können, ist, den Einsatz dieser Werkzeuge zu illegalen Zwecken als Verbrechen zu titulieren. Das Gleiche muss eben auch im Netz passieren.
Golem.de: Wie lassen sich IT-Produkte letztlich sicherer machen?
Schneier: Wir müssen den Entwicklungsprozess von Software verbessern. Security muss immer eingeplant sein. Das kostet Zeit und Geld – und wird nicht stattfinden, bevor der Markt es nicht verlangt. Dieser Druck kann entweder vom Gesetzgeber, durch Haftung für Schäden oder von Versicherungen kommen.
Es gibt hier verschiedene Projekte: Gesetze, die die Privatsphäre in der Banken- und Gesundheitsbranche regeln, sind schon vorhanden – und die zwingen die Firmen, mehr Geld in die Sicherheit ihrer Systeme zu stecken. Haftung für Schäden ist ebenfalls wichtig: So lange Software von der Produkthaftung ausgenommen ist, die es in jeder anderen Industrie gibt, wird der Code von schlechter Qualität bleiben und unsicher sein. Und die Versicherungen könnten die Computersicherheit verbessern, wie sie es schon Anfang des 20. Jahrhunderts im Bereich der Elektrizität getan haben.
Das Interview führte Ben Schwan für Golem.de.