Wie man unsichere Software entwickelt

Generelle Sicherheitseigenschaften von guter Software wie die Wahrung von Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der Daten und Dienste sind auch Qualitätseigenschaften und damit Gegenstand von Überlegungen zum Thema Softwarequalität. Während man sich üblicherweise fragt, was man tun kann, um in diesen Eigenschaften bessere Software zu entwickeln, geht Markus Wutzke, Security Consultant bei Secaron AG, den umgekehrten Weg. Er kündigte für das Softwareforum Leipzig am 29./30. November den Workshop „Sicherheit und Datenschutz in der Entwicklung von Geschäftsanwendungen“ an, in dem er darstellen will, was man alles tun sollte, um seine Software möglichst gut bestückt mit Sicherheitslücken und Schwachstellen auszuliefern.

Wutzke sieht dafür im Wesentlichen sieben Schritte als erforderlich an und empfiehlt für den geplanten Software-GAU provokativ folgende Fehlentscheidungen auf Management-Ebene:

•    Planen Sie kein Budget für Sicherheitseigenschaften ein.
•    Verankern Sie keine Sicherheitsaktivitäten in Ihrem Entwicklungsprozess.
•    Ermitteln Sie nur funktionale Anforderungen aber keine Sicherheitsanforderungen.
•    Schulen Sie ihre Entwickler nicht in Sicherheitsthemen.
•    Erfinden Sie stets das Rad neu.
•    Vermeiden Sie Security-Tests.
•    Installieren Sie die Software auf einer Standardbetriebsumgebung.

Mehr als 2/3 aller Probleme in der IT-Sicherheit sind softwarebezogen. Jedoch wird Sicherheit oftmals erst als Reaktion auf eine Bedrohung oder nach einem Angriff als wichtiges Qualitätsmerkmal eines Softwareprodukts erkannt. Sie bedarf jedoch der kontinuierlichen Integration in den Entwicklungsprozess, wie es z.B. Initiativen wie das Clean Code Development (CCD) oder Microsofts Security Development Lifecycle (SDL) vorsehen.

Letztlich bildet sichere Softwareentwicklung auch eine Schnittmenge aus Ansätzen der Informationssicherheit und der Softwarequalität.

Kommt jetzt das Ende für ELENA?

Elena – der „elektronische Entgeltnachweis, von Kritikern auch als Arbeitnehmervorratsdatenspeicherung bezeichnet – wird gestoppt! Die Regierung hat den Start des Vorhabens um zwei Jahre verschoben. In den letzten Monaten reihten sich immer mehr Unternehmen, und Verwaltungen in die Reihen der protestierenden Bürgerrechtler ein. Denn Elena brachte ihnen statt der versprochenen Einsparungen durch Bürokratieabbau in erster Linie Kosten und Ärger ein.

Arbeitgeber müssen mit ihren monatlichen Gehaltsabrechnungen für jeden ihrer Beschäftigten zahlreiche Eckdaten wie Name und Anschrift, Versicherungsnummer, Gesamt-, Steuer- und Sozialversicherungs-Bruttoeinkünfte, Sozialversicherungsbeiträge sowie steuerfreie Bezüge verschlüsselt an die zentrale Datenbank der Deutschen Rentenversicherung übermitteln. Dafür mussten oftmals zusätzliche IT-Systeme beschafft bzw. vorhandene Personalverwaltungssoftware aktualisiert, erweitert oder umkonfiguriert werden. Und dann kam es zu bis heute ungelösten Problemen mit der verschlüsselten Datenübermittlung für die Elena-Daten an die zentrale Speicherstelle.

Insbesondere Kommunen protestierten immer lauter gegen Elena. Sahen sie doch eine geschätzte Viertelmilliarde Euro an Zusatzkosten auf sich zukommen. Aus ebendiesem Grund beurteilt der IT-Wirtschaftsverband BITKOM den Elena-Stopp eher kritisch, sieht er doch Umsatzmöglichkeiten für seine Mitgliedsunternehmen entschwinden.

Und die Proteste zeigten Wirkung! Kürzlich beschloss die Regierung die offiziell bis 2012 verlaufende Testphase für das Elena-Verfahren um zwei Jahre zu verlängern. Als Grund für die Verschiebung werden Gutachten benannt, nach denen die Umstellung auf das System für die Behörden teurer als zunächst angenommen wird.  Außerdem werden erhebliche Belastungen für den Mittelstand befürchtet, was insbesondere FDP-Politiker umtreibt. Faktisch ist das fast schon das Aus für das Projekt. Müssen doch z.B. die bereits gesammelten Daten wieder gelöscht werden, da eine so lange Speicherung rechtlich unzulässig ist.

Elena scheint wohl denselben Weg anzutreten wie zuvor das Zugangserschwernisgesetz von Ministerin „Zensursula“ von der Leyen: Man erkennt (zu) spät den Flop, will aber nicht wirklich zu den gemachten Fehlern stehen und beschließt daher, den Weg der passiven Sterbehilfe zu gehen, indem man das Projekt langsam durch Zeitablauf und Mittelentzug sterben lässt.

Ob es so kommen wird, bleibt abzuwarten. Letztlich werden die Elena-Gegner aber erst ruhen, wenn das Vorhaben offiziell tot und begraben ist.

Mit dem Browser auf Passwortfang

Oft fliegen einem die interessantesten Dinge einfach so zu: Beispielsweise Logins, Passwörter und Sitzungsdaten sozialer Netze, die in offenen WLAN-Netzen unverschlüsselt in die Luft geblasen werden. Darauf weisen Sicherheitsexperten schon seit Längerem hin und fordern von den Betreibern gängiger sozialer Netze, Shopping-Sites, dass diese ihren Datenverkehr verschlüsselt und über Zertifikate gesichert abwickeln, beispielsweise über SSL.

Allerdings wurde und wird diese Forderung nach wie vor ignoriert. Das brachte den Programmierer Eric Butler auf die Idee, mit dem Firefox-Plugin „Firesheep“ ein  Programm für den „Account-Diebstahl für Dummies“ zu entwickeln, dass die Brisanz des Themas steigern und den Druck auf die Diensteanbieter so erhöhen soll.

Zwar kann bereits seit langem jeder, der mit einem Snifferprogramm wie z.B. Wireshark in ein WLAN hineinhorcht, den dortigen Datenverkehr überwachen und Interessantes per Filterfunktion herausfischen. Aber das erfordert gewisse Kenntnisse über den Aufbau von Netzwerkprotokollen sowie eine Einarbeitung in die oftmals recht mächtigen aber auch unübersichtlichen Programme.

Butlers quelloffenes Firesheep betreibt HTTP-basiertes Session Hijacking, indem es in offenen WLANs nach Sitzungsdaten etlicher sozialer Netze wie etwa Twitter oder Facebook lauscht, diese bei ihrem Auftreten herausfischt und dem Browsernutzer in einer Sidebar anzeigt. Er kann daraufhin die Sitzungen auf Wunsch per Mausklick übernehmen und sich mit den Identitätsdaten des betreffenden Nutzers in dem sozialen Netzwerk bewegen.

Firesheep nutzt eine Lücke in der Datenübertragung zwischen Nutzer und Webdienst. Wenn man sich bei einem Dienst wie Twitter oder Facebook anmeldet, wird dem Nutzerrechner ein sogenannter Session-Cookie geschickt, der Sitzungs- und Statusdaten enthält. Der Erstkontakt ist bei den meisten Seiten durch Verschlüsselung geschützt, nicht jedoch die weitere Übertragung von Daten z.B. bei der Aktualisierung der Sitzung. Oftmals werden dabei Datenübertragungen zwar zunächst per verschlüsseltem HTTPS initiiert, dann aber über normales unverschlüsseltes HTTP  fortgesetzt. Der Nutzer wähnt sich sicher, während seine Daten im Klartext über die Leitung oder in den Äther gehen.

Firesheep sucht dazu diese unverschlüsselt übertragenen Session-Cookies und schickt eine eigene Anfrage an die betreffende Seite samt einer Kopie des Cookies – gaukelt dem Dienst also vor, der echte Nutzer zu sein.

Butler kündigte sein Tool erst im Oktober 2010 auf der Hacker- und Security-Konferenz „ToorCon“ in San Diego an, auf der er dazu einen Vortrag hielt, den er treffenderweise „Hey Web 2.0: Fang an, die Daten der Nutzer zu schützen, statt dies nur zu behaupten“ betitelte. Ganz klar – hier sollte mal wieder der oftmals etwas trägen und behäbigen Unternehmenswelt eine mitgegeben werden. Was aber heute – leider – ebenso nötig erscheint, wie in den 80ern des letzten Jahrhunderts als die Hacker des Chaos Computer Clubs zeigten, wie man mit Hilfe BTX-basierter „Mehrwertdienste“ eine Bank ausnimmt (Youtube-Video Heute-Journal).

Firesheep wirft zudem eine spezifische-deutsche Frage auf: Handelt es sich dabei um ein Hackertool i.S.d. § 202 c StGB (der sog. „Hackerparagraph“)? Dafür würde sprechen, dass die zugrundeliegende Methode des automatisierte Session Hijacking wohl recht eindeutig den Angriffsformen auf IT-Systeme zugerechnet werden kann. Dagegen spricht, dass Firesheep ausschließlich auf Informationen zurückgreift, die über unverschlüsselte offene WLAN-Netze verbreitet werden und daher quasi-öffentlich verfügbar sind.

Zwar arbeiten Firmen wie z.B. Zscaler an Gegenmaßnahmen, um im Einsatz befindliche Firesheeps in WLAN-Netzen durch Rückmeldungen auf manipulierte Session-Cookies zu identifizieren. Aber das zugrunde liegende Problem der ganz oder teilweise unverschlüsselt übertragenen Identitätsinformationen für Internetdienste wird uns wohl noch einige Zeit erhalten bleiben.

Macht Ver.di gemeinsame Sache mit der Verwerterlobby?

Man stelle sich folgendes Szenario vor: Ein hochrangiger Ver.di-Vorstand und der Präsident eines Arbeitgeberverbands treten händeschüttelnd und schulterklopfend vor die Presse um den Abschluss eine Lohnsenkungstarifvertrags in ihrem Zuständigkeitsbereich bekanntzugeben – Unvorstellbar?

Oder das hier: Ver.di und die NPD gehen eine politische Kooperation ein und besiegeln dies durch die Bekanntgabe einer Kampagne „Sozialstaat nur für Deutsche“ durch die Vorstandschaften beider Organisationen – Unmöglich?

Wenn Gewerkschaften und Wirtschaftsverbände zu einem Thema dieselbe Meinung vertreten, bedeutet das meist nichts Gutes für deren Mitglieder. Treten Gewerkschaftsführer und Arbeitgeberpräsidenten gar zusammen vor die Presse und grinsen fröhlich in die Kameras, so hat sehr wahrscheinlich eine größere Ferkelei im Hinterzimmer am grünen Tisch das Licht der Welt erblickt.

Eine solche Sauerei dürfte das kürzlich bekanntgegebene Ver.di-Positionspapier „Internet und Digitalisierung – Herausforderungen für die Zukunft des Urheberrechts“ sein, in der die Gewerkschaft zahlreiche Positionen der Verwerterlobby relativ unkritisch übernommen hat.

Verdi fordert in dem Positionspapier, Internetnutzer per „Warnhinweis“ davon abzuhalten, Urheberrechte zu verletzen sowie ein Bußgeld zu verhängen, sollten sie es trotzdem tun. Dazu müsste die Internetnutzung aller Bürger technisch überwacht werden. Internetzensur, Vorratsdatenspeicherung, Jugendschutz auch für Erwachsene, ACTA, Indect … war da was?

Der Gewerkschaft zufolge, entspricht es „einem breiten gesellschaftlichen Konsens und dem Selbstverständnis der Gewerkschaft, dass Rechtsverstöße […] wo immer sie geschehen, zu unterbinden und erforderlichenfalls zu ahnden” wären. Die bereits seit Jahren andauernden heftigen Debatten um längst überfällige Reformen des Immaterialgüterrechts sind an den Ver.di-Funktionären wohl komplett vorbeigegangen. Und das obwohl gewerkschaftsintern bereits seit Längerem ebenfalls recht heftig über dieses Thema diskutiert wird. Kein Wunder, denn bei etwa zweieinhalb Millionen Mitgliedern ist bestimmt auch der eine oder andere dabei, der durch Abmahnbetrug, Rechte-Wirrwarr oder Patentmissbrauch beruflich oder privat bereits geschädigt wurde.

Inhaltlicher „Urheber“ des Pamphlets dürfte der Fachbereich 8 Medien, Kunst, Industrie der Gewerkschaft sein, der bereits in der Vergangenheit (zumindest intern sowie im Gewerkschaftsmagazin „M – Menschen machen Medien“) durch eine recht unkritische Haltung dem Immaterialgüterrecht und der Verwerterlobby gegenüber auffiel.

Dabei gäbe es in dem Papier durchaus auch vernünftige Überlegungen, wie z.B. die Beschränkung der Möglichkeit sog. „Total-Buy-Out“-Verträge mit denen Verlage und Contentverwerter Autoren für ein Taschengeld die gesamten Rechte an einem Immaterialprodukt abnehmen. Jedoch haben gerade die neuen Nutzungs- und Distributionswege im Internet erheblich dazu beigetragen, die Macht der Verlage und Verwerter beträchtlich zu schwächen sowie die Publikationsmöglichkeiten zu demokratisieren. Das wird in dem Ver.di-Papier weitgehend negiert.

So werden z.B. Tauschbörsen und P2P-Netze verunglimpft und Phrasen der Verwerterlobby („Alles-Umsonst-Mentalität“) unreflektiert wiedergegeben, obwohl es gerade die P2P-Technologie war, die es auch kleinen Kreativen ohne Verlagsunterstützung und Label-Promotion ermöglicht audiovisuelle Inhalte schnell und billig zu verteilen, um sich so z.B. einen Nahmen aufzubauen, den man oft haben muss, bevor Geld für die kommerzielle Verwertung z.B. von Songs fließen kann.

Umgekehrt haben sich zahlreiche alte Geschäftsmodelle vor dem Hintergrund neuer Technologien und sozialer Entwicklungen überlebt und ein Festhalten daran wäre ein sicherer Weg in die Insolvenz. Strukturwandel gibt es nicht nur im Bergbau oder der Montanindustrie sondern auch und gerade im Geschäft mit Immaterialgütern.

Die inzwischen wirklich deutlich sichtbaren Kollateralschäden eines völlig verkorksten Immaterialgüterrecht wie z.B. Abmahnbetrug, Forderungen nach Zensurinfrastrukturen („Internet-Stoppschilder“), Internetfilterung, scharfer Providerhaftung und Vorratsdatenspeicherung werden von Ver.di in dem Positionspapier zwar bedauert aber nicht angemessen kritisch gewürdigt. Zum Teil macht sich die Gewerkschaft derlei Forderungen sogar selbst zu Eigen – hallo geht’s denn noch!

Es wird sich sogar dazu verstiegen eine „Solidargemeinschaft der Urheber“ herbeizudelirieren, deren konkrete Repräsentation die Verwertungsgesellschaften sind. Anderseits lehnt Ver.-di die Idee der Kulturflatrate ab, mit der eine neue Art von Verwertungs- und Verteilungsorganisation tatsächlich und aufwandsarm Kreative ein auskömmliches Einkommen bescheren könnte – so diese bereits wären, ihre Inhalte weitgehend freizugeben, so dass eine Pauschalvergütung tatsächlich Sinn machen würde.

Ein lichter Moment wiederum erscheint in dem Papier auf Seite 5 wo die Verfasser immerhin anerkennen, dass DRM und andere Nutzungsbeschränkungstechnologien gescheitert sind, weil sie entweder umgangen werden oder weil niemand bereit ist, für solchermaßen unbrauchbar gemachte Produkte Geld zu bezahlen. Doch die als Kern des Dokuments formulierten Leitgedanken von Ver.di zur Zukunft des Urheberrechts lassen für mich nur den Schluss zu, dass die Verfasser sich irgendwann kurz vor oder nach der Jahrtausendwende inhaltlich aus der Diskussion um Reformen im Immaterialgüterrecht verabschiedet haben. Was es Verwerterlobbyisten natürlich umso leichter machen würde, auf die Unterstützung einer großen Gewerkschaft mit etwa zweieinhalb Millionen Mitgliedern verweisen zu können, indem sie einem kleinen Fachbereich ein Positionspapier vermitteln, dass der Vorstand dann mangels einschlägiger inhaltlicher Kompetenz und aufgrund ansprechend- unklarem Gewerkschaftslingo wohl einfach abnickt.

Ver.di hat sich mit der Publikation dieses Positionspapiers eindeutig pro Internetüberwachung, pro Vorratsdatenspeicherung, pro rechtlicher Manipulation und Repression gegenüber Access-Providern und pro Abmahnbetrug positioniert.

Dies scheinen auch etliche der Gewerkschaftsmitglieder so zu sehen, da innerhalb des Mitgliedernetzes der Gewerkschaft aber auch öffentlich z.B. auf Netzpolitik.org entsprechend heftig und kritisch über dieses Paper diskutiert und kommentiert wird.

Ein Weg um als Ver.di-Mitglied seinen Unmut über diesen tiefen Griff in die sanitären Anlagen zu zeigen, könnte das Verfassen eines entsprechenden Beschwerdebriefes an den Ver.di-Bundesvorstand sein. Seine Adresse:

ver.di – Vereinte Dienstleistungsgewerkschaft
Bundesvorstand
Paula-Thiede-Ufer 10
10179 Berlin
info@verdi.de

Zusätzlich sollte man Beschwerdemails an den lokalen Ver.di-Bezirk richten. Schon der dadurch entstehende Aufwand sollte gewerkschaftsintern klarmachen, dass hier was grob schiefgelaufen ist und der Korrektur bedarf. Und dass es bessere qualitätssichernde Steuerungsmechanismen geben muss, um solche Fehler künftig zu vermeiden.