Buchrezension: Web-Sicherheit – Wie Sie Ihre Anwendungen sicher vor Angriffen schützen

Dieses von Sebastian Kübeck verfasste Buch aus dem mitp-Verlag befasst sich mit den Methoden sicherer Softwareentwicklung speziell für webbasierte Anwendungen. Die zugrunde liegenden Überlegungen  sind aber größtenteils auch auf andere Bereiche der Softwareentwicklung übertragbar. Das Buch richtet sich an Softwareentwickler, die sich noch nicht intensiver mit Informationssicherheit und dem Schreiben sicheren Codes befasst haben. Und die somit einen Einstieg in die Themen Informationssicherheit sowie Methoden sicherer Webentwicklung suchen. Aber auch Administratoren webbasierter Systeme können davon profitieren.

Das Buchh ist in drei Teile gegliedert. Im ersten Teil werden nach einer kurzen Einführung in die Geschichte der Informationssicherheit Grundkonzepte der IT-Sicherheit speziell aus der Sicht des Softwareentwicklers erläutert. Dazu zählen Dinge wie die Prinzipien sicherer Softwareentwicklung, Authentisierungsverfahren oder sichere Datenübermittlung durch den Einsatz kryptografischer Verfahren.

Teil zwei befasst sich mit häufig auftretenden Schwachstellen in Softwareprodukten sowie Wegen zu deren Vermeidung. Dazu zählen Filterung und Aufbereitung nahezu jeder Form von Eingabe durch Anwender, um z.B. Code-Injection- und Scripting-Angriffen vorzubeugen. Oder die Vermeidung von Webserver-Konfigurationen durch die Teile der Systemkonfiguration per Suchmaschine erfassbar (Google Hacking) oder durch manuelles Suchen (Path Traversal) erreichbar werden.

Oftmals beginnen Probleme mit der Applikationssicherheit jedoch bereits bei der Verwendung von altbewährten und weit verbreiteten Bibliotheksfunktionen gerade der C-Sprachen, welche direkte Speicherzugriffe ermöglichen und die aufgrund von Implementationsfehlern zu Sicherheitsproblemen wie Pufferüberläufen, Code Injection-Schwachstellen u.ä. führen und daher nicht mehr verwendet werden sollten.

Webanwendungen können auch anfällig für DDOS-Attacken werden, wenn sich in ihnen Code aufspüren lässt, der zu Speicherlecks, Endlosschleifen, Rekursionen mit fehlerhafter Abbruchbedingung führt oder der Wartezeiten auf (schwächere) nachgelagerte Systeme wie z.B. entfernte Datenbanken generiert.

Schließlich gibt Teil drei konkrete Tipps und Hinweise wie man durch qualitätssichernde Maßnahmen wie Pen-Tests, Code Reviews, Softwaretests sowie der Berücksichtigung von Prinzipien sicherer Entwicklung von Webapplikationen seine Software sicherer macht. Hier wird z.B. auch auf (meist quelloffene) Testing-Tools wie Schwachstellen-Scanner, Mustersucher für die Quellcodeanalyse oder Tools zur Testautomation eingegangen.

Stets werden die Erläuterungen im Buch von entsprechenden Codebeispielen (meist in Java oder Javascript sowie in SQL für Datenbankzugriffe) begleitet, in denen die problematischen Stellen nachvollziehbar erläutert werden.

Alles in allem ein  sehr lesenswertes Buch speziell für Softwareentwickler aber auch für generell am Thema sicherer Software interessierter IT-Fachleute. Wobei das Thema Entwicklung sicherer webbasierter Anwendungen gerade im Zeitalter von Cloud Computing und mobiler Apps drastisch an Bedeutung gewinnen dürfte.

Kommt jetzt das Ende des Internetsperrengesetzes?

Gut gemeint ist im Ergebnis oftmals das Gegenteil von gut gemacht. Das musste auch die CDU und speziell deren ehemalige Bundesfamilienministerin „Zensursula“ von der Leyen erfahren. Diese wollte sich 2009 im Zuge des anstehenden Wahlkampfes mit einem Gesetz zur Bekämpfung der Kinderpornografie hervortun, ignorierte dabei aber jede Form von fachlichen Erkenntnissen hierzu und war sich sogar nicht zu schade, in der laufenden politischen Diskussion falsche Behauptungen und manipulierte oder bewusst falsch interpretierte Statistiken zu verbreiten.

Letztlich war der politische Druck so groß, dass die Regierung das Gesetz zwar in Kraft setzte, aber auf dessen Vollzug verzichtete. An sich ein sehr merkwürdiges Verfahren, da geltendes Recht nicht einfach per Verfügung außer Kraft gesetzt werden kann. Will man ein Gesetz nicht mehr, so muss man es auf dem gleichen Weg wieder abschaffen, auf dem man es in die Welt gesetzt hat: per Parlamentsbeschluss im Bundestag.

Das zumindest hat die Regierung vorgestern im Kabinett beschlossen. Das „Zensursula“-Gesetz ist damit möglicherweise bald Geschichte.

Ausschlaggebend war die an sich banale Erkenntnis, dass es effektiver ist, Kinderpornografie zu löschen anstatt nur den Zugriff darauf mit z.T. leicht zu umgehenden Filtern zu erschweren. Zumal sich die meisten Internet-Provider kooperativ zeigten und gemeldete Funde zügig von ihren Servern putzten. Schließlich ist Kinderpornografie fast weltweit illegal und daher leicht in den jeweils verwendeten vertraglichen Vereinbarungen mit Kunden so einzuordnen, dass die Provider sie ohne Bedenken hinsichtlich zu erwartender Klagen der Kunden löschen können.

Zumal etwa 80% der weltweit verbreiteten Kinderpornografie gar nicht über öffentlich zugängliche Websites angeboten wird. Stattdessen werden geschlossene Benutzergruppen, Chatrooms, Tauschbörsen und andere Formen des klandestinen Datenaustauschs genutzt, die einen hohen Grad an Anonymität gewährleisten und die mit einfachen Filtersystemen so gut wie gar nicht zu beeinträchtigen sind. Da ist schlicht gute alte Polizeiarbeit gefragt: fahnden, forschen, ermitteln, festnehmen, anklagen. Und inzwischen lese ich ja auch alle paar Monate, dass Polizeiermittler den einen oder anderen Kinderpornoring ausheben. Das sind dann auch größere Schläge gegen die „Szene“, die es ermöglichen Täter realweltlich zur Verantwortung zu ziehen und Bestände an kinderpornografischem Material endgültig zu vernichten (einschließlich aller Sicherheitskopien). Das ist allerdings auch eher unpopulär, unspektakulär und ungeeignet zur politischen Profilierung.

Andererseits ist der Regierung nahezu alles zuzutrauen. Gut möglich, dass das Thema Internetzensur über den Umweg EU wieder in den politischen Prozess eingebracht wird. Das geschah bereits in der Vergangenheit öfter, wenn es darum ging unpopulären Vorhaben den Weg zu ebnen, für die man auf demokratischem Wege keine Mehrheiten bekam oder für die niemand persönlich geradestehen wollte. Aktuelle Beispiele dafür sind die Ergebnisse der ACTA-Verhandlungen oder die „Censilia“-Debatte.

Und auch Bundesinnenminister Friedrich (CDU) dürfte aufgemerkt haben. Will er doch unter dem euphemistisch gewählten Begriff der „Mindestspeicherfrist“ die vom Bundesverfassungsgericht verworfene Vorratsdatenspeicherung wieder einführen. Da es ihm hierfür aber an Sachargumenten mangelt, fallen die entsprechenden Verlautbarungen regelmäßig eher pöbelnd und klagend aus.

Auch im Rest der CDU werden zunehmend Forderungen nach der Verlängerung und Verschärfung bürgerfeindlicher sog. „Antiterrorgesetze“ laut. Mit der Orientierung an der freiheitlich-demokratischen Grundordnung nehmen es solche Politiker meist nicht ernster als Teile der NPD (die wenigstens offen zu ihrer Kritik an der FDGO stehen).

Zumindest eine Erkenntnis ist bei eigentlich allen Parteien inzwischen angekommen: Netzpolitische Themen sind heikel und können nicht mehr einfach weggedrückt werden. Sie zu ignorieren kostet die etablierten Parteien bei Wahlen inzwischen regelmäßig die letzten paar Prozentpunkte, die für eine auskömmliche Positionierung bei Koalitionsverhandlungen benötigt werden. Und kleine, rein klientelistisch orientierte Parteien wie die FDP drohen gar ganz in der Versenkung zu verschwinden. Obwohl wir den Fall des Zensursula-Gesetztes mit Sabine Leutheusser-Schnarrenberger einer bürgerrechtlich profilierten FDP-Politikerin zu verdanken haben.

So gesehen haben z.B. die Piraten schon jetzt einen beträchtlichen Einfluss auf die Gestaltung der politischen Landschaft in Deutschland. Obwohl sie noch weit davon entfernt sind, eigene Abgeordnete in den Bundestag oder in Länderparlamente entsenden zu können.