Backtrack 4 – Das Hacker-Linux auf der Heise-CD

Vor einigen Tagen erschien das diesjährige ct-Sonderheft Security. Es bietet ein sattes Paket an Informationen, Anwendungen und Hilfestellungen zum Thema IT-Sicherheit. Thematisiert werden u.a. der Kampf gegen Viren, bedrohte Privatsphäre, Verschlüsselung, sicheres Surfen, gefahrloses Online-Banking und die Suche nach Schwachstellen in der IT-Infrastruktur.

Für letzteres liegt eine DVD bei, die unter anderem eine bootbare Version von Backtrack 4 enthält.  Dabei handelt es sich um das BackTrack 4 Pre Final Kernel Update, das auf remote-exploit schon seit einiger Zeit als Pre Release in der Fassung pwnsauce Pentesting and Auditing Verrszum Download bereitsteht. Technisch steckt ein Ubuntu-8.10-Linux als Basis dahinter. Enthalten sind etwa 300 Tools für Sicherheitsexperten und Datenforscher. Sie sind im Backtrack-System als Menüstruktur angelegt, die sich am Arbeitsablauf eines IT-Sicherheitsexperten orientiert.

Die zahlreichen Werkzeuge erfordern zum Teil profundes Security-Fachwissen, so dass ich mich in manches erst einarbeiten muss. Dafür aber ist die bootbare CD (oder ein aus dem Internet gezogenes ISO-Image) bestens geeignet. Man kann mit dem System herumexperimentieren ohne eine bestehende Systeminstallation zu gefährden. Faszinierend, dass eine so umfangreiche und mächtige Werkzeugsammlung legal kostenlos zu haben ist.

Ein entsprechend angepasstes Repository an Software ermöglicht es, vorhandene Applikationen zu aktualisieren oder neue nachzuinstallieren. Freilich erst dann, wenn man das System tatsächlich auf einem Rechner installiert.

Warum hat eigentlich noch niemand ein Backtrack-Buch geschrieben? Wo doch sonst jede Linux-Distribution mit (mindestens) einem eigenen Fachbuch bedacht wird.

Angriffsziel Auto – wie sich Fahrzeuge hacken lassen

Autos werden bereits seit Jahren informationstechnisch immer weiter getunt. Elektronische Stabilitätsprogramme (ESP), Drive-by-Wire, Chip-Tuning – das Auto wird zu einem fahrenden Computer mit diversen Schnittstellen zur Außenwelt. In jedem Mittelklasse-PKW steckt bereits ein kleineres Netzwerk, bestehend aus mehreren Embedded Systems zur Steuerung diverser Fahrzeugfunktionen, verbunden durch ein genormtes Bussystem (das Control Area Network, auch CAN-Bus genannt).

Zudem sollen Fahrzeuge bald auch untereinander und mit ihrer  Umgebung telematische Daten austauschen, um so z.B. ortsbasierte Dienste wie Staualarm, Navigation unter Einbeziehung der Verkehrslage oder Bestimmung der optimalen Geschwindigkeit für flüssiges Vorankommen zu ermöglichen.

Das aber lässt Hacker und IT-Sicherheitsspezialisten aufhorchen. Denn alles, was programmgesteuert rechnet und kommuniziert, kann auch gehackt werden.

Das beginnt bei nachgemachten Datenfunkgeräten, um Wegfahrsperren ausschalten oder verschlossene Fahrzeuge per Knopfdruck öffnen und starten zu können. Es geht weiter beim Zugriff per Laptop auf das Bordnetz eines Autos, um z.B. elektronisch gespeicherte Servicedaten und Funktionsparameter zu verändern oder veränderte Steuersoftware einzuspielen.

Sicherheitsexperte Marko Wolf hierzu in einem Heise-Interview:

Was bereits massenhaft gemacht wird, ist Chip-Tuning, wodurch andere Parameter eingestellt werden, um mehr PS zu bekommen und etwa die Abgasreinigung zu deaktivieren, weil die eben Leistung kostet. Wenn das schief geht, spielen viele dieser Nutzer die ursprüngliche Version wieder auf und sagen zum Hersteller: „Mein Motor ist schon nach 40.000 Kilometern kaputt gegangen, das ist ein Garantiefall!“ Ziemlich oft wird der Kilometerstand manipuliert, entweder nach unten, um den Wagen dann teurer verkaufen zu können, oder nach oben, um die Steuer zu betrügen.

So hatten Hacker auf der kanadischen Sicherheitskonferenz „CanSecWest“ bereits 2007 gezeigt, wie leicht Autofahrer über Navigationssysteme mit Meldungen über angebliche Unfälle oder Baustellen in die Irre geleitet werden können. Dazu nutzten sie Schwächen im Traffic Message Channel (TMC) aus, mit dem sich per Funk Telematikinformationen verbreiten lassen, die im Auto verarbeitet werden.

Diagnosesysteme zum Auslesen von KFZ-Systemdaten, zum Verändern von Parametern oder zum Neueinspiele modifizierter Steuersoftware kann man heute problemlos kaufen. Hilfe bei deren Nutzung bieten Autobastler-Foren und Tuning-Comunities.

Daher gewinnt das Thema IT-Sicherheit auch für die Bordnetze von Fahrzeugen zunehmend an Bedeutung. Denn wo andere IT-Systeme Sicherheitslücke haben, gibt es im Auto bislang noch so gut wie gar keine Sicherheitsarchitekturen in der KFZ-IT.

Typische Sicherheitsziele dafür formuliert Wolf in einem Arbeitspapier  (PDF, 380 Kb):

•    Schutz gegen unautorisierte Manipulationen durch externe und interne Angreifer.

•    Erhöhung der Fahr- und Betriebssicherheit sowie der Zuverlässigkeit von Fahrzeugen.

•    Sicherstellung der Vertrauenswürdigkeit und Vertraulichkeit im Umgang mit Fahrzeugdaten.

•    Schutz vor unberechtigten Forderungen im Rahmen der Produkthaftung und Gewährleistung.

•    Schutz vor Produktfälschungen und Sicherung von gewerblichen Schutz- und Urheberrechten.

•    Schutz vor unberechtigten Eingriffen an Anwendungen, Daten und Geschäftsmodellen von Herstellern, Zulieferern, Gesetzgeber, Behörden und Drittanbietern.

Wichtige Bereiche sind dabei die Absicherung der Steuergeräte-Software, die Verschlüsselung von Fahrzeug-Speichern sowie die Absicherung der Kommunikation innerhalb und außerhalb des Fahrzeugs.

Ein großes Problem hierbei sind derzeit die geschlossenen proprietären Systemarchitekturen der Autohersteller. Über deren Reifegrad und Eigenschaften lässt sich mangels offener Quellen und freier Plattformen nur das sagen, was die Autobauer selbst bekanntgeben. Oder was Dritte durch Reverse Engineering herausgefunden haben. Andererseits könnte genau das eine Herausforderung für die Homebrew-Bewegung unter den Hackern und Entwicklern werden.

So forderte die Technology Review bereits 2005 in einem Artikel „Plug’n Drive“ (PDF, 840 Kb) offene Standards für automobile Informationsysteme.

Daran wird sich leider mittelfristig auch wenig ändern, da die Hersteller ihre KFZ-Informationstechnik als wettbewerbsrelevant ansehen und lieber bei jeder Modellreihe erneut das Rad neu erfinden anstatt standardisierte Softwaresysteme zur Steuerung ebenso standardisierter Hardwarekomponenten zu verwenden.

Wahrscheinlich werden daher Transparenz- und Compliance-Auflagen deutlich nachgeschärft werden müssen, um Willkür und Wildwuchs in den Bordcomputern der Autos einzudämmen.

Bundesverfassungsgericht erklärt Verfassungsbeschwerden gegen Hackerparagraphen für unzulässig

Der § 202c des Strafgesetzbuches, allgemein auch als „Hackerparagraph“ bezeichnet, war einmal mehr Gegenstand einer juristischen Entscheidung. Mehrere in der IT-Sicherheit beruflich Tätige hatten  Verfassungsbeschwerden eingelegt, weil sie sich durch die recht allgemein und weit auslegbar gefasste Rechtsnorm in ihrer Berufsfreiheit bedroht sahen.

Nun befand das Bundesverfassungsgericht diese Ansinnen allesamt für unzulässig und verwarf sie (Az: 2 BvR 2233/07, 1151/08 und 1524/08). Denn nach Ansicht der Richter in Karlsruhe gelten die Vorschriften des § 202c StGBs nur für Programme, die mit illegaler Absicht entwickelt wurden. Die bloße Eignung eines Programms zur Verwendung für einen Hackerangriff mache dessen Einsatz noch nicht strafbar. Die Richter begründeten dies damit, dass der Bundestag mit der Rechtsnorm ausdrücklich nur Software erfassen wollte, die für einen kriminellen Zweck hergestellt worden sind. Sogenannte „Dual Use“-Produkte, die im Dienste der Computersicherheit genutzt werden aber eben auch für Hackerangriffe taugen, sind laut Gericht nicht davon erfasst, weil sie einem legalen Zweck dienten. Zumindest aber fehle jedem Anwender, der solche Programme zu erlaubten Tätigkeiten nutze, der für eine Strafbarkeit notwendige Vorsatz.

Diese Klarstellung des BVerfG schränkt die Auslegungsmöglichkeiten des Paragraphs durch Instanzgerichte deutlich ein und reduziert nun die von Experten kritisierte Möglichkeit für Willkürentscheidungen. Somit war das Beschwerdeverfahren trotz seiner Ablehnung erfolgreich. Trägt es doch zur Klarstellung der Normanwendung in künftigen Rechtskonflikten zum Hackerparagraphen deutlich bei.

Gleichzeitig macht dies einmal mehr deutlich, wie wichtig durchdachte vertragliche Vereinbarungen und Protokolle der Leistungserbringung für kommerziell tätige Sicherheitsexperten sind, die IT-Systeme ihrer Kunden auf Sicherheitsprobleme hin testen. Aber auch festangestellte Administratoren und IT-Koordinatoren, die ihre Systeme mit Hackertools austesten, sollten hierfür auf klare Regelungen achten, da für sie im Falle von selbst verursachten Problemen die Regeln der Arbeitnehmerhaftung greifen. Das bedeutet konkret, dass sie im Falle des unbefugten oder ungeregelten Testens der Systeme ihres Arbeitgebers ohne dessen Zustimmung bei Schäden mit einer vollen Haftung wegen grober Fahrlässigkeit rechnen müssen.

Heise.de: Verfassungsbeschwerden gegen Hackerparagraphen unzulässig

Wie mit Wikipedia & co Passwörter geknackt werden

Der gutsortierte Werkzeugkasten jedes Hackers enthält auch Tools zum Wiederherstellen verlorener Passwörter, sog. Password-Cracker oder Password-Recovery-Tools. Besitzt der nach einem Passwort Suchende keine weiteren Informationen über dessen Aufbau so kann er aus verschlüsselten Passwörtern oder Hashes grundsätzlich auf zwei Wegen wieder die Originale zurückgewinnen: Per Brute-Force-Angriff oder mit Hilfe einer Wörterbuchattacke.

Beim Brute-Force-Angriff werden einfach alle möglichen Kombinationen als Passwortlängen und möglicher Zeichen ausprobiert, bis eines passt. Das kann u.U. sehr lange dauern, insbesondere wenn es um sehr lange Passwörter geht, denen ein großer Vorrat zulässiger Zeichen zugrunde liegt. Letztlich entscheiden verfügbare Rechenkapazitäten und die Zeiträume bis zum nächsten Passwortwechsel über die Erfolgschancen eines solchen Angriffs.

Dagegen werden bei einer Wörterbuchattacke die zu testenden Passwörter einer Wörterbuchdatei entnommen, oftmals einer Liste gern genutzer Begriffe wie Personen- und Städtenamen oder dem Abzug eines Lexikons. Selbst Millionen von Begriffen lassen sich mit Hilfe heutiger Rechner in überschaubarer Zeit durchtesten (s.a. Die Grafikkarte als Passwort-Cracker).  Wörterbuchangriffe sind demnach auch ein gutes Mittel um die Stärke der verwendeten Passwörter von Benutzeraccounts zu testen. Erzielen sie in einer zu testenden Gruppe von Zugängen mehrere Treffer, wäre über die Passwortrichtlinie (Aufbau und Mindestlänge der zulässigen Passwörter) erneut nachzudenken.

Sébastien Raveau, ein französischer Berater für Informationelle Kriegsführung weist in seinem Blog „Tricks of the Trade“ darauf hin, dass herkömmliche Wortlisten aus klassischen Wörterbüchern und Rechtschreibkorrekturprogrammen viele Alltagswörter, Namen und Begriffe nicht enthalten, die Menschen bei der Wahl von Kennwörtern in den Sinn kommen.

Cracking passwords with Wikipedia, Wiktionary, Wikibooks etc

Anwender wählen gern Begriffe aus ihrer unmittelbaren Umgebung, etwa Produktnamen, Orte oder den Namen eines häufiger genutzten Geschäfts, so der Experte. Allein in der Wikipedia findet man nahezu jedes denkbare Wort, so der Experte. Einige aus Wikipedia extrahierte Wortlisten in diversen Sprachen haben nach seinen Angaben bereits ausgereicht, um „unzählige Passwörter in Windeseile zu knacken, die mit Brute-Forcing nicht zu erreichen gewesen wären“.

Der gängige Tipp, keine Wörter zu verwenden, die etwa im Duden oder in Lexika auftauchen, sollte demnach in den Passwortrichtlinien von Unternehmen deutlich strikter gefasst werden.

So enthält die Wikipedia Umgangssprache, Verballhornungen, Fachterminologie, Produkt- und Firmennamen samt absichtlicher und unabsichtlicher Schreibfehler in Hülle und Fülle. Begriffe die man in dieser Aktualität in keinem gedruckten Lexikon findet. Sich für Passwörter allein auf natürliche Sprache zu verlassen, ist ohnehin eine schlechte Idee.

Raveau führt aber auch zahlreiche andere Wiki- und Web-2.0-basierte Dienste an, aus denen sich Listen für Wörterbuchattacken generieren lassen. Diese kann der Nutzer dann z.B. in frei erhältliche, quelloffene Passwort-Cracker-Tools wie John the Ripper o.ä. importieren und einsetzen.

Gute Kennwörter enthalten eine ausreichend lange Zufallskomponente kombiniert mit Zahlen, Groß- und Kleinschreibung sowie Sonderzeichen. Aufgrund ihrer schwereren Merkbarkeit führen sie aber leider auch oft zu neuen Sicherheitslücken, wie dem fast schon legendären Klebezettel unter der Tastatur.

Wirklich wichtige Informationen sollten daher stets auch mit anderen, nicht allein auf Passwörtern basierenden, Schutzmechanismen geschützt werden.

Hackerparagraph: Gericht stellt Verfahren gegen iX-Chefredakteur ein

Wie an dieser Stelle bereits berichtet, hat sich im Dezember letzten Jahres der Chefredakteur der Computerfachzeitschrift iX selbst wegen „Vorbereitung des Ausspähens und Abfangens von Daten“ angezeigt. Er wollte so einen Präzedenzfall schaffen, um so etwas Licht in die praktische Auslegung dieser fragwürdigen und sehr unklar gefassten Vorschrift durch die Strafverfolgungsbehörden zu bringen. Ausgangspunkt für diese Selbstanzeige war die Veröffentlichung von Sicherheitssoftware auf der beiliegenden DVD eines Sonderhefts der iX.

Jetzt wurde das Verfahren gegen ihn von der Staatsanwaltschaft Hannover aus „rechtlichen Gründen eingestellt (Az. 1111 Js 181/09). Die zuständige Oberstaatsanwältin beruft sich dabei unter anderem auf die amtliche Gesetzesbegründung. Folgt man dieser, so käme es bei solcher Software, die zwar der Abwehr fremder Angriffe dient, die aber gleichzeitig auch ohne jede Veränderung zu illegalen Zwecken genutzt werden kann, vor allem auf die subjektive Vorstellung des Handelnden an. Unter Strafe gestellt werden solle mit § 202c StGB die Vorbereitung einer anderen Tat, nämlich das rechtswidrige und unbefugte Ausspähen oder Abfangen von Daten. Eine solche Vorbereitungshandlung sei aber nicht anzunehmen, wenn für den Verbreiter der Software lediglich mit der Möglichkeit der illegalen Verwendung des Programms zu rechnen sei.

Die Verwendung solcher Gesetzesbegründungen durch die Rechtsprechung ist üblicherweise ein sicheres Zeichen dafür, dass auch die Richter nicht so recht wissen, was der Gesetzgeber eigentlich will. Dieses Problem versuchen sie dann durch Studium und Auslegung aller das Gesetz begleitenden Materialien zu lösen, um so dem mutmaßlichem Willen des Gesetzgebers möglichst nahe zu kommen. Insbesondere wenn es zu einem unklar formulierten Gesetz noch kaum Rechtsprechung anderer Gerichte gibt, gehen Juristen so vor.

Die von der iX vorgenommene Verteilung der Software per Heft-DVD hätte demnach zu dem Zweck stattgefunden, den Lesern so einen Schutz der eigenen Systeme und der Abwehr fremder Angriffe zu ermöglichen. Darin würde man keine Vorbereitungshandlung für eine Straftat im Sinne des § 202c StGB sehen.

Bei der Stellungnahme der Staatsanwaltschaft Hannover handelt es sich um eine der ersten Äußerungen einer Strafverfolgungsbehörde zu der Anwendung des „Hackerparagraphen“. Sie dürfte damit in künftige Kommentierungen zum IT-Recht mit eingehen. Obwohl sie für andere Gerichte oder Staatsanwälte nicht bindend ist, dürfte die Stellungnahme der Hannoveraner Staatsanwaltschaft zumindest für die Verbreiter von Sicherheitssoftware nützlich sein. Insoweit könnte es für zukünftige Verfahren ausschlaggebend sein, ob Software-Verbreiter konkrete Kenntnis von einem Missbrauch der vertriebenen Sicherheitssoftware haben.

Gleichzeitig zeigt die Begründung jedoch auch die bislang kritisierte Rechtsunsicherheit bei der Anwendung des § 202c StGB auf: Bei der Verbreitung und Nutzung von „dual use Software“, d.h. von Programmen die zu verschiedenen Zwecken genutzt werden können, kommt es entscheidend auf die subjektive Vorstellung des Handelnden an. Diese ist aber stets interpretationsbedürftig und lässt einen weiten Spielraum für die Auslegung durch Gerichte und Strafverfolgungsbehörden offen.

Kurz: So unklar wie der Paragraph selbst ist, so wirr und diffus ist auch seine Auslegung durch die Justiz. Es greift die alte Programmierer-Regel von Eingabe und Ausgabe: „Bullshit in – Bullshit out“.

Heise.de: Hacker-Paragraf – Verfahren gegen iX-Chefredakteur eingestellt

Die Grafikkarte als Passwort-Cracker

Jeder Passwortschutz lässt sich grundsätzlich dadurch überwinden, dass man alle zulässigen Zeichenkombinationen für das Passwort nacheinander ausprobiert, bis das richtige gefunden ist (Brute-Force-Angriff). Ist das Passwort allerdings lang und sind als Zeichen neben Groß- und Kleinbuchstaben auch Zahlen und Sonderzeichen zulässig, kann das dauern, weil grundsätzlich Millionen oder gar Milliarden Kombinationen möglich sind.

Anmeldepasswörter zur Authentifizierung werden heute meist mit Hilfe von Einwegfunktionen in Hashwerte umgewandelt. Auch wenn jemand den Hashwert kennt, müsste er daraus erst mit Hilfe verschiedener Methoden, wie z.B. dem erwähnten Brute-Force-Angriff versuchen, das gewünschte Passwort im Klartext wiederherzustellen, bevor er es nutzen kann.

Auch hier taucht wieder das Problem auf, dass sehr viel berechnet und getestet werden muss, bevor ein Ergebnis vorliegt. Das machte „starke Passwörter“ relativ sicher, da nur wenige ein Rechenzentrum verfügbar haben, um damit eine Nutzerkennung anzugreifen.

Das hat sich mittlerweile durch leistungsstarke Grafikkarten mit zahlreichen parallel rechnenden Grafikprozessoren (GPUs) darauf geändert. Während selbst gut ausgestattete Rechner aktuell „nur“ über 4 oder 8 parallel rechnende Prozessorkerne verfügen, bringt eine Grafikkarte für ca. 200 – 300 € gleich mehrere Hundert davon mit. Frei programmierbar, d.h. die GPUs können nicht nur realistische 3D-Grafiken für Spiele berechnen, sondern eigentlich alles, was man ihnen programmtechnisch abfordert. Also auch Passwort-Hashes. Und sie ermöglichen es damit, auf gängiger Standard-Hardware aus dem Supermarkt für nicht mal 1.000 € Gesamtkosten Rechenleistungen gegen Passwörter einzusetzen, die bis vor kurzem nicht allgemein verfügbar war.

So ließ die ct’ in ihrer aktuellen Ausgabe 6/2009 einen 24-kerbingen Windows-Server (Wert des Systems: ca. 30.000 €) gegen einen Kaufhaus-Gamer-PC mit Dualcore-Prozessor und sportlicher Grafikkarte (Wert des Systems: ca. 800 €) in der Disziplin „Hashes berechnen mit BarsWF“ antreten. Das Ergebnis in Kürze: Pro Kern berechnet der 24-Kern-Server knapp 50 Millionen Hashes / Sek. und kam auf eine Gesamtleistung von etwa 1,2 Mrd. Hashes / Sek.

Das Gamer-System lieferte in der gleichen Zeit etwa 0,9 Mrd. Hashes, wovon gut zwei Drittel von der Grafikkarte beigetragen wurden. Und das für ein Zwanzigstel des Preises des Servers. Noch dazu ist es grundsätzlich möglich, mehrere solche Systeme parallel rechnen zu lassen und die Suche nach dem richtigen Hash so weiter zu beschleunigen.

Dieser Fortschritt in der GPU-Technik ermöglicht es einzelnen PC-Benutzern nicht nur immer anspruchsvoller visualisierte Spiele zu spielen sondern auch komplexe parallel-rechnende Spezialprogramme am Home-PC einzusetzen. Oder eben auch Milliarden von Passwörtern durchzuprobieren.

s.a. Faster Password Recovery with modern GPUs (Vortrag von Andrey Belenko, ElcomSoft, PDF, 750 KB auf der Troopers 08 in München)

Gerade für Firmen bedeutet das Wissen um diese Weiterentwicklung der Technik (Verfügbarkeit massiv-parallel rechnender Systeme für die breite Masse), dass Passwort-Richtlinien entsprechend überarbeitet werden müssen. Mindestlänge und geforderte Zeichenvielfalt wären heraufzusetzen. Während z.B. ein sechsstelliges Passwort, bestehend aus Groß- und Kleinbuchstaben schon in Minutenschnelle gecrackt ist, muss für ein achtstelliges immer noch Wochen und für ein elfstelliges sogar Jahrhunderte gerechnet werden. Das schließt zumindest Brute-Force-Attacken relativ sicher aus.

Desweiteren muss mit zunehmender Dringlichkeit darüber nachgedacht werden, wo man die doch unsichere Passwortmethode durch zusätzliche oder andere Technologie ersetzen kann. Themen wie biometrische Zugangssysteme, Tokens statt Passwörter oder ähnliches kämen dann wieder auf die Tagesordnung.

Standardisierung in der IT als Sicherheitsrisiko?

In Zeiten der Wirtschaftskrise übernehmen wieder Sparkommissare und Kostenkiller das Denken in vielen Firmen. Für IT-Budgets bedeutet das oft deren Kürzung durch Zusammenstreichen. Ein klassischer Weg zur Senkung von IT-Kosten besteht dabei in der Verschlankung von Prozessen und Standardisierung von Technologien und Plattformen. Das hat zur Folge, dass man für ähnliche Probleme in fast allen Unternehmen früher oder später ähnliche Lösungsansätze basierend auf ähnlichen oder gar gleichen Technologien, Plattformen und Produkten vorfindet („Best-Practices-Ansatz“).

So bilden sich allmählich Monokulturen heraus. Für Eindringlinge in Firmennetze ist das von großem Vorteil. Sie finden sich überall schnell zurecht, werden selten mit völlig unbekannten IT-Systemen konfrontiert und können sich über ähnliche oder gar gleiche Schwachstellen, zum Teil sogar automatisiert per Hackertool Zugang verschaffen.

Einen ganz anderen Weg schlug vielerorts in Deutschland der öffentliche Dienst ein. Die Aufgaben von Kommunalverwaltungen, Finanzämtern und Sozialbehörden unterscheiden sich inhaltlich so deutlich von denen eines Unternehmens, dass die Verwaltungen dafür lange Zeit kaum brauchbare Lösungen am Markt vorfanden. Auch ist ihr Tätigkeitsbereich viel mehr von hoher Regulierungsdichte geprägt, als der der freien Wirtschaft. Insbesondere Software musste von den Behörden daher selbst oder im Wege der Auftragsvergabe speziell entwickelt werden. Inzwischen tauschen sich die regional oder auf Landesebene organisierten Verwaltungen in übergreifenden Fachgremien bzgl. der Weiterentwicklung ihrer Programme untereinander aus oder übernehmen ausgereifte Lösungen, die anderen Orts entwickelt wurden.

Diese Praxis führte zu einem immer stärkeren Auseinanderlaufen der Beschaffenheit von IT-Infrastrukturen des öffentlichen Dienstes und der Privatwirtschaft. E-Government-Projekte der Regierungen hatten so auch oft mit Schnittstellenproblemen zwischen Systemen der Verwaltung und Wirtschaft zu kämpfen.

Dies hat allerdings auch unbestreitbare Vorteile. So sitzen z.B. deutsche Finanzämter auf der wohl größten Vorratsdatenspeicherung der Bundesrepublik. Steuerliche Angelegenheiten müssen aus rechtlichen Gründen auch Jahre und Jahrzehnte später noch nachvollziehbar sein. Sie bestehen aus einer Vielzahl von vernetzten Einzelinformationen zu fast jedem Bewohner Deutschlands. Und gerade in den letzten Jahren wurden die steuerlichen Informations- und Dokumentationspflichten massiv ausgebaut (meist im Wege von Änderungen der Abgabenordnung oder des Einkommensteuergesetzes). Steuerfachleute behaupten etwa 70% aller steuerrechtlichen Fachliteratur dieses Planeten beträfen Fragen des deutschen Steuerrechts.

Da wäre der Abzug einer Finanzamtsdatenbank bestimmt ein lohnendes Objekt. Wurden letztes Jahr doch bereits für ein paar DVDs mit Liechtensteiner Bankdaten mehrere Millionen Euro bezahlt.

Ganz abgesehen davon, dass Finanzämter zu deutlich höheren Schutz- und Sicherheitsvorkehrungen verpflichtet sind als andere Teile der staatlichen Verwaltung, wurde die letzten Jahre eigentlich nie ein Datenskandal im Zusammenhang mit vom Fiskus geklauten Steuerdaten bekannt. Bei der dezentral-föderalen Struktur der Fiskalverwaltung dürfte er wohl kaum längerfristig geheimzuhalten sein, weshalb Verschleierung mit hoher Wahrscheinlichkeit ausscheidet. Auch andere Teile des öffentlichen Dienstes wurden in der Vergangenheit vor allem dann als Datenschleudern bekannt, wenn dort geschlampt wurde oder wenn falsch konfigurierte Kaufprodukte eingesetzt wurden (s.a. Report München deckt auf: Sicherheitsleck im Einwohnermeldeamt)

Stattdessen scheint der öffentliche Dienst datenschutztechnisch zunehmend davon zu profitieren, dass seine IT-Strukturen und Abläufe sich wesentlich von denen der Privatwirtschaft unterscheiden. Und dass Angriffe z.B. auf ein Finanzamt daher ganz anders geplant und durchgeführt werden müssten als solche auf eine Konzernzentrale. Die zum Teil byzantinisch wirkenden Vorgänge im Innern deutscher Behörden sowie die Vielfalt historisch gewachsener und politisch gestalteter Systeme und Prozesse wirken als eine Art zusätzlicher Schutzschirm der Verwaltungen vor Eindringlingen und Datendieben.

Zumindest aus der Perspektive der Informationssicherheit und des Datenschutzes können Bürokratie, organisatorischer Eigensinn und ein von Unterschieden zur Normalität geprägtes Aufgabenfeld durchaus von Vorteil sein.

IT-Sicherheit und Softwarequalität – eine Tugend in der Krise?

Viele Probleme im Bereich der IT-Sicherheit und des Datenschutzes können auf mangelnde Qualität der eingesetzten IT-Systeme zurückgeführt werden. Inzwischen ist es sogar ein „Qualitätsmerkmal“ guter Sicherheitsprozeduren in Unternehmen geworden, dass man Patches, also Fehlerkorrekturen an der eingesetzten Software zügig von Herstellern bezieht und einsetzt. Als ob man gute Qualität z.B. bei Autos daran messen würde, dass sie einmal monatlich (Microsofts normaler Auslieferungszyklus für Sicherheitsupdates) in die Werkstatt gefahren werden, um mangelhafte Teile auszutauschen.

Offenbar hat die Qualität bei Software noch längst nicht den Stand erreicht, der von anderen komplexen technischen Produkten heute durchaus verlangt wird. Viele Softwareanbieter schließen zudem in ihren Allgemeinen Geschäftsbedingungen (AGBs) ihre Haftung für Mängel in einem Maße aus, der z.B. bei Haushaltsgeräten schlicht rechtlich unzulässig wäre.

Was aber kann getan werden, damit Software besser wird? Und wie misst man überhaupt „gute Qualität“ bei Software? Schließlich wird die Debatte um die sog. „Softwarekrise“ in der Fachwelt bereits seit etwa vier Jahrzehnten geführt und hat zur Entstehung einer neuen Teildisziplin der Informatik geführt: dem Software Engineering bzw. der Softwaretechnik, d.h. der systematischen Entwicklung von Software im Sinne einer Ingenieursdisziplin.

„Unter Softwarequalität versteht man die Gesamtheit der Merkmale und Merkmalswerte eines Softwareprodukts, die sich auf dessen Eignung beziehen, festgelegte oder vorausgesetzte Erfordernisse zu erfüllen“ lautet eine gängige Lehrbuchdefinition des Qualitätsbegriffes für Software.

Der Begriff der Softwarequalität selbst ist zunächst abstrakt daher und in der Praxis direkt anwendbar. Deshalb existieren Qualitätsmodelle und Best-Practice-Vorgehensweisen der Softwareentwicklung, die durch eine weitere Detaillierung und Konkretisierung das Konzept der Softwarequalität praktisch umsetzbar machen.

Hacker aber auch IT-Sicherheitsexperten haben eine regelrechte Wissenschaft daraus gemacht, nach Fehlern in Softwareprodukten zu suchen. Für sie sind Exploits (Programmdefekte aus denen man Nutzen ziehen kann) keine Frage des „ob“ sondern nur des „wann, wie und wo“.

Aber auch Qualitätsmanager und Prüfer gehen der Softwarequalität immer systematischer auf den Grund. Inzwischen gibt es regalmeterweise Standards und Normen, welche Eigenschaften gute Software hinsichtlich Funktionalität, Gebrauchstauglichkeit, Datenschutz und Sicherheit aufweisen sollte. Und wie man diese messen kann. Aber auch hier gilt das Grundprinzip des Qualitätsmanagements, wonach man Qualität besser gleich „mit einbaut“ anstatt sie nachträglich „reinzuprüfen“. Und dass qualitativ hochwertige Produkte zwar zunächst aufwändiger in der Entwicklung und Produktion sind. Aber im Nachhinein weniger Kosten und Ärger verursachen. Man muss demnach nachhaltig und längerfristig denken können, um Qualitätsprodukte entwickeln zu können.

Gerade das aber sind Tugenden über die es sich nachzudenken lohnt. Insbesondere in ökonomischen Krisenzeiten, in denen ein „Weiter so“ nicht akzeptabel wäre. Krisen sind Anreize dazu Dinge grundlegend anders und besser zu machen. Das gilt in einer zunehmend informatisierten Gesellschaft auch und gerade für Softwareprodukte.

Update zum Hackerparagraph: Interview mit iX-Chefredakteur auf Gulli.de

Vor kurzem berichtete ich hier über die Hackerparagraph-Selbstanzeige des IX-Chefredakteurs Jürgen Seeger.

Jetzt hat Gulli.de ein Interview mit ihm zu eben dieser Aktion veröffentlicht:

Gulli.de: Interview mit Jürgen Seeger

Hackerparagraph: iX-Chefredakteur zeigt sich selbst an

Jürgen Seeger, der Chefredakteur des IT-Magazins iX hat sich heute selbst bei der Staatsanwaltschaft Hannover wegen „Vorbereitung des Ausspähens und Abfangens von Daten“ nach Paragraf 202c StGB (dem sog. „Hackerparagraphen“) angezeigt.

Der Grund dafür: Auf der Heft-DVD des iX Special „Sicher im Netz“ wurde Backtrack III, ein „Hackerlinux“ mit dem man Schwachstellen in der IT-Infrastruktur aufzeigen, aber auch ausnutzen kann, mit veröffentlicht. Derartige Software ist ein klassisches Beispiel für so genannte „dual use“-Programme. Software also, die sowohl zu legalen Zwecken der Sicherheitsprüfung der eigenen IT als auch zu illegalen Zwecken wie Angriffen auf fremde Rechner verwendet werden kann.

Die Sonderausgabe des Fachmagazins iX gibt Administratoren Tipps, wie sie Systemeinbrüche simulieren können, um anschließend geeignete Schutzmethoden zu finden.

Chefredakteur Seeger erklärt dazu: „Wir verteilen die Software, da es für Administratoren unentbehrlich ist, diese Programme zum Schutz des eigenen Systems und zur Abwehr von Angriffen zu verwenden. Gleichzeitig können wir aber nicht ausschließen, dass die Programme auch im rechtswidrigen Rahmen eingesetzt werden. Aufgrund der erheblichen Rechtsunsicherheit nicht nur bei professionellen Sicherheitsexperten, sondern auch bei Zeitschriften, bleibt uns keine andere Wahl, als die juristische Einordnung des Verteilens derartiger Programme im Rahmen einer Selbstanzeige prüfen zu lassen“.

Es stimmt mehr als bedenklich, wenn selbst renommierte Fachzeitschriften neben der Konsultation ihrer (wohl gut bestückten) Rechtsabteilungen zu solchen Maßnahmen greifen müssen, um halbwegs Rechtssicherheit zu ihrer fachlich-publizistischen Tätigkeit erlangen zu können. Und das in einem Land, das regelmäßig anderen Ländern meint, Demokratie, Menschenrechte und Zivilisation erklären zu müssen.

Der sog. „Hackerparagraph“ reiht sich somit  in die immer länger werdende Liste IT-rechtlicher Fehlleistungen der schwarz-roten Koalitionsregierung in Berlin ein.

Heise.de: iX-Chefredakteur zeigt sich selbst an

BITKOM gibt Leitfaden zum Hackerparagraph heraus

Computer & Arbeit 06/2008: Neues vom „Hackerparagraphen“