29. April 2012
Verbraucherschützer fordern sie schon länger: Die Ampel aus deren Rot-Gelb-Grün-Schema man leicht nachvollziehen kann, wie es um die Inhaltsstoffe von Lebensmitteln, das Hygieneverständnis von Gastronomen usw. bestellt ist. Und Wirtschaftslobbyisten arbeiteten in der Vergangenheit ebenso vehement wie erfolgreich dagegen an. Die Ampel sei zu einfach, zu grob und überhaupt schade zu viel Transparenz dem Geschäft und würde Verbraucher nur verunsichern.
Währenddessen hat kürzlich das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein solches Ampelsystem zur Bewertung von Schwachstellen in verbreiteten Softwareprodukten veröffentlicht. Im Rahmen der sog. „BSI-Analysen zur Cyber-Sicherheit“ soll dieser Ampel-Indikator einen raschen Überblick über Sicherheit und Qualität der so gerateten Softwareprodukte geben. Derzeit werden für die Schwachstellenampel Sicherheitslücken in Produkten dieser Hersteller berücksichtigt:
• Adobe Systems (Adobe Reader, Adobe Acrobat und Adobe Flash Player)
• Apple Inc. (OS X, Safari und Quicktime)
• Google Inc. (Google Chrome)
• der Linux-Kernel
• Microsoft Corporation (Windows, Office und Internet Explorer)
• Mozilla Foundation (Firefox und Thunderbird)
• Oracle Corporation (Java Development Kit (JDK) und Java Runtime Environment (JRE))
Das BSI ist der wohl zutreffenden Ansicht, dass Mängel in diesen Produkten aufgrund deren weiten Verbreitung in Unternehmen, Behörden sowie bei Privatanwendern potenziell schwerwiegende und flächendeckende IT-Sicherheitsvorfälle nach sich ziehen können. Die Behörde verfolgt daher u.a. auch den Lebenszyklus von Schwachstellen von der Entdeckung bis zur Beseitigung mit.
Daher bewertet es im Rahmen einer regelmäßig aktualisierten Schwachstellenampel offene Schwachstellen sowie deren Schweregrad auf einer 10er-Skala und visualisiert das entsprechend. Die Schwachstellenampel wird vom BSI regelmäßig aktualisiert. Die Termine der Aktualisierungen orientieren sich dabei hauptsächlich an den Patchdays und Aktualisierungszyklen der Anbieter. Zusätzlich werden Links auf weiterführende Sicherheitshinweise der Hersteller angeboten.
In dieser Form bietet die BSI-Schwachstellenampel einen guten ersten Überblick zur Sicherheits- und Qualitätslage von verbreiteter Standardsoftware. Wobei auffällt, wie gut vor allem quelloffene Open-Source-Produkte wie der Linux-Kernel oder Firefox und Thunderbird abschneiden. In jedem Fall kann so Druck auf die Hersteller entstehen, verstärkt auf die Sicherheit und die generelle Qualität ihrer Softwareprodukte zu achten.
Kommentar schreiben » | 
Angriff & Abwehr, Informationssicherheit, Softwarequalität, Technische Regulierung | Mit Tag(s) versehen: Angriff & Abwehr, BSI, Cyber-Abwehr, Exploits, Funktionalität, IT-Grundschutz, IT-Risiken, Open Source, Patches, Produkttest, Qualitätsmanagement, Qualitätsprüfung, Schadcode, Schadsoftware, Schwachstelle, Sicherheitslücken, Software, Softwarequalität, Softwarequalitätssicherung, Softwaretest | 
Permalink
Verfasst von Guido Strunck
9. Oktober 2011
„Easter Eggs“ sind kleine Überraschungen, die Programmierer in den Code ihrer Programme einbauen. Oftmals schwer zugänglich, z.B. durch exotische Tastenkombinationen, die nur in bestimmten Situationen funktionieren, erzeugen sie oft unerwartete und meistens witzige Effekte. So enthielt Microsofts weit verbreitete Tabellenkalkulation Excel lange Zeit einen kleinen Flugsimulator. Diese „Ostereier“ im Programmcode stellen aber auch ein Sicherheitsrisiko dar, da sie ja versteckt und an jeder Form von Qualitätskontrolle durch Testen, Reviews usw. vorbei implementiert wurden.
Wer daher nach potentiellen Schwachstellen in Programmen sucht, hält meist auch nach solchen Ostereiern Ausschau. Das taten wohl auch die Stuxnet-Entwickler sowie andere, an den programmtechnischen Innereien von Prozessrechnern aus dem Hause Siemens interessierte Leute. Die Siemens-Geräte rückten ins Blickfeld, nachdem bekannt wurde, dass man über Manipulationen dieser i.d.R. eher schlecht gesicherten Rechner teure Technik in Kraftwerken oder Produktionsanlagen über gezielte Veränderung der zulässigen Betriebsparameter angreifen kann.
So stellten experimentierfreudige Hacker auf der letzten Black-Hat-Konferenz in Las Vegas ihre Erkenntnisse beim Hacken von Industriesteuerungsanlagen von Siemens vor. In Geräten der Serie Simatic S7-300 fanden sie sogar hartcodierte Nutzer und Passwörter. „Ich konnte mich per telnet und http einloggen, den Speicher auslesen, Dateien löschen und Befehle geben“, so Dillon Beresford, der dieses Sicherheitsleck entdeckte.
Wie viele der Anlagen von Sicherheitsproblemen betroffen sind, ist kaum abzuschätzen. Die Simatic-Anlagen gelten weltweit als Standard für die Steuerung industrieller Prozesse aller Art. Neben den fest vergebenen Passwörtern hat Beresford allerdings noch ein Dutzend weiterer Sicherheitslücken in den Siemens-Kontrollanlagen entdeckt. Er konnte zeigen, wie sich die Systeme so manipulieren lassen, dass sie falsche Kommandos ausführen oder verfälschte Daten an ihre Leitstellen schicken.
Aus Sicht von Siemens wären nur bestimmte, ältere Geräte mit einer nicht mehr aktuellen Firmware betroffen. Allerdings werden solche Prozesssteuerungsanlagen nicht wie PCs in kurzen Abständen gepatcht, wenn ein Leck auftaucht. Stattdessen werden an die Software generell höhere Ansprüche hinsichtlich Qualitätseigenschaften gestellt. Ansonsten wäre ihr Betrieb im hochregulierten Industrieumfeld auch gar nicht genehmigungsfähig.
Neben den Sicherheitslücken fand Beresford allerdings noch ein klassisches „Easter Egg“ in der Siemens-Software. Programmierer hatten darin eine rote Website untergebracht, auf der Zeichnungen von spielenden Affen zu sehen sind und der Satz „Nix hören, nix arbeite, einfach nur…“. Ein Zeichen davon, was sie von der Siemens-Kultur in dem von Shareholder-Value und managerialer Übersteuerung geprägten Konzern hielten?
Ob sich dieser Programmierscherz aufgrund darin enthaltener Schwachstellen dazu benutzen lässt, um Schadcode in die Maschinen einzuschmuggeln, ist noch unklar. Das Siemens-Management allerdings habe sehr aufgeregt reagiert, als Beresford dem Unternehmen von seinem kuriosen Fund berichtete, wie er in einem Wired-Interview erklärte: „Sie waren nicht gerade glücklich.“
Kommentar schreiben » | Angriff & Abwehr, Informationssicherheit, IT-Sicherheit, Softwarequalität | Mit Tag(s) versehen: Angriff & Abwehr, Codeanalyse, Exploits, funktionale Sicherheit, Funktionalität, Hacker, Innentäter, IT-Risiken, Passwörter, Patches, Prozessleittechnik, Reverse Engineering, Safety, Schwachstelle, Sicherheitslücken, Software, Softwareentwicklung, Softwarequalität, Softwarequalitätssicherung, Softwaretest | Permalink
Verfasst von Guido Strunck
19. September 2011
Was haben Sicherheitslücken, Schwachstellen und andere Qualitätsmängel in IT-Systemen gemeinsam? Sie entstehen durch Dinge, die im Rahmen von IT-Projekten getan oder unterlassen werden. Projektwirtschaft ist bereits seit Jahren die prägendste Form des Zusammenarbeitens im IT-Bereich. Was hier schief läuft, wird sich auf die in den Projekten erstellten Ergebnisse auswirken. Daher ist es auch für IT-Profis mit Tätigkeitsschwerpunkten in den Bereichen Informationssicherheit oder Softwarequalität wichtig, sich regelmäßig mit Trends und Entwicklungen im Bereich des Projektmanagements zu befassen.
Dazu fand ich letzten Samstag auf dem Methodentag Projektmanagement 2011 am Zentrum für Weiterbildung und Wissenstransfer (ZWW) der Uni Augsburg Gelegenheit. Veranstalter waren das pm-forum Augsburg, eine lokale Community mit Fokus auf die Themen Projektmanagement und regionalen Wissenstransfer, in Kooperation mit der Gesellschaft für Arbeitsmethodik e.V. und der GPM, einem Fachverband für Projektmanagement, die Infostände zu ihren Aktivitäten im Bereich Projektmanagement und PM-Zertifizierungen anboten.
Eröffnet wurde die Veranstaltung mit einer Keynote von Erik Händeler zum Thema „Warum der Wohlstand in Zukunft vom Sozialverhalten abhängt“. Darin erläuterte er die Auswirkungen langer Entwicklungsphasen in der Wirtschaft (Kondratieff-Zyklen) und stellte die These auf, der nächste Kondratieff-Zyklus werde die Notwendigkeit zunehmender Kooperation von Menschen zum Gegenstand haben, da der fähige und wissende Mensch als solcher immer knapper werde. Dadurch werde die Bedeutung des Sozialverhaltens, d.h. die Fähigkeit mit anderen Menschen zusammenarbeiten zu können, an Bedeutung weiter zunehmen.
Ich belegte anschließend gemäß aktueller beruflicher Interessen Vorträge zu den Themen Kommunikation im Projekt, Multiprojektmanagement sowie Projektumfeld- und Stakeholderanalysen. Jeweils gehalten von kompetenten Referenten aus dem Umfeld des pm-forums Augsburg. Aber auch Themen wie das Erstellen von Projektstrukturplänen, webbasierte Projektmanagementtools, Präsentationstechniken, Projektkennzahlsysteme, systemische Organisationsaufstellungen sowie das Nutzbarmachen von Lernerfahrungen für Folgeprojekte waren im Angebot, so dass das mir das Auswählen schwer fiel. Zu Vorträgen, die man nicht besuchen konnte, kann man aber immerhin die Zusammenfassung im Tagungsband nachlesen, den jeder Teilnehmer erhielt.
Eine alles in allem runde und stimmige Veranstaltung, die ich gerne wieder besuche, sobald sie wieder stattfindet.
Kommentar schreiben » | Allgemeines | Mit Tag(s) versehen: Anforderungsmanagement, Fachkräftemangel, Fortbildung, IT-Sicherheitsmanager, Projektmanagement, Requirements Engineering, Risikomanagement, Servicemanagement, Softwarequalität, Testmanagement, Testmanager, Testprojekte, Vorgehensmodell, Weiterbildung | Permalink
Verfasst von Guido Strunck
22. Mai 2011
Smartphones mit dem zunehmend beliebter werdenden Android-Betriebssystem von Google erweisen sich im täglichen Gebraucht als etwas zu mitteilsam, wie deutsche Sicherheitsexperten kürzlich bekanntgaben. Sie melden sich automatisch und ohne Zutun ihres Nutzers in freien WLAN-Netzen an, in denen sie bereits einmal angemeldet waren, sobald das Gerät in die Funkreichweite des entsprechenden WLAN-Routers kommt. Steht die Verbindung, so wird ebenso automatisch eine Synchronisierung mit Google-Diensten wie Mail, Calender, Contacts, oder Picasa gestartet, wobei Authentifizierungsdaten (authToken) zum Teil sogar unverschlüsselt über eine einfache http-Verbindung gesendet werden. Diese Authentifizierungsdaten lassen sich am WLAN-Router mitschneiden (z.B. per Sniffer-Software) und können dann im Einzelfall für bis zu 14 Tage dazu benutzt werden, mit der Identität des Nutzers in dessen Google-Konten zu stöbern.
Auch Apps anderer Anbieter könnten von dem Problem betroffen sein, da nicht nur Google-eigene Apps dieses Anmeldesystem verwenden. So z.B. die Kalendersynchronisation des beliebten Mailprogramms Thunderbird der Mozilla Foundation.
„Der Informationsklau funktioniert besonders gut, wenn der Name des Netzwerks einem bekannten Anbieter ähnelt, also etwa T-Online“, so die Medieninformatiker Bastian Könings, Jens Nickels und Florian Schaub. Dazu reicht es nach Ansicht von Königs, die gut dokumentierten Google-Schnittstellen für externe Entwickler zu benutzen.
Dass mobile Geräte und beliebte Apps sensible Daten unverschlüsselt in die Welt hinausblasen, wird in Expertenkreisen bereits seit einiger Zeit zunehmend kritisch diskutiert.
Kurzfristig raten Fachleute Android-Nutzern zu folgenden Selbsthilfemaßnahmen:
• Zügig auf die aktuellste Version 2.3.4. von Android updaten, in der das Problem so nicht mehr besteht.
• Die automatische Datensynchronisation in den Einstellungen deaktivieren.
• Die Liste bereits konnektierter WLAN-Netze im Handy regelmäßig löschen (nur auf der Liste befindliche Netze werden automatisch konnektiert).
• Offene WLAN-Netze möglichst meiden, wenn datensensible Dienste und Apps genutzt werden.
Zumindest der erste Punkt der Empfehlungen ist für zahlreiche Smartphone-Nutzer jedoch gar nicht so leicht umsetzbar. Zwar ist Android ein (weitgehend) offenes System. Jedoch haben viele Smartphone-Hersteller ihre Geräte mit individuellen Oberflächen und Zusatzprogrammierungen „gebrandet“, so dass sie Upgrades des zugrunde liegenden Android-Betriebssystems nur zögerlich, falls überhaupt ausrollen. So ist derzeit ein ganzer Zoo von unterschiedlichen Android-Versionen im Markt unterwegs.
Doch es sind nicht nur Android-Handys betroffen. Grundsätzlich funktioniert die Methode, in offenen WLANs Daten mitzuschneiden und zweckzuentfremden auch bei anderen Mobilgeräten wie etwa Laptops, Navis oder Tablets, sofern diese Daten unverschlüsselt in den Äther blasen.
Inzwischen plant Google kurzfristig ein außerplanmäßiges Sicherheitsupdate an alle Android-Geräte zu verteilen und dabei nicht den Weg über die einzelnen Handyhersteller und Distributoren zu gehen. Der Patch soll die Kommunikation zwischen Gerät, WLAN-Router und mobilen Diensten verschlüsselt über das https-Protokoll abwickeln. Das allein ist jedoch nur die halbe Lösung, solange solche Kommunikationen versteckt im Hintergrund und ohne Kenntnis und Zustimmung des Benutzers ablaufen.
Kommentar schreiben » | Angriff & Abwehr, IT-Sicherheit | Mit Tag(s) versehen: Access Control, Android, Angriff & Abwehr, App, Cloud Computing, Codeanalyse, Data Leakage, Daten, Datendiebstahl, Datenleck, Datenschutz, Datensicherheit, Google, Identitätsdiebstahl, Internet, IT-Risiken, IT-Sicherheit, Kryptografie, Logging, Mobilfunk, Privacy, Schwachstelle, Sicherheitslücken, Sicherheitspraxis, Smartphone, Sniffing, Software, Softwarequalität, Thunderbird, Verschlüsselung, WLAN | Permalink
Verfasst von Guido Strunck
8. Mai 2011
Die letzten zwei Wochen waren wieder sehr „gehaltreich“ für Leute, die sich mit Fragen der Informationssicherheit beschäftigen.
Zunächst entdeckten zwei Softwareentwickler, dass Apples Flaggschiffe iPad und iPhone vom Benutzer unbemerkt nahezu ständig Positionsdaten in einer lokalen Datenbank auf dem Gerät mitloggen und diese auch auf einen mit dem Gerät synchronisierten PC sowie über den Umweg von WLAN-Positionsabfragen auch auf Apple-Server hochladen. Und zwar auch dann, wenn der Benutzer entsprechende Funktionen in den Geräten deaktiviert hat. So entsteht eine Datenbank, welche zwar kein vollständiges Bewegungsprofil des Anwenders, jedoch die Koordinaten von WLAN-Routern und Mobilfunkzellen in seiner Nähe zusammen mit einem Zeitstempel enthält. Sie entwickelten daraufhin eine App namens iPhone Tracker, mit der sich diese Daten auslesen und auf einer Karte grafisch darstellen lassen.
Parallel kämpft Sony derzeit mit wiederholten Hackerangriffen und Datendiebstählen. Zunächst drangen Hacker in die Datenbanken des Playstation-Networks (PSN) und des Musik- und Filmedienstes Qriocity ein und konnten Datensätze von etwa 77 Millionen Nutzerkonten kopieren. Inhaltlich können diese Daten am Schwarzmarkt verkauft und später für gezieltes Spear-Phishing oder Kreditkartenbetrug verwendet werden. Einige Tage später wurde bekannt, dass auch 25 Millionen Nutzerdatensätze des kommerziellen Spiele-Netzwerks Sony Online Entertainment (SOE) abhanden kamen. Wohl bei demselben Raubzug. Schon vor Wochen hatte Sony aus der Szene Hinweise auf bestehende Sicherheitslücken erhalten. Der Konzern hatte diese jedoch ignoriert bzw. war sogar gerichtlich gegen einen Hacker und Homebrew-Programmierer vorgegangen, der es geschafft hatte, sicherheitskritische Teile seiner eigenen Playstation-3-Spielekonsole zu hacken und der dies öffentlich gemacht hatte. Statt den Mann einzustellen und zur weiteren Verbesserung der betreffenden Systemkomponenten einzusetzen, hatte Sony eine einstweilige Verfügung erwirkt, um ihm das Verbreiten seiner Erkenntnisse zu erschweren. Das haben andere Hackergruppen dem Konzern wohl nachhaltig verübelt.
Dann wurde bekannt, dass TomTom, ein Anbieter von Navigationssystemen, gespeicherte Verkehrsdaten der Nutzer an die niederländische Regierung verkauft hatte. So wertet Tomtoms Verkehrsinformationsdienst HD Traffic beispielsweise anonymisierte Bewegungsprofile von Navigationsgeräten mit Internetanbindung sowie von Smartphones mit Tomtom-App aus, um Staus möglichst früh zu erkennen und in die Navigation miteinzubeziehen. Dabei werden auch Daten wie Fahrgeschwindigkeitswerte übermittelt bzw. können durch Zeit/Ort-Differenzabgleich errechnet werden. Mit diesen Daten lassen sich Stellen im Straßennetz finden, wo besonders häufig gegen Geschwindigkeitsbegrenzungen verstoßen wird und wo es daher lukrativ sein kann, „Blitzer“ aufzustellen. Obwohl aus Tomtoms Sicht legal und in verallgemeinerter Form sogar Bestandteil der Nutzungsbedingungen, zeigt diese „Zweitverwertung“ von Nutzerdaten doch, dass Daten auch ganz ohne Zutun von Hackern in falsche Hände gelangen können um dann den Nutzern zu schaden. Kürzlich wurde zudem bekannt, dass Tomtom auch mit der australischen Regierung über solche „Datenzweitverwertungen“ verhandelt. Aus dem ersten Fehler wurde wohl nichts gelernt.
Vor kurzem musste Amazons Cloud-Service EC2 seinen Kunden gegenüber eingestehen, dass es nach einem mehrstündigen Systemausfall zu einem größeren, nicht mehr wiederherstellbaren Datenverlust gekommen ist. Der Dienst, der von Amazon mit dem Motto „Die Cloud, auf die Sie sich verlassen können“ beworben wird, hatte beim Wiederanlaufen mit nicht mehr behebbaren Inkonsistenzen in seinen Datensicherungen zu kämpfen. Wohl dem, der Alternativen in der Hinterhand hatte.
Manche Unternehmen sparen bei der IT-Sicherheit und werden daher Opfer von Hackerattacken, da es leicht ist, bei ihnen Daten abzugreifen. Andere hingegen praktizieren quasi-militärische Hochsicherheitsstandards – und werden ebenfalls Opfer von Hackern, die sich technologisch herausgefordert fühlen. Wieder andere versuchen wie Sony gegen kleinere Ärgernisse aus der Hackerszene gerichtlich vorzugehen. Mit der Konsequenz, dass sich daraus sehr große und rechtlich nicht mehr in den Griff zu bekommende Probleme entwickeln können. Und auch dort wo es aus der Perspektive der Informationssicherheit zu keinen nennenswerten Vorfällen kam, machen sich Probleme mit der Softwarequalität bemerkbar. So gab z.B. Apple bekannt, dass das Geodatenlogging im iPhone letztlich ein Programmierfehler gewesen sein soll. Auch wenn Apple bereits 2009 für etwas von der Idee her sehr Ähnliches ein US-Patent beantragt hat. Patentierte Fehler?
Was ist nun die gemeinsame Konsequenz all dieser Dinge?
Unternehmen nutzen (zu) viele Daten und betreiben (zu) datenintensive Geschäftsmodelle. Wer aber viele Daten nutzt, muss auch umfangreiche, teure und wegen ihrer Komplexität fehleranfällige Maßnahmen zu ihrer Absicherung mit einplanen. Und wird oftmals gleich vom Gesetzgeber zu entsprechender Vorsorge verpflichtet.
Daten haben in Unternehmen also nicht nur den Charakter eines wertvollen Besitzes oder eines notwendigen Produktionsfaktors. Sie werden auch zum Risiko und zum Kostenfaktor. Daher sollten sie nach Möglichkeit sehr sparsam verwendet werden. Geschäftsprozesse sollten den Prinzipien der Datensparsamkeit und Datenvermeidung Rechnung tragen, wie es das Bundesdatenschutzgesetz im §3a für personenbezogene Daten ohnehin fordert.
Es ist ein Stück weit ähnlich wie mit produktionsbezogenem Problemmüll. Er ist oft in hohem Maße giftig oder anderweitig schädlich, so dass er auf spezielle Art und Weise gesichert und entsorgt werden muss. Mehr Müll bedeutet dann höhere Kosten. Vermeidet man Müll, indem man im Produktionsprozess sparsamer und effizienter mit Rohstoffen umgeht, senkt das unmittelbar die Entsorgungskosten sowie die Prozesskosten für die Behandlung und Lagerung der giftigen oder strahlenden Abfälle.
Ähnlich verhält es sich mit den Datenvolumina, der Kritikalität von Daten sowie den Kosten zu ihrer informationstechnischen Absicherung. Auch hier bedeutet ein Weniger an Daten auch ein Weniger an Kosten. Gleichzeitig gehen Unternehmen, die schlampig mit Daten umgehen oder diese sehr einseitig zu ihren Gunsten nutzen, ähnliche Risiken für ihr Ansehen in der Öffentlichkeit ein, wie Firmen, die hochgiftige Abfälle einfach in den Fluss kippen oder auf dem Meer verklappen lassen.
2 Kommentare | Angriff & Abwehr, Datenschutz, GABAL, IT-Sicherheit, Privacy, Softwarequalität | Mit Tag(s) versehen: Access Control, Angriff & Abwehr, App, Apple, Backup, Bankdaten, Cloud Computing, Codeanalyse, Computerspiele, Data Leakage, Data Loss Prevention, Daten, Datendiebstahl, Datenhandel, Datenleck, Datenschutz, Datensicherheit, Debugging, DLP, DOS-Attacke, Flooding Attack, GABAL, Geoinformationsdienste, Hacker, Homebrew-Programmierer, iPad, iPhone, IT-Risiken, IT-Sicherheit, IT-Sicherheitskonzept, IT-Sicherheitsmanagementsystem, Konsolenhacker, Kundendaten, Logging, Privacy, Produkttest, Schwachstelle, Sicherheitslücken, Sicherheitspraxis, Software, Softwarepatente, Softwarequalität, Spieleindustrie, Verbraucherschutz, Virtualisierung, Webapplikation, Webserver, Webservice | Permalink
Verfasst von Guido Strunck
10. April 2011
Dieses von Sebastian Kübeck verfasste Buch aus dem mitp-Verlag befasst sich mit den Methoden sicherer Softwareentwicklung speziell für webbasierte Anwendungen. Die zugrunde liegenden Überlegungen sind aber größtenteils auch auf andere Bereiche der Softwareentwicklung übertragbar. Das Buch richtet sich an Softwareentwickler, die sich noch nicht intensiver mit Informationssicherheit und dem Schreiben sicheren Codes befasst haben. Und die somit einen Einstieg in die Themen Informationssicherheit sowie Methoden sicherer Webentwicklung suchen. Aber auch Administratoren webbasierter Systeme können davon profitieren.
Das Buchh ist in drei Teile gegliedert. Im ersten Teil werden nach einer kurzen Einführung in die Geschichte der Informationssicherheit Grundkonzepte der IT-Sicherheit speziell aus der Sicht des Softwareentwicklers erläutert. Dazu zählen Dinge wie die Prinzipien sicherer Softwareentwicklung, Authentisierungsverfahren oder sichere Datenübermittlung durch den Einsatz kryptografischer Verfahren.
Teil zwei befasst sich mit häufig auftretenden Schwachstellen in Softwareprodukten sowie Wegen zu deren Vermeidung. Dazu zählen Filterung und Aufbereitung nahezu jeder Form von Eingabe durch Anwender, um z.B. Code-Injection- und Scripting-Angriffen vorzubeugen. Oder die Vermeidung von Webserver-Konfigurationen durch die Teile der Systemkonfiguration per Suchmaschine erfassbar (Google Hacking) oder durch manuelles Suchen (Path Traversal) erreichbar werden.
Oftmals beginnen Probleme mit der Applikationssicherheit jedoch bereits bei der Verwendung von altbewährten und weit verbreiteten Bibliotheksfunktionen gerade der C-Sprachen, welche direkte Speicherzugriffe ermöglichen und die aufgrund von Implementationsfehlern zu Sicherheitsproblemen wie Pufferüberläufen, Code Injection-Schwachstellen u.ä. führen und daher nicht mehr verwendet werden sollten.
Webanwendungen können auch anfällig für DDOS-Attacken werden, wenn sich in ihnen Code aufspüren lässt, der zu Speicherlecks, Endlosschleifen, Rekursionen mit fehlerhafter Abbruchbedingung führt oder der Wartezeiten auf (schwächere) nachgelagerte Systeme wie z.B. entfernte Datenbanken generiert.
Schließlich gibt Teil drei konkrete Tipps und Hinweise wie man durch qualitätssichernde Maßnahmen wie Pen-Tests, Code Reviews, Softwaretests sowie der Berücksichtigung von Prinzipien sicherer Entwicklung von Webapplikationen seine Software sicherer macht. Hier wird z.B. auch auf (meist quelloffene) Testing-Tools wie Schwachstellen-Scanner, Mustersucher für die Quellcodeanalyse oder Tools zur Testautomation eingegangen.
Stets werden die Erläuterungen im Buch von entsprechenden Codebeispielen (meist in Java oder Javascript sowie in SQL für Datenbankzugriffe) begleitet, in denen die problematischen Stellen nachvollziehbar erläutert werden.
Alles in allem ein sehr lesenswertes Buch speziell für Softwareentwickler aber auch für generell am Thema sicherer Software interessierter IT-Fachleute. Wobei das Thema Entwicklung sicherer webbasierter Anwendungen gerade im Zeitalter von Cloud Computing und mobiler Apps drastisch an Bedeutung gewinnen dürfte.
1 Kommentar | Angriff & Abwehr, IT-Sicherheit, Rezensionen, Softwarequalität | Mit Tag(s) versehen: Angriff & Abwehr, App, Buffer Overflow, Clean Code Development, Clickjacking, Cloud Computing, Code-Injection, Codeanalyse, Codeoptimierung, Data Leakage, Datenleck, Exploits, Fehlersuche, Google Hacking, Hackertools, HTML, Informationssicherheit, Internet, Intrusion Detection System, IT-Risiken, IT-Sicherheit, Kryptografie, Open Source, Path Traversal, Pen-Test, Pufferüberlauf, Quellcode, Reverse Engineering, Schadcode, Schwachstelle, Security by Design, Sicherheitslücken, Software, Softwareentwicklung, Softwarequalität, Softwarequalitätssicherung, Softwaretest, SQL, SQL-Injection, SSL-Verschlüsselung, Verschlüsselung, Web 2.0, Webanwendung, Webapplikation, Webserver, Webservice, XSS | Permalink
Verfasst von Guido Strunck
27. März 2011
Gestern fand in den Räumen der Fakultät für Informatik der FH Augsburg der 10. Linux-Infotag, veranstaltet vom Verein der Linux-User Augsburg e.V. (LUGA) statt. Zum Teil parallel in mehreren Räumen wurden unter dem diesjährigen Motto „Leben mit Pinguinen – Freie Software im Alltag“ Vorträge rund um das Thema Linux angeboten. Dabei reichte das Themenspektrum von Angeboten für Einsteiger über solche für Entwickler oder Systemadministratoren bis hin zum Blick auf aktuelle Entwicklungen rund um den Linux-Kernel. Ich richtete meinen Fokus dieses Jahr auf Vortragsangebote rund um die Themen Projektmanagement, IT-Sicherheit und freie Software im Allgemeinen.
Eröffnet wurde das mehrteilige Vortragsprogramm von Thomas Gleixner mit seiner Keynote zum Thema „Management und Open Source – zwei Welten?“. Darin schilderte Gleixner, der selbst Unternehmer sowie aktiver Linux Kernel-Maintainer ist, das bestehende Konfliktfeld zwischen freier quelloffener Software und sog. „geistigem Eigentum“ (ein Kampfbegriff der Content-Lobby, den viele Manager unkritisch übernommen haben). Gerade unsichere und qualitativ minderwertige Software hat ihren Ursprung häufig darin, dass Firmen versuchen, das Rad zum x-ten Mal neu zu erfinden und eine selbst entwickelte proprietäre Lösung einen anerkannten Standard vorziehen. Da aber keine Firma allein dauerhaft Standards etablieren kann und Kunden sich nur ungern von einzelnen Unternehmen abhängig machen, werden so volkswirtschaftlich Ressourcen in beträchtlichem Umfang verschwendet, die durch unternehmens- und bereichsübergreifende Kollaboration und Kooperation effektiver nutzbar wären. Inzwischen stellen aber immer mehr Unternehmen (z.B. Chiphersteller und Smartphone-Produzenten) fest, dass quelloffene Systeme wie Linux einfacher an neue Gegebenheiten anzupassen sind, Versionswirrwar und Diskontinuitäten bei Produktkomponenten vermieden werden, Lizenzpolitiken anderer Unternehmen nicht mit eingeplant werden müssen. Trotzdem gibt es noch eine weitverbreitete relative Unkenntnis verbunden mit gezielt gestreuten Desinformationen in den Köpfen von Entscheidern in der Wirtschaft, wie Gleixner ausführte. Daneben empfahl er, sich mal die Enduser-Licence-Agreements (EULAs) genauer anzusehen, die kommerziellen Softwareprodukten beiliegen. Das dort enthaltene „Kleingedruckte“ schränkt die Nutzbarkeit einer an sich funktionsfähigen Software rechtlich oft derart ein, dass sie unbrauchbar wird – ein klassischer Fall von „Produktion vom Fließband in den Müllcontainer“. Daneben betonte Gleixner, wie wichtig es sei, dass Basistechnologien wie Betriebssysteme, Netzwerkprotokolle, Datenbanken aber auch Informationen frei und losgelöst von den Interessen Einzelner allgemein und frei verfügbar sind, so dass jeder darauf aufbauend Geschäftsmodelle entwickeln kann, ohne dass ihm andere dreinreden oder ihm durch das Ergaunern leistungsloses „Schutzgelder“ schädigen können (Stichworte Softwarepatente und Patenttrolle).
Oliver Rath gab einen Überblick über Projektmanagement im Allgemeinen. Und dessen Unterstützung mit linuxbasierter Software im Speziellen. Und hier zeigte sich auch rasch das Kernproblem: Der Goldstandard im Bereich werkzeugunterstützen Projektmanagements ist Microsoft Project. Auch wenn die große Mehrheit gerade mittelständischer Projektleiter immer noch per Tabellenkalkulation plant. Etwas was man mit Open Office Calc und Draw ebenso hinbekommt wie mit Excel & co. Etliche Linux-Tools wie z.B. OpenProj, TaskJuggler oder planner können jeweils ein oder zwei Dinge besonders gut, andere aber gar nicht. Es fehlt nach wie vor ein vollwertiges MS-Project-Äquivalent hoher Produktreife, auch wenn OpenProj ein guter erster Versuch war (bis die Entwicklung 2008 eingestellt wurde). Rath trug seinen Vortrag interessant und witzig zugleich vor und wies dabei auf Dinge wie die „größte Lüge der IT“ (Ich mach mal schnell), „die größte Lüge im Projektmanagement“ (Ich bin zu 90% fertig) oder die Probleme der letzten 10% eines Arbeitspaketes hin (in denen sich oftmals die gravierendsten Probleme verbergen).
Zu diesem Themenbereich rechne ich auch die Vorträge von Ulrich Habel (Dokumentation in Open-Source-Projekten) und Sebastian Harl (Verteilte Versionskontrolle mit Git). Denn es war letztlich die OSS-Community, die als Erste global verteilte Entwicklung komplexer Software betrieb. Lange bevor Offshoring und die spezifischen Probleme mit den kulturellen Differenzen zwischen indischen Programmierern und mitteleuropäischen IT-Architekten wirklich zum Branchenthema der international arbeitenden IT wurden. Hierbei sind Systeme zur gemeinschaftlichen Codeverwaltung, Versionierung, zur projektbegleitenden Dokumentation und für Defect-Tracking und Bug-Reporting nahezu unentbehrlich, um räumlich und zeitlich verteilte Zusammenarbeit an einer gemeinsamen Code- und Projektbasis zu ermöglichen. Beispielhaft wären hier Systeme wie Mantis (Bugtracking), GIT (Versionierung) oder die Nutzung von Wikis (Projektdokumentation) zu nennen.
Ingo Blechschmidt gab eine Kurzeinführung in elementare Konzepte der Kryptographie wie kryptographische Primitive (elementare Operationen eigentlich aller Kryptoverfahren), Challenge-Response-Authentifizierung, Zero-Knowledge-Beweise oder die Sicherheitsmechanismen bei „gesalzenen“ Passwörtern. Obwohl das tiefere Verständnis kryptografischer Konzepte eine intensivere Beschäftigung mit deren mathematischen Hintergründen sowie Überlegungen aus den Bereichen Algorithmik und theoretischer Informatik erfordern, machte sein Vortrag Lust auf mehr.
Wer jetzt auf die Vorträge neugierig geworden ist, wird in den nächsten Tagen die meisten Folien bei LUGA in der Programmübersicht als PDF-Download vorfinden.
Parallel zum Vortragsprogramm boten zahlreiche Linux-affine Organisationen Infostände mit aktuellen Projekten an. Und es dürften wohl stapelweise Live-CDs diverser Linux-Distributionen verteilt worden sein. Alles in allem eine sehr interessante Veranstaltung mit vollem Programm, die wohl bei mehreren Hundert Besuchen Anklang gefunden hat.
Kommentar schreiben » | Allgemeines, IT-Sicherheit, Netzkultur, Softwarequalität | Mit Tag(s) versehen: Angriff & Abwehr, Creative Commons, Datenschutz, Datensicherheit, Informatik, Informationssicherheit, Kongress, Kryptografie, Linux, Lizenzen, Monetarisierung, Netzkultur, Open Access, Open Source, Projektmanagement, Quellcode, Rechteinhaber, Sicherheitspraxis, Softwareentwicklung, Softwarepatente, Softwarequalität, Standard, Verschlüsselung | Permalink
Verfasst von Guido Strunck
28. Februar 2011
Soziale Netzwerke haben sich in den letzten Jahren zunehmend zu einem Massenphänomen entwickelt. Ihre Nutzerzahl sowie das in ihnen gelagerte und täglich neu hinzukommende Datenvolumen wachsen nahezu exponentiell. Menschen nutzen solche Dienste zunehmend, um damit ihr Leben zu organisieren, sich zu unterhalten, sich mit anderen auszutauschen oder gemeinsame Projekte zu planen.
Die so entstehenden Datenbestände sind nicht nur für die Betreiber dieser Systeme von Interesse sondern auch für Dritte. Firmeninterna lassen sich so zusammenrecherchieren, die Abwerbung von Schlüsselpersonal vorbereiten, die Hobbys von Bewerbern und Geschäftspartnern ausspähen. Fälle von Cyberstalking, Cybermobbing oder sexueller Belästigung sind nicht nur aktenkundig sondern füllen bereits etliche Regalmeter in den Lagern der Ermittlungsbehörden.
Es „menschelt“ eben überall, wo Menschen einander begegnen.
Kürzlich riefen daher einige IT-Sicherheitsexperten die Seite socialnetworksecurity.org ins Leben. Sie wollen damit auf Sicherheitslücken in sozialen Netzwerken hinweisen und so Druck auf deren Betreiber ausüben. Bislang listen sie bereits 46 entdeckte Schwachstellen in 28 Netzwerkplattformen auf und weisen auch darauf hin, was bereits behoben wurde und was noch nicht.
Zudem gibt es Sicherheitstipps für Nutzer und Betreiber sozialer Netzwerke.
Es sind meist diese Sicherheitslücken und Schwachstellen, durch die Daten abfließen können. Dabei sind grundsätzlich zwei Arten von Lücken möglich.
Unzureichend, unüberlegt oder falsch gesetzte Einstellungen der Benutzer zum Schutz ihrer Daten.
Dagegen anzugehen erfordert entsprechende Handhabungskenntnisse der Nutzer sowie deren wohlüberlegte Nutzung auf den jeweiligen Plattformen. Aber auch Einstellmöglichkeiten, die sowohl übersichtlich und selbsterklärend als auch ausreichend und sicher sind. So hat z.B. Facebook mit seinen über den ganzen Account verteilten Einstelloptionen hat da noch viel Verbesserungspotential.
Schwachstellen, technische Defekte und Qualitätsmängel der Systemplattformen.
Soziale Netzwerke sind im Grunde genommen nichts anderes als webbasierte Server-Applikationen, die ihre Daten in Datenbanken ablegen. Sie lassen sich mit den gleichen Methoden angreifen wie Webanwendungen und Webserver generell. Beliebte Angriffsformen sind dabei immer wieder Code-Injection, Cross-Site Scripting (XSS) oder Cross-Site Request Forgery (CSRF).
Nutzer und Hacker können entdeckte Schwachstellen an die Betreiber von socialnetworksecurity.org (anonym wenn gewünscht) melden. Diese nehmen aber nur solche Schwachstellen an, für die ihnen
präzise Beschreibungen oder andere Nachweisformen des tatsächlichen und reproduzierbaren Bestehens mitgeschickt werden.
Allerdings haben sich Schwachstellen mittlerweile zu einem Wirtschaftsfaktor entwickelt, wie z.B. die ct‘ zuletzt in der Ausgabe 5/2011 unter dem Titel „Das Geschäft mit den Bugs“ berichtete. Man kann sie legal an Firmen wie Zero Day Initiative (ZDI) oder iDefense Security Intelligence Services verkaufen. Diese betreiben kostenpflichtige Informationsdienste für Softwareanbieter, in denen sie diese Schwachstellen z.T. mit ausführlichen Hinweisen zur Eindämmung darstellen. Andererseits werden gerade für „frische“ Schwachstellen (Zero Day Exploits) in verbreiteten Softwareprodukten und Systemen durchaus 5-6stellige Beträge auf Hackerschwarzmärkten im Cyber-Untergrund bezahlt.
Es bleibt abzuwarten, in wie weit Projekte wie socialnetworksecurity.org für mehr Sicherheitsbewusstsein bei den Entwicklern und Betreibern sozialer Netzwerke zu sorgen vermögen. Bzw. wo dies der Schwarzmarkthandel mit Exploits tun wird.
Kommentar schreiben » | Angriff & Abwehr, Datenschutz, Informationssicherheit, Privacy, Softwarequalität | Mit Tag(s) versehen: Angriff & Abwehr, Code-Injection, ct, Data Leakage, Datenhandel, Datenleck, Datenschutz, Defect-Tracking, Ermittlung, Exploits, Hacker, Internet, IT-Risiken, Kundendaten, Privacy, Schwachstelle, Sicherheitslücken, Sicherheitspraxis, Softwarequalität, SQL-Injection, Web 2.0, Webanwendung, Webapplikation, Webserver, XSS | Permalink
Verfasst von Guido Strunck
31. Dezember 2010
So könnte man den Gang der Dinge bei der Softwareentwicklung, eigentlich aber bei fast jedem ingenieurshaft angegangenen Entwicklungsprojekt beschreiben. Daher gewinnt das Anforderungsmanagement im Systementwicklungsprozess auch laufend an Bedeutung. Denn der 10er-Regel der Fehlerkosten folgend, verzehnfachen sich die Kosten der Behebung von Fehlern mit jeder weiteren Projektphase in etwa. D.h. möglichst viele Fehler gleich zu Beginn des Projekts durch systematisches Vorgehen zu vermeiden, kann immense Summen Geld einsparen (oder im Falle des Unterlassens verschlingen).
Das macht das Anforderungsmanagement zu einer wichtigen Disziplin für all jene, die sich mit Aspekten der Informationssicherheit oder der Qualität von Softwareprodukten befassen. Anforderungen sind die Grundlage für alle Eigenschaften des späteren Produkts (zumindest sollten sie es sein). Anforderungen können Gegenstand späterer Prüfungen des Produktes sein und bilden die Grundlage für das Testmanagement zur Erstellung und Auswahl von Teststrategien und Testfällen. Im Bereich der Produktdokumentation bilden die Anforderungen den Kern des später zu Dokumentierenden und sind Basis für Anwenderschulungen. Auch die spätere Wartung und Weiterentwicklung des laufenden IT-Systems ist auf gut dokumentierte Anforderungen angewiesen.
Daher kann man sich bereits seit geraumer Zeit im Bereich des Anforderungsmanagements nicht nur fortbilden sondern auch ein Fachzertifikat, den „Certified Professional for Requirements Engineering (CPRE)“ mit Prüfung und Siegel erwerben, das auf einem Lehrplan basiert, der vom International Requirements Engineering Board (IREB) e.V. entwickelt wurde. Einem Verband, der sich mit der Kodifizierung von etablierten „best practices“ in diesem Teilbereich der Softwareentwicklung beschäftigt.
Zu den „Klassikern“ der Probleme beim Umgang mit Anforderungen zählen ungenaue, unvollständige, in sich widersprüchliche oder auch gar nicht vorhandene Anforderungen. Beispielsweise weil bei der Produktplanung wichtige Beteiligte übergangen wurden. Weil Dinge als selbstverständlich vorausgesetzt und daher nicht weiter erwähnt wurden. Weil das mit dem Produkt zu lösende Problem nicht wirklich verstanden wurde. Oder weil man es mal wieder zu eilig hatte – „husch husch – time to market – profit profit“ – und daher zu wenig in die konzeptionellen Vorarbeiten der Produktentwicklung investiert hatte. Daher gibt es auch regelmäßig Studien (wie z.B. den sog. „Chaos Report“ der Standish Group), die sich mit den Erfolgs- und Misserfolgsfaktoren in IT-Projekten beschäftigen und dabei regelmäßig die Bedeutung guten Anforderungsmanagements und guten Projektmanagements unterstreichen.
Grundsätzlich hat ein Anforderungsmanager vier Aufgaben, denen er sich zu widmen hat. Er soll Anforderungen erheben, dokumentieren, sie prüfen und mit den Beteiligten abstimmen sowie sinnvoll verwalten und verfügbar machen. Dort wo es die Rolle des Anforderungsmanagers nicht in Reinform gibt, fallen diese Aufgaben den Entwicklern, IT-Architekten, Projektleitern, Produktverantwortlichen etc. zu, was häufig nicht unbedingt zu ihrer vollständigen und zufriedenstellenden Erledigung beiträgt. Zumal ein Anforderungsmanager eigentlich weniger ein technischer Spezialist als ein Experte im Gebiet der Schlüsselqualifikationen und der Methodenkompetenz ist. Denn ihm fallen die „menschlichen Aspekte“ der Produktplanung zu: Er soll die Beteiligten des Vorhabens ausfindig machen, mit ihnen reden und sich so ein Gesamtbild des zu entwickelnden Softwareproduktes verschaffen. Und es so aufbereiten, dass die Entwickler darauf basierend etwas Brauchbares entwickeln können.
Anforderungsmanagern fällt somit die „Verwaltungswirtschaft“ der Softwareentwicklung zu, da ein Großteil ihrer Arbeit aus dem bereits erwähnten Erheben, Dokumentieren, Prüfen und Abstimmen sowie dem Verwalten der Anforderungen, mithin also aus dokumenten- und personenorientierter Arbeit besteht.
Dort wo Softwareentwicklung aber vom „Handwerk“ zur Ingenieurstätigkeit werden soll, also einem Industrialisierungsprozess unterliegt, kommt man um das Anforderungsmanagement ebenso wenig herum wie um das Plänezeichnen und Prototypenbauen im Automobilbau.
Zumal vollständige, konsistente und genau spezifizierte Anforderungen wie bereits erwähnte die Grundlage für testbare Produkte und prüfbare Prozesse zu deren Entwicklung bilden – somit also die Basis der Qualitätssicherung bilden. Zumal so aus Anforderungen auf dem Papier ausführbarer Testfallcode oder die Grundlage einer sicherheitstechnischen Bewertung des fertigen Softwareproduktes werden kann.
Do wo genau findet das Anforderungsmanagement denn statt?
Bei „klassischen“ Vorgehensmodellen der Softwareentwicklung wie z.B. dem V-Modell XT ist das Anforderungsmanagement eine klar definierte Phase, die der Entwicklung vorangeht und die Basis des zu entwickelnden Systems bildet. Zu einem bestimmten, vorab festgelegten Zeitpunkt wird der Stand der Anforderungen „eingefroren“ und bildet die Ausgangsbasis der weiteren Entwicklungsphasen. Später noch hinzukommende Änderungswünsche werden als genau das behandelt: Änderungswünsche, welche zu nachträglichen Änderungen der Planung und Kostenkalkulation führen können.
Im Gegensatz dazu ist das Anforderungsmanagement bei „agilen“ Vorgehensmodellen wie SCRUM ein Begleitprozess der Entwicklung und es werden nur jeweils die erforderlichen Anforderungen für den nächsten Teilabschnitt in der Entwicklung durch iteratives Vorgehen, inkrementelle Fortschreibung und Präzisierung abschlussfertig ausgearbeitet und umgesetzt.
Doch das Anforderungsmanagement trägt auch auf weitere Weise zu einer besseren Softwarequalität bei. So gilt es z.B. auch die Anforderungen an sich hinsichtlich Inhalt, Abgestimmtheit und Dokumentation qualitätszusichern und dabei Methoden des Qualitätsmanagements wie Beteiligung der Betroffenen, Mehraugenprinzip, Trennung von Fehlersuche und Fehlerkorrektur oder auch Prüfung aus unterschiedlichen Perspektiven anzuwenden. Nicht nur Code sondern bereits die dokumentierten Anforderungen an das spätere System lassen sich durch formale Methoden wie Audits, Inspektionen, Walkthroughs oder Reviews prüfen.
Doch woher kann man als im Bereich IT-Sicherheit und / oder Softwarequalität Tätiger das Know-how zu diesem breiten Thema nehmen? Beginnen kann man mit einschlägiger Fachliteratur, für ein tieferes Eindringen in das Thema Anforderungsmanagement kann ein entsprechendes Seminar oder eine Zertifizierung wie das bereits erwähnte IREB-Zertifikat sinnvoll sein. Letztlich entscheidend dürften dann aber die Erfahrungen der gelebten Projektpraxis „im Feldeinsatz“ werden.
1 Kommentar | IT-Sicherheit, Softwarequalität | Mit Tag(s) versehen: Agile Methoden, Anforderungsmanagement, Audit, Fortbildung, funktionale Sicherheit, Funktionalität, Gebrauchstauglichkeit, International Requirements Engineering Board (IREB), IT-Sicherheit, Projektmanagement, Qualifizierung, Requirements Engineering, SCRUM, Software, Softwareentwicklung, Softwarequalität, Softwarequalitätssicherung, Softwaretest, Spezifikation, Standard, Testmanagement, Usability, V-Modell XT, Vorgehensmodell, Wartbarkeit, Weiterbildung, Zertifizierung | Permalink
Verfasst von Guido Strunck
15. Dezember 2010
Am 07.12. fand der inzwischen fünfte „Nationale IT-Gipfel“ der Bunderegierung statt. Diesmal in Dresden. Es fällt mir regelmäßig schwer zu bewerten ob dies eher ein politischer Dampfplauderertreff, ein Lobbying-Forum für die staatsnahen Teile der IT-Branche oder ein echtes IT-strategisches Jahrehighlight ist. Nehmen doch Themen wie Netzpolitik, Internetregulierung, Compliance, Datenschutz oder e-Government immer rascher an Bedeutung zu. Und macht sich doch die allgemeine IT-Inkompetenz bzw. die gravierenden Wissensdefizite zahlreicher politischer Entscheidungsträger immer drastischer in verfehlten Regulierungsvorhaben wie z.B. Elena, dem Jugendmedienschutz-Staatsvertrag (JMStV) oder den verkorksten Regierungsvorlagen zum Beschäftigtendatenschutz bemerkbar.
Doch gleich eines vorweg: Eine generelle informationstechnische Alphabetisierungskampagne für Politiker war leider nicht Gegenstand der Gipfelgespräche.
Allerdings war das Querschnittsthema IT-Sicherheit in mehreren der acht Arbeitsgruppen mit Gegenstand der Beratungen. In diesen Arbeitsgruppen wurden Themen wie die sich mit Themen wie digitale Infrastrukturen, IT-basierte Geschäftsmodelle, Gesundheitstelematik oder e-Government diskutiert. Zwei Arbeitsgruppen befassten sich mit „Vertrauen, Datenschutz und Sicherheit im Internet“ sowie mit „Verantwortung und Schutz in der vernetzten Gesellschaft“, also mit dem Themenfeld Informationssicherheit, Datenschutz und Compliance in einer vernetzten Welt.
Die Ergebnisse des IT-Gipfels wurden in der sog. „Dresdner Vereinbarung“ (PDF, 1 MB) zusammengefasst. Das Dokument enthält zahlreiche mögliche und mehrheitlich auch sinnvolle Ansätze zur Gestaltung der vernetzten Gesellschaft durch Gesellschaft, Staat und Wirtschaft. Allerdings zeigen „Leuchtturmprojekte“ wie DE-Mail, Datenperso, das gescheiterte Immaterialgüterrecht, das Thema Netzneutralität oder die Gesundheitskarte, das politischer Unverstand und Wirtschaftslobbyismus oft mit dem Hintern einreißen, was die Hände zuvor aufgebaut haben. Etwas ausführlicher kann man die Gipfelthemen in der 90-setigen Begleitbroschüre „Programm – Personen – Projekte“ nachlesen, in der die Arbeitsgruppenthermen dargestellt werden (PDF, 2,8 MB)
Etliche Minister nutzten die Gelegenheit, um zu netzpolitischen Themen Stellung zu nehmen. Und die Bundeskanzlerin beklagte (wohl zurecht) die überlange Dauer mancher adipöser IT-Großprojekte der Regierung wie etwa der elektronischen Gesundheitskarte. Außerdem kündigte sie zum werweißwievielten Male den verstärkten Ausbau der Breitbandinfrastrukturen in Deutschland an. Auch wenn sich dieses Problem überhaupt erst durch verfehlte Verträge im Laufe der Telekom-Privatisierung ergeben hat (Nichtfestschreibung des bundesweiten Grundversorgungsauftrags mit Netzinfrastruktur des aktuellen Standes der Technik) und die Telekom sich auf dem Gipfel in weiser Voraussicht für weniger regulierende Eingriffe in ihre marktbeherrschende Position aussprach.
August-Wilhelm Scheer, Präsident des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien (BITKOM), kündigte auf dem IT-Gipfel eine informationstechnische Bildungsoffensive an. Geplant sei ein Software-Campus, der 100 Spitzenkräfte pro Jahr finanziell fördert sowie ein Bitkom-Management-Club, in dem jährlich 17 Ausnahmetalente von ebenso vielen Betreuern zu jungen Führungskräften herangebildet werden sollen. Mitte 2011 soll ein mehrsprachiges Online-Portal „Work and Study in Germany“ potentiell zuwanderungswilligen IT-Fachkräften das Leben in Deutschland nahebringen. Da wird man aber in der deutsche Arbeits- und Sozialordnung, im deutschen Steuerrecht sowie im Personalmanagement fast aller deutscher Unternehmen noch sehr viel tun müssen, um die realen Defizite in den Bereichen Aus- und Weiterbildung, Personalmanagement, faire Entgelte sowie Steuern und Sozialabgaben abzuräumen. Dem steht das Vorhaben des BITKOM, das für eine erleichterte Zuwanderung nachzuweisende jährliche Mindesteinkommen auf das Einstiegsniveau von Junior-Ingenieuren ohne Berufserfahrung abzusenken, jedoch eher entgegen.
Es bleibt also abzuwarten, ob die Vielfalt der Interessenslagen der Beteiligten sowie die äußerst ungleiche Verteilung von Wissen, Kompetenz und Sachverstand zu Themen mit IT-Bezug aus den Programmpunkten konkrete Politikansätze entstehen lassen.
2 Kommentare | Allgemeines, Informationssicherheit, Netzkultur | Mit Tag(s) versehen: Bürgerrechte, BITKOM, e-Business, e-Government, Fachkräftemangel, Immaterialgüterrecht, Informationssicherheit, Internet, IT-Gipfel, IT-Sicherheit, Netzkultur, Netzzensur, Softwareentwicklung, Softwarequalität, Staat, Technologieevaluation, Telematik, Ubiquitous Computing, Unternehmen, Urheberrecht, Verwerterlobby, Vorratsdatenspeicherung | Permalink
Verfasst von Guido Strunck
