Im Interview: Der Vater der Firewall

Viele Verkäufer sagen, eine Firewall sei nicht ausreichend. Welche zukünftigen Entwicklungen erwarten Sie für diese Art von Produkt?

Ist Ihnen schon einmal aufgefallen, dass die Verkäufer, die sagen „eine Firewall ist nicht genug“, normalerweise neben der Firewall noch etwas anderes verkaufen wollen? Ein seltsamer Zufall, nicht? Was ich entäuschend finde, ist dass Firewalls fast ausreichend sein könnten, hätte die Vision der Firewall-Designer nicht mit ‚Fast Packet Inspection‘ geendet und stattdessen mehr hervorgebracht. Der einzige Grund, dass es überhaupt einen Markt für Intrusion-Detection-Produkte gibt, liegt darin, dass die Firewall-Hersteller zu beschäftigt waren, ihre Firewalls zu verkaufen, anstatt darüber nachzudenken, wie sie sich um Fähigkeiten der Intrusion-Detection ergänzen ließen.

Außerdem hatten sie zuviel Angst, dass ihre Produkte dadurch langsamer und sie aufgrund von Benchmark-Ergebnissen Kunden verlieren würden. Heutzutage können Firewalls recht effektiv mit VPNs umgehen. Warum sie nicht auch Content-Scanning, Anti-Virus-Funktionen, Intrusion-Detection und Honeypots umfassen können, ist für mich ein echtes Rätsel.

Was glauben Sie, auf welche Weise sich die zukünftigen Entwicklungen der Betriebssysteme auf die Sicherheitsprobleme auswirken werden? Sehen Sie in Bezug auf Sicherheitssysteme eine Vorherrschaft von Windows oder von Linux oder des traditionellen Unix?

Ich glaube nicht, dass unter den Betriebssystemen ein ausschlaggebender Unterschied auszumachen ist. Sowohl Windows als auch Unix verfügen über starke Fähigkeiten zur Durchsetzung von Einschränkungen im Interesse der Sicherheit in Anwendungen. Aber die Mehrheit der Anwender lässt sie deaktiviert oder die Programmierer der Anwendungen nutzen sie nicht – oder verlangen tatsächlich, dass sie deaktiviert sind. Deshalb denke ich, dass die Betriebssysteme keinen großen Unterschied machen, solange die Anweisung ‚Deaktivieren Sie Ihren Antivirus-Schutz, während Sie dieses Programm installieren‘ noch die Norm ist.

Wie sehr hat der 11. September die Sicherheitsthematik und die Technologien beeinflusst?

Nicht besonders stark. Es gab eine Menge Aufmerksamkeit und Übertreibung, aber tatsächlich hat sich nur sehr wenig geändert.

Was halten Sie von der Gemeinschaft der ‚ethischen Hacker‘?

Einen ‚ethischen Hacker‘ gibt es nicht – das ist so, als würde man von einem ‚ethischen Vergewaltiger‘ sprechen – und das ist ein Widerspruch in sich. Die Situation ist die, dass Ende der 1990er eine Menge Hacker bemerkten, dass sie eine Menge Geld machen konnten, wenn sie ihre Fähigkeiten und Kenntnisse für legale Zwecke einsetzten. Im Grunde ist dies aber ein Schwindel, denn es gab schon immer legale Sicherheitsexperten, die genauso fähig (normalerweise aber noch fähiger) waren als die Hacker. Aber die Hacker haben es verstanden, ihren ‚Underground-Charme‘ gut zu verkaufen, und damit haben sie jede Menge Geld verdient. Es geht wirklich nur ums Marketing. Ich kann niemanden dafür beschuldigen, Geld verdienen zu wollen, und ich nehme an, es ist besser, wenn diese Jungs ehrlichen Jobs nachgehen, anstatt Ärger zu machen. Was mich ärgert, ist dass diese als ‚Sicherheitsexperten‘ arbeitenden ‚ethischen Hacker‘ weiterhin Hacking-Tools schreiben und vertreiben und somit tatsächlich das Problem mit verursachen, mit dessen Verhinderung sie Geld verdienen. Das ist einfach unethisch.

Arbeiten Sie momentan an einem bestimmten Projekt?

Im Moment arbeite ich als Berater an einer Reihe wichtiger und interessanter Projekte und beginne auch gerade damit, mich für die Analyse von Security-Logs zu interessieren. Ich bin gerade mit der Erstellung einer Webseite über die Log-Analyse (http://www.loganalysis.org) fertig geworden und habe Tools für die forensische Log-Verarbeitung geschrieben. Dies ist ein sehr interessantes Projekt, denn manchmal hat man es mit riesigen Datenmengen zu tun, die sehr schnell verarbeitet werden müssen. Der Versuch, eine einzige mögliche Attacke in 422 Millionen Log-Aufzeichnungen zu finden (ein reales Projekt, an dem ich gerade gearbeitet habe), stellt eine mehrschichtige Herausforderung dar. So kann mein Leben nicht langweilig werden.

Marcus J. Ranum wurde interviewt von Alberto D’Ottavi, Chefredakteur von ZDNet Italia, und Gaetano D’Elia, Information Risk Management Consultant bei KPMG und leitender Redakteur für Sicherheitsthemen bei ZDNet Italia.