Die Entwicklung von Software unter Einhaltung von strengen Sicherheitsstandards stellt Unternehmen vor ein Problem: Eigentlich müsste die Integration von Security von zwei Seiten her erfolgen, durch Standardisierung von unten und durch die frühzeitige Integration der IT-Sicherheit in die Entwicklungsprozesse von oben.
Seitens der Hersteller gibt es zwar eine ganze Reihe von Standardisierungsinitiativen, etwa die Oasis Web Services Security oder die Trusted Computing Group. Derartige Vorhaben sind jedoch nicht mehr als ein Tropfen auf den heißen Stein, um durch sichere Anwendungsentwicklung tatsächlich zu besseren Softwareprodukten zu gelangen. Schaut man dann in die alltägliche Praxis hinein, so ist der Graben noch tiefer. Buffer Overflows sind immer noch das größte Sicherheitsproblem in Software, obwohl jedem Informatiker klar ist, wie man sie vermeidet. Es gibt unzählige Baustellen von Browser- und Kernel-Bugs bis hin zu Problemen in Datenbanken wie der von Oracle.
Einfache Angriffstechniken zeigen die Defizite
So startete im November 2006 die Kampagne „Monat der Kernel-Bugs“ unter Federführung des Metasploit-Projekts, in der Tester unterschiedliche Betriebssysteme genauer unter die Lupe nahmen. Im Laufe des Projekts fand sich jeden Tag auf der Webseite ein neuer Kernel-Bug, der mit Hilfe von „Black-Box-Testing“ aufgezeigt wurde. Sogar mit veralteten Methoden wie „Fuzzing„, dem Füttern von Anwendungen mit automatisch erzeugten und pseudo-zufälligen Eingaben, ließen sich gravierende Fehler in den Betriebssystem-Kernen finden.
Fuzzing bringt natürlich zunächst eher triviale Fehler hervor. Es braucht aber kaum Fantasie, um anschließend den Gütegrad der jeweiligen Anwendungen generell in Frage zu stellen. Offenbar haben viele Softwarehersteller nach wie vor erheblichen Nachholbedarf in der Softwarequalität. „Die Entwicklung sicherer Software als Vision zu formulieren, ist ohnehin problematisch, denn Sicherheit ist ja kein Selbstzweck“, sagt Professor Christoph Meinel, Geschäftsführer am Hasso-Plattner-Institut für Softwaresystemtechnik (HPI) in Potsdam.
Neueste Kommentare
Noch keine Kommentare zu Teufelskreis Entwicklung: Warum Software nicht sicher ist
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.