Die Entwicklung von Software unter Einhaltung von strengen Sicherheitsstandards stellt Unternehmen vor ein Problem: Eigentlich müsste die Integration von Security von zwei Seiten her erfolgen, durch Standardisierung von unten und durch die frühzeitige Integration der IT-Sicherheit in die Entwicklungsprozesse von oben.
Seitens der Hersteller gibt es zwar eine ganze Reihe von Standardisierungsinitiativen, etwa die Oasis Web Services Security oder die Trusted Computing Group. Derartige Vorhaben sind jedoch nicht mehr als ein Tropfen auf den heißen Stein, um durch sichere Anwendungsentwicklung tatsächlich zu besseren Softwareprodukten zu gelangen. Schaut man dann in die alltägliche Praxis hinein, so ist der Graben noch tiefer. Buffer Overflows sind immer noch das größte Sicherheitsproblem in Software, obwohl jedem Informatiker klar ist, wie man sie vermeidet. Es gibt unzählige Baustellen von Browser- und Kernel-Bugs bis hin zu Problemen in Datenbanken wie der von Oracle.
Einfache Angriffstechniken zeigen die Defizite
So startete im November 2006 die Kampagne „Monat der Kernel-Bugs“ unter Federführung des Metasploit-Projekts, in der Tester unterschiedliche Betriebssysteme genauer unter die Lupe nahmen. Im Laufe des Projekts fand sich jeden Tag auf der Webseite ein neuer Kernel-Bug, der mit Hilfe von „Black-Box-Testing“ aufgezeigt wurde. Sogar mit veralteten Methoden wie „Fuzzing„, dem Füttern von Anwendungen mit automatisch erzeugten und pseudo-zufälligen Eingaben, ließen sich gravierende Fehler in den Betriebssystem-Kernen finden.
Fuzzing bringt natürlich zunächst eher triviale Fehler hervor. Es braucht aber kaum Fantasie, um anschließend den Gütegrad der jeweiligen Anwendungen generell in Frage zu stellen. Offenbar haben viele Softwarehersteller nach wie vor erheblichen Nachholbedarf in der Softwarequalität. „Die Entwicklung sicherer Software als Vision zu formulieren, ist ohnehin problematisch, denn Sicherheit ist ja kein Selbstzweck“, sagt Professor Christoph Meinel, Geschäftsführer am Hasso-Plattner-Institut für Softwaresystemtechnik (HPI) in Potsdam.
Über drei Millionen Angriffsversuche unter Deckmantel von Minecraft / YouTube-Star Mr. Beast als prominenter Köder
Die Prognose für die Anfahrt bezieht das Verkehrsaufkommen, die Stellplatzverfügbarkeit sowie die Lenk- und Ruhezeiten…
Unternehmen können mit Casebase Portfolio an Daten- und KI-Anwendungsfällen organisieren.
Smart-TV oder Saugroboter: Nutzer schützen ihre smarten Heimgeräte zu wenig, zeigt eine repräsentative BSI-Umfrage.
Im Benchmark erreicht der neue Core Ultra 200V eine Laufzeit von 14 Stunden. Intel tritt…
Jeder dritte hält sich damit für unsichtbar. Wie widersprüchlich unser Datenschutzverhalten oft ist, zeigt eine…