RSA-Konferenz: die Intelligenz der IT-Sicherheit

Trustworthy Computing, die Anfang 2002 von Bill Gates ausgerufene Initiative für mehr Software-Sicherheit, zeige Wirkung, sagte bei der europäischen RSA-Security-Konferenz in Wien der Microsoft-Vizepräsident und Chef von Microsofts Trustworthy Computing Initiative (TWC), Scott Charney. Bei SQL-Servern habe man einen Rückgang von 16 auf drei Sicherheitsmeldungen in TWC-Zeiten verzeichnet. Noch nicht so weit sein man bei Betriebssystemen und beim Officepaket. Windows 2000 Server habe es auf 69 Meldungen gebracht, in Windows Server 2003 seien es noch 41 gewesen. "Die Zahlen auf null zu drücken ist selbstverständlich das Ziel. Aber erreichen werden wir das nicht", meinte Charney. "Es gibt auch immer noch Flugzeuge, die abstürzen."

Auch die Initiative, Regierungspartnern und beispielsweise akademischen Institutionen den Source-Code zur Verfügung zu stellen, habe kaum Hinweise auf Schwachstellen erbracht. Dort fehlten, zitierte Charney Aussagen der Partner, schlicht die Leute, die einen Blick auf den Code werfen könnten. "Es ist hart, solche Schwachstellen im Source-Code zu finden." Kritik von Kunden, die Patches sofort und nicht nach einem festen monatlichen Plan fordern, widersprach Charney: Da Exploits meist nach der Bekanntgabe neuer Patches kämen, bestehe für die Kunden kein höheres Risiko.

Die Integration von mehr und mehr Sicherheits-Intelligenz in Produkte und in Netze ist ein zentrales Thema bei der RSA-Konferenz. Cisco kündigte beispielsweise den Support für Network Access Control (NAC) nach den Routern auch für alle Catalyst-Switches und Wireless-Lösungen an. Gastgeber RSA stellte eine Lösung für Single-Sign-On vor für Windows-Desktops und -Netzwerke. Doch es fehle, sagte Symantec-Sicherheitschef Tim Mather, nach wie vor an kommerziellen Key-Management-Systemen.

Mehr Sicherheit und mehr Verschlüsselung bleibt aus Sicht von Regierungen, mit denen man laut Art Coviello, CEO von RSA, mehr denn je zusammenarbeiten müsse, eine zwiespältige Angelegenheit. Charney, der bis 2002 als Cybercrime-Experte im US-Justizministerium gearbeitet hat, nahm auch Stellung zu möglichen Schwachstellen in den Netzen, die sich aus wachsenden Anforderungen der Strafverfolgung ergeben: "Verschlüsselung wird für Online-Pornographie ebenso genutzt wie für legitime Zwecke." Man habe sich aber gegen Verbote entschieden. Auf der anderen Seite müssten Abhörmöglichkeiten sein, auch wenn dadurch Sollbruchstellen entstünden. "Regierungen haben entschieden, dass der Nutzen die Kosten aufwiegt." Ein sicheres Zugangsmanagement sei dann allerdings notwendig.

Mit Blick auf europäische Diskussionen zur Vorratsdatenspeicherung meinte Charney, seine eigene Erfahrung spreche für kurze Speicherfristen. "Die Aufklärung von Cybercrime ist kompliziert und hat dann die besten Aussichten auf Erfolg, wenn das Opfer sofort Anzeige erstattet." Ein Unternehmen, das nach neun Monaten ein Verbrechen melde, werde wohl eher mit dem Hinweis beschieden, dass es für Ermittlungen zu spät sei. Lange Speicherfristen sprächen gegen alle Prinzipien, nach denen Daten irgendwann auch gelöscht werden müssten. "Ich persönlich denke, man kann nicht ewig speichern, nur weil man sagt, man wisse nie, ob das nicht doch noch gebraucht wird'." Überreaktionen, etwa mit Blick auf Anonymität im Netz, seien nicht angebracht, immerhin hätten die Anthrax-Versender in den USA auch keinen Absender auf ihre Briefe geschrieben.

Der Terrorismus, der in den vergangenen Jahren immer mehr als Argument für schärfere Sicherheitsgesetze herhalten musste, werde übrigens weder durch Strafverfolgung und Geheimdienste noch durch Technologie beseitigt, sagte die ehemalige MI5-Direktorin Stella Rimington zum Auftakt der RSA-Konferenz. Rimington, die die Veränderung der Anforderungen an die Dienste beschrieb, betonte: "Während des kalten Krieges kannten wir den Gegner. Jetzt haben wir es mit Unbekannten, oft jungen Leuten zu tun." Schwierig sei es für die Dienste, dass sie heute mehr Informationen über Gefahren öffentlich zur Verfügung stellen sollen, über die sie tatsächlich aber weniger Informationen haben. (Monika Ermert) / (jk)