Kommentar zum Bundeshack: Schluss mit Schlangenöl und Monokultur!
Schon die wenigen bekannten Informationen zum Hackerangriff auf das Bundesnetz offenbaren wieder einmal zentrale Schwächen der IT-Sicherheit der öffentlichen Verwaltung. Alvar Freude hat deswegen sieben Forderungen zusammengetragen.
(Bild: itkannan4u/TheDigitalArtist)
Es war nur eine Frage der Zeit: Am Mittwoch ist der nächste große Hackerangriff auf eine kritische Infrastruktur in Deutschland bekannt geworden. Besonders stark wüteten die Angreifer laut Medienberichten wohl im Auswärtigen Amt. Das hatte 2010 unter der Führung von Außenminister Guido Westerwelle beschlossen, die unter Joschka Fischer 2002 begonnene Linux-Strategie umzukehren und weitgehend zu Windows zurückzukehren. Es liegt nahe, die Frage zu stellen, ob der Angriff unter einem Linux-System auch so erfolgreich gewesen wäre?
Bei der jetzigen Informationslage lässt sich dies kaum und schon gar nicht seriös beantworten. Hundertprozentiger Schutz ist aber sowieso nicht möglich und auch Linux bzw. freie und Open Source Software im Allgemeinen ist nicht per se sicher. Klar ist aber, dass es einige Faktoren gibt, die solche Umgebungen wie ein Regierungsnetz anfällig machen. Die verbreitete Windows-Monokultur, starke Zentralisierung, wenig Abschottung einzelner Teile, mangelnde Kenntnisse bei Administratoren und Anwendern, falsche Prioritäten sowie die Abhängigkeit von einem einzigen (US-)Konzern gehören oftmals dazu.
Trotzdem könnte die IT-Sicherheit (nicht nur) in der öffentlichen Verwaltung erhöht werden. Sieben Vorschläge:
1. Stoppt die Windows-Monokultur!
Die öffentliche Verwaltung in Deutschland ist, bis auf wenige Ausnahmen, fest in der Hand von Microsoft. Dieses "Microsoft-Dilemma" bringt eine Reihe von Herausforderungen mit sich und viele Behörden ignorieren Sicherheitsbedenken. So ist es mangels Einblick in die komplette Funktionsweise und ohne Quelltext gar nicht möglich, besonders gehärtete Versionen (beispielsweise für den Geheimschutzbereich) zu erstellen.
Ein wirklich sicherer "Bundesclient" kann nicht auf proprietärer Software basieren, sondern nur auf einem offenen, schlanken und stabilen System. Natürlich ist es nicht realistisch, ein komplettes Betriebssystem mittelfristig von Grund auf neu zu entwickeln. Aber beispielsweise mit GNU/Linux oder FreeBSD steht eine brauchbare Basis bereit. Und es spricht nichts dagegen, alte oder spezielle Software in virtuellen Maschinen unter Windows laufen zu lassen, anstatt alles umzustellen. Eine Trennung und Abschottung verschiedener Bereiche (E-Mail, Browser, Textverarbeitung, Fachanwendungen) über VMs kann die Sicherheit erhöhen.
2. Weniger Schlangenöl!
IT-Sicherheit orientiert sich in der Praxis auch daran, was die Hersteller anbieten. Dies ist oft nur wirkungsloses Schlangenöl, manchmal aber auch richtig gefährlich. So wäre es besser, statt HTTPS-Verbindungen aufzubrechen, den Browser gleich in eine eigene abgeschottete und besonders überwachte Virtuelle Maschine zu packen. Und natürlich ist es sinnvoll, Flash zu deinstallieren, anderes wie regelmäßig erzwungene Passwort-Änderungen gefährdet aber wiederum die Sicherheit.
Übrigens: der angebliche Vorteil proprietärer Software, dass der Hersteller für Fehler ja haftbar gemacht werden könne, ist ebenso Schlangenöl. Oder ist auch nur ein Fall bekannt, bei dem ein Hersteller von Standard-Software wie Microsoft erfolgreich auf Schadensersatz wegen eines Bugs in Word oder Windows verklagt wurde?
3. IT-Sicherheit braucht einen höheren Stellenwert!
Trotz aller Lippenbekenntnisse fristet IT-Sicherheit in vielen Bereichen immer noch ein Nischendasein. Die reine Funktionalität ist meist wichtiger, die Sicherheit wird oftmals erst hinterher angehängt statt von Anfang an eingeplant. Dies ist naheliegend, denn IT-Sicherheit sieht man im normalen Betrieb nicht – außer sie nervt durch Gängelung. Aber auch hier kann Freie und Open Source Software helfen: Ihr großer Vorteil ist ja nicht, dass sie kostenlos ist, sondern dass man sie beliebig verändern und erweitern (lassen) kann.
Auch in der Abwägung mit anderen Interessen benötigt IT-Sicherheit einen höheren Stellenwert. Es ist unverantwortlich, wenn staatliche Stellen Sicherheitslücken horten oder einkaufen, um mittels Staatstrojaner in fremde Systeme – und seien die im Einzelfall noch so legitime Ziele – einzudringen: jede nicht geschlossene Sicherheitslücke gefährdet die Sicherheit aller Nutzer, denn es ist nur eine Frage der Zeit, bis diese ausgenutzt wird.
