Sicherheitslecks: Wie abhängig sind wir?
Artikel erschienen in Swiss IT Magazine 2002/42
Wenn über Monopole in der IT-Branche die Rede ist, dann werden die meisten nur an Microsoft denken. Schliesslich hat kein IT-Anbieter mit seinen Produkten einen solchen Marktanteil. Und doch ist das nur eine von vielen Abhängigkeiten, denen sich IT-Anwender in den Unternehmen aussetzen - oft unbewusst. Solche Abhängigkeiten finden sich überall. Manchmal sind sie offensichtlich, etwa dort, wo ein Unternehmen seine Informatik an einen Service-Provider auslagert. Manchmal sind die Abhängigkeiten subtiler, etwa wo eine neue Branchenlösung angeschafft wird, von welcher wieder wegzukommen mit hohen Kosten verbunden ist.
Alle haben sie aber eine ganz besondere Abhängigkeit gemeinsam: Bei der Sicherheit ihrer Software hängen sie vom Hersteller ab. Wir sind uns gewöhnt, dass die Software, die wir erwerben, sicher ist und zum Beispiel Daten nicht Unbefugten zugänglich macht. Wir gehen natürlich auch davon aus, dass Geschäftspartner und Behörden ebenfalls sichere IT-Systeme einsetzen. Das Gesetz schreibt dies mit allerlei Geheimnispflichten und im Datenschutzgesetz sogar vor.
Doch IT-Sicherheit ist ein "moving target", ist also immer im Fluss. Ein heute als sicher geltendes Serversystem mag bald schon ein Sicherheitsrisiko sein, wenn durch Zufall ein Leck entdeckt und publik gemacht wird. Bisher geschah immer das Folgende: Der Hersteller bietet ein Programm zur Korrektur der unsicheren Software an und warnt vor der Lücke. Den "Patch" gibt es meist gratis über das Internet. Wer ihn hat, ist quasi geimpft.
Was heute als Selbstverständlichkeit gilt, muss keineswegs eine bleiben. Bisher war es zwar so, dass Softwarehäuser Patches für ihre Software, mit der Sicherheitslecks geschlossen werden konnten, gratis allen abgegeben haben. Doch eine rechtliche Pflicht haben die Anbieter nicht: Die Anwender ihrer Software haben mit ihnen - den Herstellern - oft keinerlei Vertragsbeziehung. Und selbst wenn sie eine solche hätten, wären etwaige Gewährleistungsansprüche nach kurzer Zeit mit Ablauf der Garantiefrist verjährt.
Da Software oft viele Jahre im Einsatz steht, sind wir Anwender auf den Goodwill der Softwarebranche angewiesen. Sicherheitslecks stopfen kann in den meisten Fällen nur der Hersteller. Hinterlegungsverträge für Software, über welche der Kunde selbst ein solches Wartungsrecht erhalten könnte, sind nicht die Regel. Ganz gleich, wie viel Marktanteil eine Softwarefirma hat - ihre Kunden sind vom Goodwill der Firmen abhängig.
Das ist aber nicht alles. Sicherheitslecks haben die Eigenschaft, dass sie sich nicht auf Dauer geheim halten lassen. Oft werden die Lecks nicht von den Herstellern selbst entdeckt; letzteren bleibt je nach Gnade des Entdeckers gar keine bis kurze Zeit, um ein Gegenmittel zu entwickeln. Ist die Information aber erst einmal publik, sind all jene, die über keinen Schutz verfügen, exponiert. Denn nun wissen auch die "Bösen" über die Schwäche.
Das Problem betrifft zudem nicht nur die Anwender der Software mit Sicherheitslecks, sondern auch jene, die von diesen Firmen abhängen. Fatal ist das dort, wo aufgrund von De-facto-Standards oder aus historischen Gründen viele dieselbe Software einsetzen. Dazu gehören nicht nur die Produkte von Microsoft, sondern auch andere, weniger bekannte Software wie beispielsweise das Programm Berkeley Internet Name Domain (BIND). Es wird weltweit für den Betrieb des Domain-Namen-Systems eingesetzt und ist darum für die Funktion des Internet von zentraler Bedeutung. Die meisten Anwender sind Provider.
Eben in diesem Programm ist vor kurzem ein heikles Sicherheitsleck entdeckt worden, das eine Softwarekorrektur erforderlich machte. Das Problem dabei: Das für den Patch zuständige Internet Software Consortium (ISC) wollte die Korrektur den meisten Benutzern des BIND-Programmes zunächst nicht geben. Stattdessen wurde diesen angeboten, gegen Bezahlung einen "Frühwarn-dienst" zu abonnieren. Dessen zahlende Mitglieder waren mit der Softwarekorrektur bereits bedient worden, während die anderen zuwarten mussten. Erst auf Druck der Öffentlichkeit hat ISC die Software auf seiner Website zum freien Bezug bereitgestellt.
Vielleicht war dies nur ein unglücklicher Einzelfall, verursacht durch schlechtes Gespür für die Lage. Vielleicht ist das aber auch der Vorgeschmack auf eine neue Zwei-Klassen-Gesellschaft, in der nur jene auf Dauer "sichere" Software haben werden, die dafür zu zahlen bereit sind. Bisher war das noch kein Problem. Doch vielleicht schwindet bald das Verantwortungsbewusstsein der Entwickler und sie beginnen, ihr De-facto-Monopol zu versilbern, angesichts des Leidensdrucks, den Sicherheitslecks im Gegensatz zu anderen Softwarefehlern bei ihrer Kundschaft auslösen. Denn ihre Kunden sind letztlich abhängig von ihnen, da ein rascher Wechsel auf andere Software hier aus praktischen Gründen in der Regel kein Thema ist. Microsoft wird bezüglich dieser Gefahr im übrigen kaum ein Problem sein, da die Wettbewerbshüter ein wachsames Auge haben. Doch es gibt noch genügend andere Software kleinerer Hersteller, von deren anhaltenden Sicherheit wir direkt oder indirekt abhängen.