31.03.2017 Sicherheitsaspekte bei der Anwendungsmodernisierung

Sorgsame Öffnung von IBM i

Von: Jana Klinge

Für die Modernisierung von Anwendungen auf der Plattform IBM i sind Desktop- und Weblösungen populär. Bei der Entscheidung für die gewünschte(n) Zielplattforme(n) stehen oft strategische Aspekte im Vordergrund. Die Suche nach der richtigen Technologie und dem geeigneten Werkzeug wird dann vor allem durch funktionale Anforderungen geprägt. Resultierenden Sicherheitsrisiken werden in diesem Zusammenhang oftmals zu wenig beachtet, was fatale Folgen haben kann.

Die Gründe für die Sorglosigkeit liegen in der Vergangenheit. Die AS/400 galt schon bei ihrer Markteinführung vor fast 30 Jahren als besonders sicher. Mit ihrem proprietären Betriebssystem OS/400, der IBM-Datenbank DB2, Sprachen wie RPG und CL und der Twinax-Verkabelung war sie bestens abgeschottet. Dass sich dies in den letzten Jahren geändert hat, ist vielen heutigen Usern von IBM Power i noch nicht wirklich bewusst.

Die IBM hat das ehemals geschlossene System für neue Technologien geöffnet. Zusätzliche Betriebssysteme wie Linux, AIX und Windows, Technologien wie TCP/IP, SQL, RPG OA, Webservices und Programmiersprachen wie HTML, PHP oder Javascript u.v.m. stehen heute auf Power-Systemen zur Verfügung. Sie ermöglichen die Einbindung in heterogene IT-Landschaften und die Kommunikation mit anderen Systemen über Standards wie TCP/IP, SQL oder Webservices. Vieles davon ist in der modernen Software-Entwicklung nahezu unverzichtbar.

Die Kehrseite der Öffnung von IBM i

Die Kehrseite ist, dass Hacker vorhandene Sicherheitslücken leichter ausnutzen können. Dabei richten sich Angriffe meistens nicht gegen ein bestimmtes Ziel. Vielmehr suchen automatisierte Angriffs-Tools, sogenannte Bots, permanent im Internet nach „offenen Türen“, um dadurch in Netzwerke einzudringen. Laut Bitkom Research 2015 war jedes zweite Unternehmen in Deutschland, darunter am stärksten die Branchen Automobilbau, Chemie & Pharmazie sowie Finanz- & Versicherungswesen, von Datendiebstahl, digitaler Wirtschaftsspionage oder Sabotage betroffen. Der dadurch angerichtete Schaden habe bei 51 Mrd. Euro gelegen.

Sogar die großen, internationalen Technologie-Unternehmen blieben trotz beträchtlicher Sicherheitsbudgets und -maßnahmen davon nicht verschont. Allein 2016 wurden durch Datendiebstähle bei Yahoo, Ebay und Linkedin über 1 Mrd. Datensätze gehackt; auffällig ist der hohe Anteil amerikanischer Firmen bei denen erfolgreich angegriffen wurde (Grafik).

Was bedeutet dies für die Anwendungsmodernisierung?

Modernisierung in Form von Desktoplösungen bietet nicht nur funktional sondern auch sicherheitstechnisch erhebliche Vorteile gegenüber Web. Im Intranet können diese Anwendungen durch Firewalls gut geschützt werden. Sicherheitsexperten empfehlen außerdem die Trennung von Identitäts-, Applikations-, Entwicklungs-, Datenbank-, Datei- und Webserver, wobei zusätzliche Firewalls den Anwender- und Entwicklerbereich separat abschotten.

Alles auf einem zentralen System zu verwalten, halten Sicherheitsexperten mindestens für fahrlässig. Auch wenn die Administration einfacher sein mag, hätte ein Eindringling sogleich Zugriff auf alle unternehmensrelevanten Bereiche.

Sicherheitsrisiko Webanwendung

Das Sicherheitsrisiko für Webanwendungen ist im Vergleich zu Desktoplösungen um ein vielfaches höher. Dennoch gibt es webbasierte Modernisierungsansätze, die noch Player-Architekturen und Open Source nutzen – und so drei besonders gefährdete Technologien vereinen.

Ein besonderes Risiko bei Weblösungen resultiert aus der Möglichkeit, die zwischen Server und Client übermittelten Informationen selbst nach einer SSL-Verschlüsselung mit einfachsten Mitteln direkt aus dem Browser auszulesen. Damit sind nicht nur die Daten, sondern auch die Programmquellen der Applikation, SQL-Anweisungen u.v.m. protokollierbar – und können anschließend auf Schwachstellen untersucht und auch angegriffen werden.  Hierfür existieren bereits Tools im Internet, die einfach heruntergeladen werden können.

Sicherheitslücken im Browser

Auch die Browser selbst weisen Sicherheitslücken auf. Vor allem die immer neuen Funktionen, die für die Anwendungen zwar vorteilhaft sind, bergen allzu Risiken, die dann im Nachhinein durch Sicherheitsupdates der Hersteller erst wieder geschlossen werden müssen. Auch werden bei den browserbasierten Playern grundlegende Standardtechnologien gern mittransportiert. Selbst wenn diese gar nicht von einer Anwendung genutzt werden, stehen sie prinzipiell zur Verfügung und können schlimmstenfalls von Hackern missbraucht werden.

Eindrucksvoll wurden auch beim diesjährigen „Hacker“-Wettbewerb „Pwn2Own“ wieder zahlreiche Sicherheitslücken aufgedeckt. Und dabei ging es nicht nur um einfachen Datendiebstahl, sondern um die vollständige Kontrollübernahme eines Gerätes. Die Teams aus verschiedenen Sicherheitsexperten demonstrierten anhand zahlreicher Beispiele das Einschleusen und Ausführen von Schadcode bis hin zur kompletten Übernahme eines Systems.

Browser wie Edge, Firefox und Safari waren die häufigsten Ziele. Aber auch Sicherheitslücken der Betriebssysteme Windows, MacOS und Ubuntu Linux sowie der Anwendungen Adobe Reader und Flash-Player wurden erfolgreich ausgenutzt. Dies gilt als besonders brisant, da MacOS und Linux bislang als sicherer im Vergleich zu Windows galten. Sogar der Ausbruch aus der vermeintlich sicheren Browser-Sandbox und einer virtuellen Maschine gelangen, wodurch das Hauptsystem übernommen werden konnte (Details hier).

Hersteller gefordert

Nun sind die Hersteller gefordert, diese Sicherheitsrisiken möglichst schnell zu schließen, damit sie nicht für bösartige Angriffe genutzt werden können. Während Mozilla bereits reagiert und eine kritische Schwachstelle mit dem neuesten Firefox-Update behoben hat, gibt es von den anderen Herstellern noch keine Sicherheitsupdates (Stand 20. März 2017).

Eine Auswertung von Kaspersky Lab, Anbieter von Antivirus- und Sicherheitslösungen, bringt es auf den Punkt: Von Cyberkriminellen ausgenutzte, verwundbare Anwendungen waren zu 60 Prozent Browserlösungen. Mit riesigem Abstand folgen Android OS (lediglich 15 Prozent) und Oracles Java (10 Prozent). Webbrowser und somit auch Webanwendungen sind offensichtlich besonders angreifbar, was ihre Absicherung schwierig und aufwändig macht; bei der Entscheidung für eine bestimmte Modernisierungsplattform muss dieser Sicherheitsaspekt daher Berücksichtigung finden.

Open-Source-Risiken im Griff behalten

Auch der Einsatz von Open-Source-Software, egal ob in Verbindung mit Weblösungen oder nicht, birgt Sicherheitsrisiken. Zum Beispiel nutzt IBM diese kostengünstige Möglichkeit für die Software-Entwicklung – und ist dadurch immer wieder gezwungen, neu entdeckte Sicherheitslücken durch Patches zu schließen. Allein im Februar hat IBM vier Sicherheitsrisiken im OpenSSL (einer freien Software für Transport Layer Security) behoben; in der Zeit zwischen Bekanntwerden und Beheben einer solchen Schwachstelle, sind die betroffenen Systeme natürlich besonders gefährdet.

Erschwerend kommt hinzu, dass IBM diese Sicherheitslücken oftmals nur für neuere Releases schließt, so dass in älteren Versionen bekannte Sicherheitslücken offen und für Hacker nutzbar bleiben. Besonders kritisch hierbei ist auch, dass die Kunden der IBM selbst keinen Einfluss auf die Problemlösung nehmen können. Sie sind darauf angewiesen, dass IBM das Bugfixing vornimmt und ein Update liefert. Folglich: Wer Open-Source-Bibliotheken in seiner Software einbindet, hat damit die Verantwortung für das Bugfixing – und damit nicht zuletzt auch für die Sicherheit.

Gern wird behauptet, Open Source wäre sicher, weil die Programmierung für jeden sichtbar und überprüfbar ist, wodurch Bugs und Sicherheitsrisiken auffindbar und korrigierbar seien. Doch die Praxis hat 2014 mit dem Heartbleed Bug im OpenSSL das Gegenteil bewiesen. Die SSL-Verschlüsselung sollte Sicherheit bei der Datenübertragung im Internet bringen. Doch mit der jahrelang vorhandenen und unentdeckten Heartbleed-Backdoor konnte der gesamte SSL-verschlüsselte Datenverkehr angezapft werden. Welcher Schaden so entstand, wagt niemand abzuschätzen.

Deshalb gilt es zu bedenken: Open-Source-Software kostet zwar kein Geld, wird aber mit einem Verlust an Sicherheit, Haftung und Wartung bezahlt. Mehr Informationen zum Thema liefert ein aktuelles Video „Power i Sicherheitsaspekte bei modernen Frontends“ der ML-Software GmbH.

Bildquelle: Thinkstock/iStock / Bitkom Research 2015 / Statista 

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH