Update: Lücke in der Verschlüsselung betrifft auch das Power System i

Drei Lehren aus Heartbleed

Zuerst hieß es von IBM, die AS/400 und ihre Nachfolger seien nur indirekt betroffen von Heartbleed, der jahrelang unentdeckten Lücke in OpenSSL. Am Karfreitag folgte jedoch das Security-Bulletin CVE-2014-0160 mit dem Hinweis, das auch die Firmware der aktuellen Power Systems, die HMC-Konsole und die Systems Director Management Console (SDMC) geschädigt sind. IBM empfiehlt das schnellstmögliche Patching der Firmware und die Änderung aller Passwörter sämtlicher Applikationen, die über das Netzwerk erreichbar sind. Das lehrt vor allem eines: So geht es mit der Internetsicherheit nicht weiter.

Fehler passieren und manche sind katastrophal. Heartbleed ist ein solcher Fehler. Es ist eine Riesenlücke in OpenSSL, einer Implementation der Transportverschlüsselung im Internet. Der Fehler in den Versionen 1.0.1 bis 1.0.1f blieb zwei Jahre lang unentdeckt - niemand hatte mehr hingeschaut. Aber weil es sich um ein quelloffenes Projekt handelt, wurde der Fehler irgendwann doch entdeckt.

Die Plattform IBM i schien zunächst nur indirekt betroffen, weil IBM in den Produkten Websphere, Domino und dem Lizenzprogramm IBM Portable Utilities for i (5733-SC1) die schon etwas ältere OpenSSL-Version 0.9.8 verwendet, die diesen Fehler noch nicht hat. Update: Betroffen ist allerdings die Firmware der aktuellen Power Systems, die HMC-Konsole und die Systems Director Management Console (SDMC), wie aus dem Security-Bulletin CVE-2014-0160 hervorgeht. 

Betroffen sind AS/400-Anwender aber auch, weil eingesetzte Programme anderer Anbieter (auch auf anderen Plattformen) als Angriffspunkt dienen können. Neben Cisco und Juniper „bluten“ auch Vmware, Citrix und viele weitere Hersteller von Netzwerkkomponenten und Software. Die User-IDs und Passwörter können bei der Kommunikation via VPN oder über andere verletzbare Verbindungen verloren gegangen sein.

Viele AS/400-Spezialisten erklären wie Townsend Security oder Linoma Software, dass ihre Produkte nicht betroffen sind – ebenso deutsche Hersteller wie HOB oder Lancom. Das heißt für den IT-Chef: Er muss die eingesetzten Produkte darauf prüfen, ob sie fehlerhaft sind. Und zwar rückwirkend bis März 2012, denn ab diesem Zeitpunkt könnten Transaktionen abgehört worden sein. Die einzig gute Nachricht: Der Fehler lässt sich bereits beheben – und viele Hersteller und Provider haben das auch prompt getan, jedoch längst noch nicht alle.

Open Source  – vollkommen transparent

Open Source Software unterscheidet sich in einem sehr wichtigen Punkt von herkömmlicher kommerzieller Software: Sie ist vollkommen transparent. Der Quellcode der Software kann vollständig eingesehen werden und die Namen der Entwickler sowie anderer beteiligter Personen (Codeprüfer, Tester usw.) sind bekannt.

Dies ist ein enormer Vorteil, denn es ist jederzeit nachvollziehbar, was die Software genau im Computer anstellt und wer dafür gesorgt hat, dass sie es anstellt. Und im Falle von Heartbleed/OpenSSL haben einige Leute mal etwas genauer hinschaut, die eigentlich gar nichts mit der Entwicklung dieses Produktes zu tun haben.

Sie entdeckten unabhängig voneinander den Heartbleed-Bug und damit gleichzeitig auch denjenigen, der diesen Fehler gemacht hat. Viel wichtiger: Es ist auch klar, warum dieser Fehler passiert ist. Beteiligt waren der Entwickler und ein Prüfer und zwar unter wenig professionellen Umständen. Der Prüfer gab sein OK in der Sylvesternacht um ein Uhr morgens. Das ist ausnehmend groovy, aber nicht so optimal für eine Software mit der Bedeutung von OpenSSL.

Daran lassen sich drei Dinge erkennen. Erstens: Open Source Software funktioniert. Zweitens: Manche Projekte sind erstaunlich unterfinanziert und schlecht ausgestattet. Drittens: Böswillige Akteure könnten sich relativ einfach in Open-Source-Projekte einschleichen und dort ihr Unwesen treiben. Gerade ein kritisches und für die gesamte Infrastruktur im Internet wichtiges Projekt wie OpenSSL sollte sich durch mehrfache Kontrollen und häufige Audits auszeichnen. Dass lediglich elf Leute für die Funktionsfähigkeit eines Angelpunktes des Internets verantwortlich sind, ist ein ziemlich starkes Stück.

1. Open Source Software benötigt Unterstützung

Doch die Lösung dieses Problems kann nicht die Überführung eines solchen Projektes in Closed Source Software sein. Im Gegenteil: Open Source Software muss unterstützt werden, vor allem in kritischen Bereichen wie Informationssicherheit und Netzinfrastruktur.

Für Projekte wie OpenSSL müsste dringend eine unabhängige und dauerhafte Organisation geschaffen werden. Es sind verschiedene Modelle denkbar, die von einem Verein über eine Stiftung bisschen zu einem gemeinnützigen Unternehmen reichen könnten.

2. Verschlüsselung ist zu kompliziert

Doch dies nur eine Lehre. Heartbleed führt zu weiteren Erkenntnissen. Die bisherigen technischen Verfahren zur Transportverschlüsselung sind zu kompliziert und für Entwickler nur schwer beherrschbar.

Die Implementation von Verschlüsselung gehört ohnehin zur Königsklasse der Softwareentwicklung. SSL ist noch einmal paar Ebenen höher in der Coder-Stratosphäre angesiedelt - wo vielen Entwicklern ganz schnell die Luft ausgeht.

Gefragt sind also ganz dringend moderat komplizierte Standards der Transportverschlüsselung, die für Entwickler leichter zu implementieren und für Anwender vollkommen transparent sind.

3. Kennwörter sind von gestern

Und eine dritte Lehre lässt sich aus den Folgen von Heartbleed ziehen: Kennwörter sind als Sicherungsverfahren ungeeignet, jedenfalls zu den heutigen Bedingungen. Heute sind kurze Kennwörter in absehbarer Zeit zu errechnen und eine Wörterbuchattacke geht immer. Diese Liste dürfte für mindestens 80 Prozent der Fälle ausreichen.

Kennwörter entstammen einer Zeit, als Computeranwender gleichbedeutend mit Techniker oder Wissenschaftler war. Viele Anwender nutzten neben ihrem Benutzerzugang zu einem Host-Rechner höchstens noch zwei bis drei weitere Kennwörter.

Das Kennwortverfahren ist für genau diese Situation optimiert: Ein technikaffiner Anwender hat seine sicheren und nicht zu erratenden Kennwörter im Kopf (Das hat auch damals nur in der Theorie funktioniert).

Doch wir leben in Zeiten, in denen völlig durchschnittliche Anwender leicht auf ein Dutzend Accounts im Internet kommen. Da ist es natürlich nahe liegend, eines der beliebten Evergreen-Passwörter wie "123456" oder "Passwort" zu benutzen. Oder, ebenso schlimm, sich ein gut zu merkendes Passwort auszudenken und für sämtliche Accounts im Internet zu benutzen.

Sicherheitslücken schließen - aber wie?

Doch wie könnte ein sicheres und unkompliziertes Verfahren aussehen? Das ist die Billionen-Dollar-Frage. Apple scheint auf Fingerabdrücke zu setzen. Facebook und Google lassen sich bei zahlreichen Webservices auch als Single-Sign-On-Lösung nutzen. Außerdem bieten viele Dienste eine Zwei-Faktor-Authentifizierung als optionalen Schutz an.

Diese und zahlreiche andere Verfahren haben jedoch immer das Problem der Sicherheitslücken. Das gilt sogar für den neuen Bundespersonalausweis gilt, der ja als Identifikationsmerkmal im Internet propagiert wird. Wir werden sehen, welches Startup als erstes mit einer genialen Idee um die Ecke kommt.

Bildquelle: Hisks / freeimages.com

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok