Zeitung Heute : „Den sicheren PC gibt es erst in zwanzig Jahren“

-

Sicherheitsexperte Klaus Brunnstein: Ob Windows oder Linux – bei Computern fehlt der Verbraucherschutz

KLAUS BRUNNSTEIN

lehrt Informatik an der Universität Hamburg. Zu seinen Arbeitsschwerpunkten gehört die Sicherheit von Computersystemen.

Foto: ARD

Ein 18-jähriger Schüler bringt die Computerwelt ins Wanken. Da stellt sich die Frage: Wie ist es um die Computersicherheit bestellt?

Zunächst einmal glaube ich nicht daran, dass der Internet-Wurm Sasser tatsächlich auf Millionen von Rechnern verteilt wurde. Dafür gibt es keine Beweise. Nach meinen Erkenntnissen befand er sich gerade einmal auf einigen Zehntausenden Computern.

Aber wie kommen die Zahlen von sechs Millionen verseuchten Computern zustande?

Die sind geraten worden. Der finnische Sicherheitsexperte Mikko Hypponen wurde nach seiner Einschätzung zu Sasser gefragt. Er sagte, die Auswirkungen seien ähnlich wie beim Blaster-Virus, der sich ebenfalls über eine Sicherheitslücke und nicht über E-Mails verbreitete. Daraus wurde dann die Zahl von sechs Millionen hochgerechnet. Allerdings wissen wir, dass solche Lücken bei Windows regelmäßig alle zwei bis drei Wochen entdeckt werden. Wir rechnen in diesem Jahr wieder mit 50 Patches (Reparaturprogramme der Software-Firmen).

Das sagt eine ganze Menge über den Zustand der Computersicherheit aus.

Richtig. Diese Technologie ist so schlecht programmiert und entsprechend verletzlich. Das gilt für Microsoft, Linux und andere Software-Firmen, die sich damit herausreden, das ginge heute nicht anders. Sicher ist: Der Verbraucherschutz greift hier nicht. Man muss Microsoft und die Urheber der ganzen Linux-Fehler für die Schäden genauso haftbar machen, wie man einen Autohersteller haftbar machen kann, wenn ein Achsschenkel abfällt und dadurch Menschen verletzt oder getötet werden. Der Verbraucherschutz muss genauso für Software gelten. Erst dann werden die Firmen gezwungen sein, ordentliche Programme zu schreiben.

Versetzen Sie sich einmal in die Lage, sie müssten den „Sasser“-Schöpfer vor Gericht gegen eine Schadenersatzklage eines betroffenen Unternehmens verteidigen. Wie würden Sie argumentieren?

Ich möchte vorausschicken, dass ich schon häufiger als Gutachter vor Gericht auch in solchen Fällen tätig gewesen bin. Aber zum Thema: Das Strafgesetzbuch geht bei Computersabotage davon aus, dass das Unternehmen erst einmal alles unternommen haben muss, um gegen solche Angriffe geschützt zu sein. Doch bei Sasser hatte keines der Unternehmen einen besonderen Schutz gehabt. Die Türen standen vielmehr weit offen.

Das heißt, wer von Sasser betroffen war, hatte sich nicht ausreichend geschützt.

Genau so ist es. Nehmen sie die Postbank, deren Rechner nicht richtig gearbeitet haben. Am Anfang hieß es, der Sasser-Wurm sei eingebrochen. Später stellte sich heraus, dass die Postbank ihre Firewall falsch eingerichtet hatte, so dass keine Kommunikation mehr möglich war. Das ist doch kein Schaden, der Sasser zuzuordnen ist, sondern ein schwerster Organisationsfehler. Wer Sasser tatsächlich bekommen hat, hat mindestens drei Wochen lang den Sicherheitspatch von Microsoft nicht eingespielt. Doch selbst nach dem Ausbruch von Sasser wurde nicht gehandelt. Obwohl man bei den Antiviren-Herstellern sehr schnell erfahren konnte, welche Zugänge betroffen waren. Dieses Verhalten war grob fahrlässig. Wenn ich Gutachter des Verteidigers wäre, dann würde ich einfach nur fragen: Wo ist hier der Schaden?

Gilt das im gleiche Maße für Privatanwender, die große Probleme damit haben, all die Patches von Microsoft mit einem analogen Modem herunterzuladen?

Nein, aber ich gehe davon aus, dass bei den Privatanwendern auch eine geringere Gefahr besteht, dass große Werte vernichtet werden. Allerdings: Wer so leichtsinnig ist und seinen per Flatrate mit dem Internet verbunden Rechner unbeaufsichtigt lässt, während man bei der Vorlesung, der Arbeit oder einer Party ist, handelt ebenfalls fahrlässig.

Microsoft hat für Ende Juli angekündigt, das Service Pack 2 für Windows XP herauszubringen. Damit sollen viele Sicherheitslücken geschlossen werden. Reicht das aus, um die Situation insgesamt zu verbessern?

Keineswegs, und zwar aus grundsätzlichen Erwägungen. Um wirklich sicher zu gehen, sollte man nach der Konfiguration eines Systems eine lauffähige Backup-Kopie, also ein Image, erstellen. Darauf kann man bei Störungen immer wieder zurückgreifen. Weil man aber immer wieder neue Patches von Microsoft einspielen muss, wird das unmöglich gemacht. Weil Microsoft so viele Fehler macht, die im laufenden Betrieb korrigiert werden müssen, kommen zudem immer neue Fehler hinzu. Dadurch wird die Software immer komplexer. Wir brauchen schleunigst neue Methoden, zu denen Microsoft aber nicht in der Lage ist.

Ist Linux die Alternative?

Die Anzahl der Linux-Patches ist etwa zehnmal höher als bei Microsoft. Da aber Microsoft über 90 Prozent der Systeme bedient, sind die Fehler natürlich gravierender. Aber: Nimmt die Verbreitung von Linux zu, steigt auch die Zahl der Linux-Würmer. Wir haben Linux-Schädlinge, die würden genau die selben Probleme machen. Es kochen zu viele Köche am Linux-Brei herum. Das ist nicht der Weg in die Informationsgesellschaft. Man braucht Systeme, die wirklich ein Qualitätssiegel verdienen. Ansonsten wird die Informationsgesellschaft immer verletzlicher, bis eines Tages der Punkt ohne Wiederkehr überschritten wird.

Was muss man sich darunter vorstellen?

Es gibt Szenarien, wie schnell man das Internet als Ganzes lahmlegen kann. So wie die Postbank über das Internet ihre gesamten Kassen konfiguriert, wird klar, wie weit das schon fortgeschritten ist. Wenn das Internet zu 50 Prozent durch so genannte Super- und Hyperwürmer geblendet wird, dann leidet die Wirtschaft, weil viele Dienste nicht mehr erreichbar sind. Das sind übrigens ganz einfache Attacken, an denen auch schon einmal ein deutscher Oberschüler beteiligt war.

Wie könnte denn dieser grundsätzlich andere Ansatz für mehr Computersicherheit aussehen?

Es gibt ein Konzept, das gerade wieder auf Eis gelegt wurde, mit dem man Computer vertrauenswürdig machen könnte, nämlich die Trusted Computing Group. Wenn nicht die ganzen Interessen von IBM, Cisco und Microsoft dahinter stünden, wäre dies im Prinzip der richtige Weg. Es gab einmal ein Betriebssystem, dass nicht von den Firmen, sondern von den Universitäten stammte. Dieses Multix war die Mutter aller neuen Sicherheitssysteme. Leider hat man aus Multix alle Sicherheitskerne herausgerissen. Daraus wurden dann später Unix und Linux.

Wie groß sind denn die Aussichten, in absehbarer Zeit sichere Systeme zu bekommen?

Die sind ganz minimal, weil an diesem Konzept ein Komitee von über 50 Firmen mitwirkt. In der Politik weiß man schon ziemlich lange, dass das nicht funktioniert. Bei den Informatikern allerdings noch nicht so sehr. Komitees entwickeln Dromedare mit 20 Höckern.

Ich komme zu einem anderen Schluss: Sichere Systeme liegen nicht im Interesse der heutigen Computerindustrie, ihre Kompetenz sind sie auch nicht. Wenn wir uns die Entwicklung der Industriegesellschaft anschauen, hat es rund 80 Jahre gedauert, bis die Dampfmaschinen nicht mehr so häufig explodierten. Das wurde erst erreicht, als der Dampfkessel-Überwachungs-Verein die Qualität kontrollierte. Es hat rund 80 Jahre gedauert, bis der Verbraucheranwalt Ralph Nader in den USA erfolgreich auf mehr Sicherheit bei der Produktion von Automobilen drängte. Und es braucht leider auch in der Informationsgesellschaft noch ungefähr zwanzig Jahre, bis die Unfälle so gravierend geworden sind, dass man die Sicherheitsdefizite nicht mehr akzeptiert. Sasser war allerdings bei weitem nicht so gravierend.

Das Gespräch führte Kurt Sagatz .

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!