IT-Sicherheit ist der größte Flop der IT-Geschichte

behauptet die Computerwoche. So ganz Unrecht haben sie damit nicht.

Obwohl der Artikel eigentlich nicht seriös ist. Da sind halt einfach 25 Themen aufgelistet, und das als das schlimmste erkoren, das die größte Schlagzeile hergibt. Nicht weils objektiv gemessen der größte Flop ist, sondern weil es das ist, was die meisten hingucken läßt.

Trotzdem läßt sich nicht von der Hand weisen (und ist auch keine neue Erkenntnis), daß das mit der IT-Sicherheit generell daneben ging und von IT-Sicherheit heute kaum die Rede sein kann. Ein paar Gedanken dazu.

• Was das Internet angeht, ist Deutschland bisher fast nur Konsument, die Entwicklung findet in Übersee statt, und wir machen alles nach. Der erste wirkliche staatliche Versuch, auf die Entwicklung Einfluß zu nehmen, ist – vom Bandbreitenausbau mal abgesehen – ausgerechnet der Versuch der Kinderpornographiesperre.
• Um IT-Sicherheit im Softwaremarkt kümmert sich der Staat bisher so gut wie gar nicht. Jeder Mist kann hier in den Markt gedrückt werden.
• Spam ist ein Problem, das wir – wir alle – einfach nicht in den Griff bekommen. Es kommt immer mehr, der Jammer über einen Anteil von 90-99% am Mailaufkommen ist groß. Aber es passiert eigentlich nichts. 2002 bis 2005 kam es – initiiert durch RMX – zu umfangreichen Arbeiten gegen Spam bei IRTF und IETF. Komplett gefloppt, zu sehr zwischen den diversen Interessen zerrieben. Die einen wollten unbedingt jeden Schutz verhindern, weil sie meinten, es gehöre zu ihrer Redefreiheit, jeden beliebigen Absendernamen fälschen zu können. Die nächsten wollten kein effektives Spam-Schutz-System, sondern lieber dauerhaft monatlich für Spamfilterei weiterkassieren. Wieder andere meinten, das System müssen zunächst einem Remake unterzogen werden wie ein europäischer Film, den man nur dann anschauen könne, wenn er in Amerika gedreht worden sei. Und dann kam Microsoft, setzte ein Patent drüber und wollte, daß jeder es lizensieren muß. Und tot war’s.
• Liest man die Informatik-Zeitschriften, dann schwingen die Softwaretechniker große Reden. De facto hat Software Engineering bis heute so gut wie nichts zur Sicherheit beigetragen. Das meiste ist Geschwafel.
• Wir haben bis heute keine wirklich brauchbare Programmiersprache, die die typischen Programmierfehler abfangen und die Erstellung sicherheitsrelevanter Programmteile erleichtern würde.

  Das meiste wird immer noch in C geschrieben. C ist in dieser Hinsicht der allerletzte Mist, quasi die Inkarnation des Pufferüberlaufs. Die Laufzeitbibliotheken von C sind antiquarisch, die Ausstattung mit Bibliotheken für Sicherheitsfunktionen ist katastrophal.

  Java (und wohl auch C#, kenne ich nicht näher) ist zwar in mancherlei Hinsicht besser, aber immer noch zu fehlerträchtig und viel zu unübersichtlich. Die Grundidee ist nicht schlecht, aber das Sprachdesign ist grausig. Wenn man versucht, wie C zu sein, braucht man sich nicht zu wundern, wenn man auch dessen Schwächen erbt. Wer Java entworfen hat, hatte außer für C kein Sprachgefühl. Außerdem für viele Anwendungen zu langsam.

  Ruby macht fast alles richtig. Systematisches Abfangen der allermeisten typischen Programmier- und Laufzeitfehler, im Normalfall unmöglich, Pufferüberläufe hinzubekommen, geschlossenes objektorientiertes System, saubere Struktur, die Zustandsfehler zu vermeiden hilft, und alles so schön kurz, übersichtlich, leicht lesbar. Und viel viel leichter zu programmieren als beispielsweise C. Während man in C noch nachdenkt und sich in Pointern und Iteratoren verheddern kann, schreibt man es in Ruby einfach hin und meistens stimmt’s dann auch. Dumm nur, daß Ruby eine schnarchlangsame Interpretersprache ist. Und man mangels Typbindung alle Typprüfungen ausprogrammieren muß.

  Mir fällt keine einzige Sprache ein, mit der man wirklich gut, einfach, effizient und sicher Software schreiben kann. Ada vielleicht? Nicht ernsthaft.

• Mir kommen die Tränen, wenn ich daran denke, welchen Unfug die mit Milliarden bezahlten Universitäten zum Thema “IT-Sicherheit” treiben. Grundlagen der Kryptographie und Quantenkryptographie sind beispielsweise an der “Exzellenzuniversität Karlsruhe” das einzige, was ein Professor für IT-Sicherheit können soll und muß (und nicht mal das richtig). Themen, die in der Realität völlig irrelevant sind. Und so will man Ingenieure ausbilden.

  Überhaupt, die akademische Sichtweise der Kryptographie. Hält sich für die Königsdisziplin, ist aber überwiegend bedeutungslos. Da werden tonnenweise Papers und Journals produziert, aber in der Praxis reduziert sich so gut wie alles auf Zufallszahlen, ein gutes Hash-Verfahren, eine gute Block-Chiffre und RSA mit aktueller Schlüssellänge. Ab und zu springt man mal auf ein neues Hash-Verfahren oder eine neue Chiffre, weil die alte schwach geworden ist. Hin und wieder mal die Schlüssellänge für RSA verdoppeln. Viel mehr ist da nicht zu gebrauchen. IT-Sicherheit spielt sich in ganz anderen Bereichen ab, aber es ist freilich einfach, sich die IT-Sicherheit zusammenzuspinnnen, wenn man im Elfenbeintrum hockt. Ergebnisse nahe bei Null.

• Die Folgen davon: Extreme Mißstände.

  Versucht mal, als Consultant in einem normalen Unternehmen Verschlüsselung einzuführen. Das geht in den meisten Fällen in die Hose. Warum? Viel zu kompliziert. Die Sache mit den X.509-Zertifikaten ist für Nicht-Informatiker kaum zu durchblicken, sehr schulungs- und verständnisaufwendig, fehlerträchtig. Unzumutbar. Zwar unterstützen heute fast alle Mailprogramme X.509, S/MIME. Zeigt mir mal eines, das das richtig gut, komfortabel und ohne Gefahr der Fehlbedienung kann.

  PGP? Versucht mal, PGP in normale Mailsoftware reinzukriegen. Ich hatte kürzlich mal die Version für Windows/Outlook zum Testen. Eine einzige Katastrophe, ein ständiges Ärgernis, fehlerträchtig. Leicht passiert es, daß man eine Mail, die man verschlüsseln will, versehentlich im Klartext rausschickt, weil man die Parameter so einstellen muß, um überhaupt arbeiten zu können. Oder der Mist hindert einen, überhaupt Mails zu verschicken. Am besten ist da m. W. noch enigmail für Thunderbird.

  Nenn mir mal einer ein einfaches und unter Windows verfügbares Programm, mit dem man ganz einfach mit X.509-Zertifikaten Dateien ver- und entschlüsseln kann.

  Die Kryptologen spielen sich seit Jahrzehnten als die Königsdisziplin auf, aber brauchbare Software gibt es kaum.

• IT-Sicherheit und Microsoft passen nicht zusammen. Für eins von beiden muß man sich entscheiden. Die allermeisten Unternehmen entscheiden sich für Microsoft.

  Da werden proprietäre Dateiformate durchgesetzt und aberwitzige Mailprogramme zum Industriestandard gemacht, die eigenmächtig alles tun, nur nie das, was man erwartet. Nur wenig Software dürfte soviel Sicherheitsprobleme verursacht und Angriffe ermöglicht haben wie Windows, der Internet Explorer, Exchange und Outlook. Trotzdem ist es der de facto Standard.

  Wäre hier jemals jemand auf die Idee gekommen, Firmen im Interesse der IT-Sicherheit zum vollständigen Verzicht auf Microsoft zu raten? OK, die Idee gab es. Aber was wäre die Alternative? Linux kann man einem mittleren oder großen Unternehmen nicht hinstellen. Und hat auch zuviele Sicherheitslücken und spinnerte Weltansichten. Macintosh? Naja, für Graphikstudios und Marketing vielleicht.

  Warum stellt man nicht endlich mal ordentliche Sicherheitsanforderungen für Betriebssyteme? Oder würde wenigstens den Zwangsverkauf von Windows unterbinden? Da wird IT-Unsicherheit mit Gewalt in den Markt gedrückt und keinen stört’s da oben.

  Wieviel tolle Software hätte Deutschland (oder gar Europa) entwickeln können, wenn man das Geld, was man Microsoft hinterhergeworfen hat, in die Entwicklung gesteckt hätte und die Universitäten mit genügend vielen Professoren bestückt wären, die so wie in den USA ordentliche Public Domain Software erstellen könnten?

• Wir wissen ja nicht einmal selbst, was wir wollen. Die eine Ecke unserer Regierung will DNSSEC einführen, damit endlich gewisse Angriffe über DNS-Fälschung nicht mehr möglich sind. Die andere Ecke will Kinderpornographie sperren, indem man DNS-Einträge verändert.
• Ich kenne große, teils weltweit agierende Firmen, die sich für IT-Sicherheit überhaupt nicht interessieren. Das Argument IT-Sicherheit interessiert dort einfach niemanden, es ist abgesagt. Es interessieren nur Kosteneinsparungen. Kann man als Consultant belegen, daß man durch die Sicherheitsmaßnahmen gegenüber dem alten Zustand mindestens 50% Kosten einsparen kann, darf man das machen, egal ob es etwas mit Sicherheit zu tun hat oder nicht. Geld für Sicherheit drauflegen gibt’s gar nicht. Man muß schon konkret zeigen, daß durch Unsicherheit ein so hoher Schaden entsteht oder wenigstens konkretisierbares Risiko besteht, daß sich die Sicherheitsmaßnahme lohnt.
• Wieviele Leute verschlüsseln Notebook-Festplatten und USB-Sticks? Na?

So gesehen hat die Computerwoche durchaus Recht. Makroskopisch betrachtet ist IT-Sicherheit tatsächlich ein Flop, in vielen Bereichen nur Geldmacherei und heiße Luft.