Datensicherheit ist ein bisschen wie Umweltschutz: Finden wir Anwender eigentlich alle gut, aber wenn es um die eigene Bequemlichkeit geht, ist die Motivationsgrenze schnell erreicht. So fahren wir eben lieber Sonntag Morgen mit dem Auto zum Bäcker anstatt den beschwerlichen, längeren, aber eben auch ökologisch sinnvolleren Fußweg auf uns zu nehmen.
Und in Sachen Datensicherheit gilt: Ehrlicherweise muss man eben sagen, dass wir all unsere Passwörter etwas komplexer gestalten könnten. Wir könnten die Daten auf der Festplatte verschlüsseln, und die Zugangsdaten öfter mal ändern. Tun wir aber nicht. Komfort und Bequemlichkeit siegen leider zu oft.
Tröstlich ist nur: Es geht vielen Leuten so und es gibt hochqualifizierte Spezialisten, für die Systemsicherheit oberste Priorität hat.
Sicherheit bedeutet Aufwand
Betreibern einer Website oder eines Shops geht es oft nicht anders. Es macht Arbeit, regelmäßig ein Backup zu erstellen. Noch aufwändiger kann es sein, die Anwendungen auf dem Server aktuell zu halten. Doch immer wieder werden Lücken entdeckt. Die Hersteller veröffentlichen Patches oder neue Versionen. Mal erfährt man auf die sanfte und manchmal auf auf die harte Tour, dass eine weit verbreitete Anwendung – oder auch nur ein Plugin – Hackern Tür und Tor öffnet. Nicht selten stehen Webseitenbetreiber vor den Trümmern ihrer gehackten Website und wissen nicht mehr weiter.
Glücklicherweise sind viele Anbieter von Open Source Anwendungen dabei, sich auf Bedrohungen durch Hacker einzustellen. Es gibt einfach schon zuviele Botnetzwerke, die massenweise Spam versenden, Phishingseiten beherbergen oder zu DDoS Attacken verwendet werden. In längst vergangenen Tagen richteten sich Angriffe mal auf eine einzelne unliebsame Website, heute ist DDoS einfach ein Geschäft. Und jeden Tag versuchen Tausende Server neue Opfer-Server zu finden, die sie in ihr Zombierechnernetzwerk einverleiben können.
Sicherheit für Open Source Anwendungen
Mittlerweile machen es große Anbieter wie WordPress oder Joomla den Anwendern leichter, auf neue, sicherere Versionen zu migrieren, sobald diese erschienen sind. Die eingebauten Update-Funktionen erledigen dies auf Knopfdruck.
Dennoch werden erstaunlich viele Websites mit veralteten Versionen von Content Management Systemen betrieben. Manchmal liegt es an zusätzlichen Programmierungen, die zeit- und kostenintensiv vorgenommen worden sind, um die Open Source Anwendung auf die eigenen Bedürfnisse anzupassen. Manchmal ist es auch das Template, das die Gefolgschaft bei der Migration auf eine neue Version verweigert.
Eigene Systeme testen lassen
Grundsätzlich kann es ja auch in Ordnung sein, eine vor längerer Zeit erschienene Version noch weiter zu betreiben. Insbesondere Shops, die sehr aufwändig aufgebaut wurden, haben Investitionen verschlungen, die sie noch nicht wieder eingespielt haben. Dann muss man tatsächlich abwägen, ob sich der neuerliche Aufwand für einen Relaunch lohnt. Meist ist dies der Fall, wenn man die Risiken ernsthaft in eine monetäre Größe übersetzen kann: Was würde ein Ausfall aufgrund eines Angriffs kosten, wieviel Umsatz entgeht dann? Oder: Angenommen, die Kundendaten eines Shops werden geleakt. Wie hoch wäre der Imageschaden?
Risikobegrenzung
Zudem kann man sich mehr Sicherheit verschaffen, wenn man Spezialisten den eigenen Shop oder die Anwendung überprüfen lässt. Ein Unternehmen, das sich auf solche Sicherheitsüberprüfungen spezialisiert hat, ist Cure53 in Berlin. Dahinter steht ein Team von Computersicherheitsexperten, die gerne als White Hat Hacker bezeichnet werden, Eindringlinge im Dienste des Guten. Ihr Ziel ist es, Einfallstore zu finden und den Kunden zu vermitteln, wie diese zu schließen sind. Einer der White Hats ist Dr.-Ing. Mario Heiderich, Gründer und technischer Direktor von Cure53 und Post Doc an der Ruhr Universität Bochum. Zeit Online hat vor kurzem über seine Arbeit berichtet.
Sicherheitsforscher agieren international
Mario Heiderich gehört zu einer recht überschaubaren Gruppe an deutschen Sicherheitsforschern, die die Überprüfung von Systemen auf akademischem Level betreiben. Man kennt sich, zumindest was den hiesigen Markt angeht. Die Tätigkeit ist stark international ausgerichtet. So findet man den Namen Heiderich oft auch in den Programmen amerikanischer Sicherheitskonferenzen wie der Enigma Usenix in San Francisco, dort wo sich auch Vertreter der ganz Großen der Industrie einfinden, Google, Akamai, Facebook und auch die NSA.
Was tun White Hat Hacker?
Zum Methodenkoffer des White Hat Hackers gehört das Brute-force-Passwort-Knacktool. Alle möglichen Zeichenkombinationen werden stumpf durchprobiert. Ziel ist das Eindringen in ein fremdes System. Die Test, die Sicherheitslücken offenbaren sollen, nennt man deshalb auch Penetration Tests.
Solche und andere Penetrationstests kann man buchen. Abgerechnet wird auf Basis eines vereinbarten Tagessatzes. Die Kunden, die ihre Systeme überprüfen wollen, können auch die Härte festlegen, mit der die Tester vorgehen sollen. Das Ergebnis ist dann eine individuelle Liste mit bewerteten Schwachstellen und konkreten Handlungsempfehlungen, sodass IT Sicherheit sehr nachvollziehbar ist.
Tools und Forschungsberichte
Auf der Website von Cure53 findet sich unter „Publications“ eine Reihe von Berichten zu Penetration Tests gegen Open Source Security Tools wie den Onion Browser oder OpenKeychain sowie einige Papers, die sich mit Sicherheitsaspekten von PHP oder HTML in Verbindung mit Javascript beschäftigen.
