Warum ist Software so anfällig für Angriffe? Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


07.09.2011 Edmund E. Lindau/pi

Warum ist Software so anfällig für Angriffe?

Schnittstellen und komplexe Netzwerke bieten Datendieben und Cyber-Kriminellen zahlreiche Angriffspunkte. Das IT-Security-Team des Austrian Institute of Technology (AIT) entwickelt Verfahren, um schon bei der Entwicklung Sicherheits­lücken zu vermeiden.

»Viele Unternehmen machen sich heutzutage noch immer zu wenige Gedanken über die Sicherheit ihrer Systeme«, betont Thomas Bleier, der am AIT das Forschungsgebiet IT-Security im Safety & Security Department leitet. An schlagzeilenträchtigen Hackerangriffen mangelte es nicht, da immer öfter auch große Unternehmen wie kürzlich Sony, Sega und auch der Österreichische Rundfunk betroffen sind. Hier konnten Cyber-Kriminelle relativ einfach gleich Millionen an Kundendaten stehlen.

Alte Schwächen beseitigen Eines der Hauptprobleme im Internet und bei vielen Anwendungen liegt darin, dass die technischen Grundlagen oft aus einer Zeit stammen, wo es den Begriff »Cybercrime« noch gar nicht gegeben hat. Bedenklich ist aber, dass es bei vielen Unternehmen selbst an einfachen Absicherungen mangelt. »Obwohl es mittlerweile sehr viele Ansätze und Vorschläge gibt, wie Systeme und Programme sicherer gemacht werden können, passieren die gleichen Fehler trotzdem immer wieder«, erklärt AIT-Sicherheitsexperte Thomas Bleier. Gründe dafür gibt es viele. So ist das Thema Security in der Ausbildung des IT-Nachwuchses bislang meist zu kurz gekommen. Und die weit verbreitete Einstellung »Es wird schon nichts passieren« fördert nicht gerade das Sicherheitsdenken. »Uns interessiert besonders, wie man mit technischen Lösungen die Sicherheitsprobleme gar nicht erst entstehen lassen kann«, so Bleier. Die AIT-IT-Security-Gruppe widmet sich hier vorrangig der grundsätzlichen Frage: Warum ist Software oft so anfällig für Angriffe?

Ein Modell für mehr Sicherheit »In Labors lassen sich sehr sichere Systeme entwickeln«, so Bleier. »Es geht aber darum, dass die Sicherheit auch in der Praxis gegeben ist.« Dazu muss für die Anwender die Implementierung von Sicherheit einfacher und verständlicher werden. Die AIT-Experten setzen dazu zum Beispiel auf modelbasierende Technologien. Bei dieser Methode werden die Anforderungen für ein Sicherheitskonzept zuerst auf einer abstrakten Ebene definiert, um sie dann Software-unterstützt umsetzen zu können. Dies erleichtert nicht nur den gesamten Entwicklungsprozess, sondern reduziert zudem die Fehlergefahr. »Wir müssen zur Erreichung hoher Sicherheit nicht unbedingt komplett neue Methoden entwickeln«, erklärt Bleier. Denn Lösungen, um Systeme sicherer zu machen, gibt es schon viele. Es mangelt allein an der richtigen Umsetzung der nötigen Prozesse und Abläufe.

Sicheres und effizientes E-Government Die AIT-Experten entwickeln solche modellbasierende Technologien unter anderem im Rahmen des durch das Bundesministerium für Verkehr, Innovation und Technologie (BMVIT) geförderten österreichischen Sicherheitsforschungsförderprogramms KIRAS. Das Projekt »MoSeS4eGov« (Model-based Security System for eGovernment) soll einen höchstmöglichen Automatisierungsgrad für die Erstellung von neuen Anwendungen mit dem geforderten Sicherheitsniveau ermöglichen. Damit kann die Sicherheit der Infrastruktur für E-Government-Applikationen weiter erhöht werden. Um die Möglichkeiten modellbasierender Technologien anschaulich zu demonstrieren, wurde eine Pilotapplikation für den Katastropheneinsatz entwickelt. Für Einsatzleiter ist es beispielsweise wichtig, im Ernstfall auf Daten im Melde- und dem Gebäuderegister zugreifen zu können. »Wenn etwa die Donau in einer Region über die Ufer tritt, erfährt der Einsatzleiter sofort, wie viele Kinder und alte Menschen in einem bestimmten Gebiet leben oder ob sich etwa eine Chemiefabrik in der Nähe befindet«, sagt Bleier. Ein weiterer Schwerpunkt in der Arbeit der AIT-IT-Security-Gruppe sind die IT-Systeme kritischer Infrastrukturen wie Steuerzentren von Energieversorgern und Verkehrsbetrieben.

kritische Infrastrukturen »Wir beschäftigen uns besonders mit den neuen Anforderungen, die beispielsweise Smart Grids und Smart Metering im Energiebereich bringen«, so Bleier. Hier wird mit dem AIT Energy Department kooperiert. Im Energie- oder Automatisierungssektor stand IT-Security bislang nicht auf der Prioritätenliste. Doch es gab auch schon hier massive Angriffe auf Maschinensteuerungssysteme. »Im Nachhinein ist es schwierig, Security in solche Systeme einzubauen«, betont Bleier. »Dieser Schritt ist aber unausweichlich.« Wenn ein Webshop abstürzt, ist das ärgerlich und vergrämt einige Kunden, wenn aber etwa ein Energiesteuerungssystem in einem Chemiewerk abstürzt, kann das dramatischere Auswirkungen haben. Im Herbst startet am AIT deshalb ein neues, dreijähriges europäisches Projekt, das sich PRECYSE (Prevention, Protection and Reaction to Cyber Attacks to Critical Infrastructures) nennt. Der Fokus liegt dabei auf SCADA-Systemen (Supervisory Control and Data Acquisition) in kritischen Infrastrukturen, die Maschinen und technische Prozesse überwachen und steuern. Um hier Prozesse verbessern und sichere Regelkreise schaffen zu können, wird in einem ersten Schritt eine Art Benchmarking durchgeführt, um die Systeme gegen bestehende Standards und Normen prüfen zu können. Aus diesen Erkenntnissen soll dann eine Methode zur Systemevaluierung entwickelt werden, um beispielsweise ein bestehendes Steuersystem verbessern zu können.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • customer care solutions - Call Center Betriebs GmbH

    customer care solutions - Call Center Betriebs GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen, User Helpdesk-Systeme und Hotlines, Systempflege- und Wartung, Outsourcing, IKT-Consulting, Facility Management,... mehr
  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • Dimension Data Austria GmbH

    Dimension Data Austria GmbH Call Center, IKT-Consulting, Migrations-Management, Outsourcing, Systemintegration und Systemmanagement, Systempflege- und Wartung mehr

Hosted by:    Security Monitoring by: