Mit Gesetzen allein lässt sich Spam nicht verhindern

Feature | 28. Februar 2005 von admin 0

Dr. Eugene Spafford

Dr. Eugene Spafford

Was sind aus Ihrer Sicht die größten Sicherheitsbedrohungen für Unternehmen?

Spafford: Angenommen unsere Definition von Bedrohung bezieht sich auf Jene, die Schwachstellen ausnutzen, um Vermögenswerte zu gefährden. Dann geht die größte Bedrohung wahrscheinlich von unehrlichen Mitarbeitern innerhalb eines Unternehmens sowie von kriminellen Organisationen aus. Die Insider mögen an Betrug interessiert sein oder sich Dienstleistungen erschleichen wollen, während die Kriminellen von außerhalb des Unternehmens eine Vielzahl von Motiven haben können, je nachdem, welche Ressourcen jeweils verfügbar sind. Zu den drei häufigsten Motiven zählen Diebstahl von Identitätsinformationen, Erpressung und das Erschleichen von Dienstleistungen. Aber auch blindwütiger Vandalismus, wie bei Virenangriffen, ist eine Bedrohung.

Was sollten CIOs und die IT-Abteilungen von Unternehmen Ihrer Meinung nach als erstes unternehmen, um für mehr Sicherheit zu sorgen?

Spafford: Zunächst sollte eine Bestandsaufnahme der Informationswerte erfolgen. Geeignete Schutzmaßnahmen lassen sich erst ergreifen, wenn bekannt ist, welche Informationen vorhanden sind und wo sich diese befinden. Dabei müssen auch der Wert und das Gefährdungsrisiko dieser Informationen berücksichtigt werden.

Machen Sie sich Sorgen darüber, dass Cybersicherheit und Cyberkriminalität von den Regierungen dieser Welt nicht ernst genommen werden?

Spafford: Allerdings. Die Regierungen müssen sich sowohl im nationalen als auch internationalen Rahmen verstärkt dafür einsetzen, dass Computerkriminalität untersucht und bekämpft wird. Forschung und Anwendungen auf diesem Gebiet sind auf eine breite Unterstützung angewiesen. Das Budget des US-Ministerium für Innere Sicherheit beträgt im Kalenderjahr 2005 1,069 Milliarden US-Dollar. Davon sind nur 1,67 Prozent für die Cybersecurity vorgesehen. Das zeigt ganz deutlich, dass zumindest die US-Regierung das Thema offensichtlich nicht ernst nimmt.

Für die Erforschung und Verfolgung von Cyberkriminalität müssen mehr finanzielle Mittel zur Verfügung stehen. Es gibt zu denken, dass bisher nur etwa zehn Hacker und Virenverfasser identifiziert und strafrechtlich verfolgt wurden, obwohl in den vergangenen 20 Jahren über 100.000 Viren und Würmer ihr Unwesen getrieben und teils erhebliche Schäden angerichtet haben. Dieses Ungleichgewicht liegt zum Teil liegt an einem Mangel an Ressourcen und Schulungen. Zum anderen ist es auf die fehlende Unterstützung von Seiten der Politik zurück zu führen.
Regierungen sollten ihre Rolle als “Großkunden” nutzen – und insbesondere ihre Verpflichtung als Wächter der öffentlichen Daten wahrnehmen – und mit gutem Beispiel vorangehen, indem sie qualitativ hochwertige Hochsicherheitsprodukte fordern und diese Produkte kaufen, anstatt kostengünstige Lösungen minderer Qualität zu verwenden. Sie sollten Jobkategorien für Experten in punkto Cybersecurity einrichten, die in verschiedenen Behörden arbeiten, Mindeststandards für diese Stellen aufstellen und eine angemessene Vergütung anbieten.
Zum Schutz des Allgemeinwohls muss sich die Politik verstärkt dafür einsetzen, dass die Software-Anbieter und Internet Service Provider (ISP) angemessene Leistungsstandards einhalten. Ein Provider sollte beispielsweise Spam-Mails herausfiltern oder ISP-Kunden, die Distributed Denial of Service-Attacken verüben oder für andere Angriffe verantwortlich sind, sperren. Ein ISP hat meiner Ansicht nach unter anderem folgende Aufgaben:

  • ausgehenden Verkehr, der gefälschte IP-Quelladressen verwendet, zu unterbinden,
  • Kunden, die Spam versenden, zu sperren,
  • Kunden zu sperren, die Rechner mit bekannten Schwachstellen verwenden.

Anbieter sollten vielleicht für Software zur Rechenschaft gezogen werden, die ohne Sicherheitskontrollen geliefert wird oder die Sicherheitslücken enthält, die sich den seit Jahrzehnten bekannten Fehlerkategorien zuordnen lässt, wie die Buffer Overflows.
Häufig liegt die Ursache für Sicherheitslücken bei so genannten Zombi-Rechnern, die meist von privaten Anwendern oder kleinen Unternehmen ohne Sicherheitsvorkehrungen und Patchanwendungen genutzt werden. Die beste Lösung besteht darin, Computer ohne Mängel zu liefern. Die zweitbeste Lösung ist es, die Anbieter und Provider zu bitten, Scanning und Patching für die Rechner bereitzustellen, um das Risiko für die restliche Community zu minimieren. In der Praxis werden die Endanwender von den Anbietern und Providern des Fehlverhaltens beschuldigt. Das ist genauso, als ob Autofahrer verantwortlich für Fahrzeuge mit ab Werk defekten Bremsen oder für Autodiebstähle an Autobahnraststätten sein sollten.

Einige Experten, darunter Bill Gates, sind der Meinung, dass es in wenigen Jahren keinen Spam mehr geben wird. Was halten Sie davon?

Spafford: Ich denke, dass sich Spam mit einer gewissen Anstrengung reduzieren lässt. Ich kann mir jedoch nicht vorstellen, dass er ganz eliminiert werden kann, ohne dass auch die E-Mail verschwindet oder ohne dass sich die Art, wie das Internet heute funktioniert, radikal ändert. Spam ist teilweise subjektiv, denn was für eine Person Spam sein mag, erscheint einer anderen wiederum als eine großartige Idee. Daher wird es immer Menschen geben, die einen Teil davon haben möchten.

Die größte Schwierigkeit beim Spam ist derzeit, dass sich die Verfasser von Spam-Mails weigern an einem Verfahren teilzunehmen, das es dem Anwender frei stellt zu entscheiden, ob er diese Mails bekommen will oder nicht. Betrug durch Spam – durch irreführende Betreffzeilen oder durch Hijacker – verschlimmert das Problem. Wenn wir es schaffen, den Missbrauch von Mail-Servern zu verringern und eine starke Authentifizierung der verbleibenden Werbemails einzurichten, dann bekommen wir Spam vielleicht unter Kontrolle. Fraglich bleibt, ob das innerhalb weniger Jahre möglich ist.

Die Probleme rund um Spam sind so groß und komplex, dass die Computing Research Association (CRS) von den Grand Challenges den vier großen Herausforderungen für die Informatik, spricht:

  • Virtuelle Attacken und Epidemien unterbinden – dazu zählen Würmer, Viren, Massen-Mails, Phishing und Denial-of-Service-Attacken.
  • Herausfinden, wie groß angelegte, verteilte Computersysteme konzipiert und erstellt werden müssen, damit sie stabil genug sind, möglichen Attacken standzuhalten. Beispiele: elektronische Gesundheitsakten, Datenbanken zur Strafverfolgung oder Finanzinformationssysteme.
  • Es gilt eine quantitative Messmethode zu entwickeln, mit deren Hilfe sich ein Cyber-Risiko einschätzen lässt. Sie sollte mindestens genauso gut sein wie die aktuelle quantitative Messmethode für das finanzielle Risiko. Die Messmethode erlaubt es, Sicherheitslösungen zu vergleichen, Risiken adäquat einzuschätzen und angemessene Beträge in den Schutz der virtuellen Werte zu investieren.
  • Mechanismen müssen her, die es den Nutzern von Computern ermöglichen, selbst den Umfang ihres Datenschutzes und ihrer Privatsphäre zu bestimmen, sowie selbst zu entscheiden, wie viele Informationen sie preisgeben möchten.

Kann Spam per Gesetz verboten werden und wie soll das funktionieren?

Spafford: Nein, Gesetze allein reichen hier nicht aus. Sie könnten aber helfen, sofern sie durchgesetzt werden. Erstens müsste es unter Strafe gestellt werden, Spam-Mails zu verfassen. Diese Strafe müsste darüber hinaus dann auch tatsächlich verhängt werden. Das wiederum würde bedingen, dass überhaupt Ermittlungen im Falle einer Spam-Attacke aufgenommen werden. Und aus diesen Ermittlungen müsste eine strafrechtliche Verfolgung resultieren. Zweitens sollten auch diejenigen bestraft werden, die den Spammer unterstützen. Dazu zählen etwa die Händler, deren Waren in den Spams beworben werden und die dafür direkt oder indirekt bezahlen. Drittens sollte es auch eine Art Strafe für die Provider geben, über deren Server Spam-Mails versendet werden.

Sollten Softwareunternehmen noch mehr tun, um ihre Produkte abzusichern?

Spafford: Auf jeden Fall. Die Hersteller haben die besten Möglichkeiten, ihre Produkte sicherer zu machen. Schließlich schiebt beispielsweise die Automobilbranche ja auch nicht die Verantwortung für die Sicherheit der Autorfahrer den Aftermarket-Anbietern zu, sondern baut selbst Airbags und Überrollbügel ein. Viele Menschen sind der Meinung, dass das Problem noch verschlimmert wird, weil es bislang keine bedeutenden Haftungsklagen gegenüber Anbietern gab.

Sie haben einmal gesagt, die Menschen hätten beispielsweise in Bezug auf Würmer nichts aus der Vergangenheit gelernt. Wie haben Sie das gemeint?

Spafford: Vor 20-30 Jahren haben wir gelernt, dass wir beim Programmieren vorsichtig sein müssen. Das wir etwa Netzwerkdienste einschränken müssen. Doch haargenau dieselben Programmier- und Designfehler werden heute wieder gemacht. Programme werden mit zu vielen Services geliefert. Es werden sogar noch mehr für einen Virenbefall anfällige Monokulturen entwickelt als früher. Für mich heißt das, dass niemand aus der Vergangenheit gelernt hat.

Ich habe im Jahr 2003 auf der ACSAC-Konferenz zu diesem Thema einen Vortrag gehalten. Der Tenor: Seit vor etwa 15 Jahre der erste große Internet-Wurm aufgetaucht ist, wurde wenig unternommen. Nach wie vor sind die Programme voll von unentschuldbaren Fehlern, die Netzwerke sind in purem Gottvertrauen konfiguriert und jegliche Art der Erkennung, Ermittlung und Aufklärung von Sicherheitsvorfällen (Incident Response) ist unkoordiniert und wenig effektiv.

Sie sind Mitglied des President’s Information Technology Advisory Committee. Welche Meinung vertritt das Komitee hinsichtlich der Computersicherheit?

Spafford: Ich kann zum jetzigen Zeitpunkt keine offizielle Stellungnahme im Namen des Komitees abgeben. Eine vorläufige Version unseres Berichts ist unter http://www.itrd.gov/pitac online verfügbar. Auf ein Wort zu den vorläufigen Erkenntnissen: Die Regierung spielt bei der Cybersecurity eine bedeutende Rolle, hat jedoch in dieser Aufgabe bisher weitgehend versagt.

Leave a Reply