Softwarelücken Einbruch durch die Hintertür

Eine Sicherheitslücke hat den Nutzern des Browsers Internet Explorer vor wenigen Tagen einen Schrecken eingejagt. Doch auch wenn nun vor allem der Hersteller Microsoft in der Kritik steht, betrifft das Problem die gesamte Softwareindustrie. Denn kein Programm kommt perfekt auf den Markt.

Hamburg - Man stelle sich vor, ein Haus ist von einem hohen Zaun umgeben, hat ein dickes Schloss an der Tür und überdies eine Überwachungskamera - und trotzdem können Einbrecher unbemerkt eindringen und das Tafelsilber stehlen.

Was nach einer Räuberpistole klingt, ist bei Computern mit Internetanschluss Alltag: Viele populäre Programme haben Sicherheitslücken, die der Hersteller noch nicht kennt - dafür aber Cyberkriminelle. Ein aktueller Fall bringt dieses Problem in die Schlagzeilen: Der Internet Explorer von Microsoft wies tagelang eine Lücke auf, durch die Angreifer die Kontrolle über fremde Rechner erobern konnten.

Auch wenn derzeit Microsoft in der Kritik steht, betrifft das Problem die gesamte Softwareindustrie. Denn kein Programm kommt perfekt auf den Markt. Ein Programmierfehler kann schnell zum Hintertürchen für Hacker werden: Wenn der Hersteller nicht über eine Sicherheitslücke Bescheid weiß, können sie ohne Gegenwehr das System angreifen. Derartige schädliche Software nennen Experten "Zero Day Exploits". "Die Angreifer zielen auf die gängigsten Produkte, also Betriebssysteme und Browser", berichtet Rainer Link, Sicherheitsexperte beim Softwarehersteller Trend Micro.

Findige Hacker arbeiteten früher zumeist für Ruhm und Ehre - heute können sie richtig Kasse machen: Die Suche nach bislang unbekannten Sicherheitslücken ist zu einem einträglichen Geschäft geworden. So loben Hersteller von Sicherheitssoftware wie zum Beispiel die US-Unternehmen iDefense und Tipping Point Belohnungen aus. Das Schweizer Unternehmen WabiSabiLabi versteigert auf einer Plattform im Internet Sicherheitslücken und Angriffsprogramme. Die Gebote erreichen derzeit bis zu 5000 Dollar.

Sicherheitslücken unter dem Auktionshammer

In geheimen Foren im Internet dürften die Preise deutlich höher liegen: "Da werden Summen von mehr als 100.000 Dollar kolportiert", sagt Hartmut Pohl, Professor für Informationssicherheit an der Fachhochschule Bonn-Rhein-Sieg. Zu den Käufern zählt er Cyberkriminelle, die Betriebsgeheimnisse oder Kontodaten ausspionieren, aber auch Geheimdienste, die in die Computer vermeintlicher Terrorverdächtiger eindringen wollen. Angesichts dieser Verlockungen hat sich eine Szene entwickelt, die intensiv nach Schwachstellen sucht - keine gute Nachricht für die Sicherheit der Internetnutzer.

Die Schuld an der Bedrohung tragen aber nicht nur Kriminelle, sondern auch die Softwarehersteller selbst. "Es dauert oft mehrere Wochen, in extremen Fällen sogar mehrere Monate, bis die Unternehmen die Lücken schließen", sagt Link. Dies zu tun, ohne im Programmcode ein neues Problem zu schaffen, sei gar nicht so einfach.

Sich gegen Zero-Day-Angriffe zu schützen, ist also schwierig. Sobald ein Patch zur Verfügung steht, sollten Nutzer diesen sofort installieren. Denn Kriminelle werten den Code der Nachbesserungen aus und greifen dann gezielt diese Stelle an - da viele Anwender ihr System nicht aktualisieren, ist gute Ausbeute garantiert. Ansonsten gibt es nur eine Alternative: "Man muss sehr vertrauliche Daten auf einem Rechner aufbewahren, der nicht mit dem Internet verbunden ist", sagt Pohl. Das ist weniger komfortabel, aber deutlich sicherer.

Keine Software lässt sich perfekt programmieren. Die Hersteller können jedoch mit verschiedenen Tests schon bei der Konzipierung ihre Produkte auf Sicherheitslücken überprüfen - Experten sprechen von "Threat Modeling". "Das ist in Deutschland noch wenig verbreitet", sagt IT-Experte Pohl. Microsoft arbeite trotz der aktuellen Schelte schon seit einigen Jahren mit solchen Werkzeugen. Das Betriebssystem Vista gilt in puncto Sicherheit etwa unter Fachleuten als besser als seine Vorgänger. Kontodaten und Liebesbriefe lagern jedenfalls schon ein bisschen sicherer als früher.

Christof Kerkmann, dpa

Die Wiedergabe wurde unterbrochen.