In seiner Eröffnungs-Keynote für die derzeit in Wien stattfindende Sicherheitskonferenz Deepsec fand Ivan Ristić, Chefentwickler bei Qualys, recht deutliche Worte für die aktuelle Situation der Softwarewelt in Sicherheitsfragen: Nach Jahrzehnten des "Zu-wenig-Tuns" sei man in einer Situation angekommen, in der Software praktisch universell unsicher sei. Gerade durch die Allgegenwart des Webs sei die Situation immer schlimmer geworden. Allerdings sei dieser Trend nicht unumkehrbar, zeigt sich der Sicherheitsexperte überzeugt, und riet der Schar der Konferenz-TeilnehmerInnen gezielt konkrete, kleine Verbesserungen anzugehen und so nach und nach die allgemeine Sicherheitssituation zu verbessern.

Verschlüsselung

Ein besonderes Augenmerk legte Ristić in Folge auf ein Thema, dass in letzter Zeit auch die Aufmerksamkeit einer etwas breiteren Öffentlichkeit auf sich gezogen hat: Es sei essentiell unverschlüsselte Kommunikationen aus dem Web zu verbannen, stelle diese doch eine einzige große Sicherheitslücke dar. Nicht zuletzt die Firefox-Erweiterung Firesheep habe zuletzt eindrücklich demonstriert, wie einfach es sei Cookies aus unverschlüsselten Verbindungen abzugreifen, und per "Session Hijacking" in beliebige Online-Accounts von NutzerInnen im lokalen Netzwerk einzudringen.

Zukunft

Entsprechend sollten nach den Vorstellungen von Ristić künftig prinzipielle alle Verbindungen verschlüsselt ablaufen, bevor dies möglich sei, gelte es aber noch einige Stolperstein aus dem Weg zu räumen. Dazu gehören etwa weitere Performanceverbesserungen, derzeit seien vor allem die im Vergleich zu unverschlüsselter Kommunikation vergleichsweise hohen Latenzzeiten ein Problem. Die gute Nachricht: An der Behebung dieses "Flaschenhalses" arbeitet man bereits bei Google, mit "FalseStart" und "SnapStart" sollen hier künftig unnötige "Roundtrips" vermieden werden.

Performance

Die Hoffnung des Sicherheitsexperten: Wenn Google dies sowohl bei den eigenen Servern als auch im Browser Chrome implementiert, wird den anderen Herstellern nichts anderes übrig bleiben als diesem Vorbild zu folgen - immerhin würde man sonst Chrome einen Performancevorteil verschaffen. Entgegen immer wieder geäußerter Bedenken sieht Ristić die durch Verschlüsselung entstehende, zusätzliche Belastung am Server als zu vernachlässigend an. So habe die vor einigen Monaten durchgeführte Default-Umstellung von GMail auf https die Server-Last der zugehörigen Google-Server gerade mal um 1 Prozent gesteigert.

openSSL

Ein weiters ernsthaftes Problem für die umfassende Nutzung von SSL sei die fehlende Unterstützung für moderne TLS-Features beim weit verbreiteten openSSL: Absurd sei daran, dass dieses Problem relativ einfach zu beheben sei, es bei der Open-Soure-Lösung aber einfach an den nötigen Ressourcen fehle. Auf seine Nachfrage habe das Projekt die Kosten für die Entwicklung der entsprechenden Funktionalität mit ca. 27.500 US-Dollar beziffert - im Vergleich zur damit auch für die vielen openSSL nutzenden Unternehmen zu gewinnenden Sicherheit ein relativ lächerlicher Preis.

Als dritten großen Problembereich benennt Ristić fehlerhafte Konfigurationen. Hier gelte es zunächst einmal Aufmerksamkeit zu erzeugen, um dann einerseits die Anbieter dazu zu bringen, ihre Produkte mit sicheren Voreinstellungen auszuliefern, und andererseits die EntwicklerInnen zur gänzlichen Entfernung unsicherer Features zu bewegen.

Windows XP

Etwas schwerer zu lösen sind dann die restlichen Punkte auf Ristić' Liste: Windows XP unterstütze weiterhin kein Virtual SSL Hosting, so lange man Microsoft nicht zu einem Umdenken in diesem Bereich bewegen kann - oder Windows XP verschwinde - sei dies also weiterhin keine Option. Und natürlich gebe es auch in Zertifikatsfragen noch einiges zu tun. Dass hier die Vergabe teilweise recht undurchsichtig ist - und teilweise Regierungen beliebigen Zugriff auf Root-Zertifikate haben - sei ein echtes Problem. Viele der bestehenden Probleme sollen durch die DNS Security Extensions (DNSSEC) gelöst werden - bis diese ausreichend verbreitet sind, wird es aber wohl noch eine Weile dauern.

Encrypted only

Habe man diese zentrale Problem einmal gelöst, wäre es an der Zeit, Seiten die Möglichkeit, unverschlüsselte Verbindung vollständig abzulehnen, zu geben. Dass man davon noch ein stückweit entfernt ist, zeigte nicht zuletzt die Deepsec selbst: Das Motto des dort zur Verfügung gestellten, offenen WLANs formulierte Co-Organisator René Pfeiffer gegenüber dem WebStandard als "Bring your own security". Freilich wurde dies nicht von allen beherzigt, was dazu führte, das sich auch hier immer wieder per Firesheep Accounts abgreifen ließen - und von einigen TeilnehmerInnen entsprechend zynisch per Twitter kommentiert wurde. (Andreas Proschofsky, derStandard.at, 26.11.10)

Der WebStandard auf Facebook