Norbert Pohlmann (Institut für Internet-Sicherheit):,
“Die Vertrauenswürdigkeit von Software”,
DuD Datenschutz und Datensicherheit – Recht und Sicherheit in Informationsverarbeitung und Kommunikation,
Vieweg Verlag,
10/2014 Eine Analyse und Diskussion über die Beurteilung und den Aufbau von Vertrauenswürdigkeit von Software
Die Software-Qualität der Betriebssysteme und Anwendungen ist für die heutige Bedrohungslage der IT und des Internets nicht mehr ausreichend. Die Frage, die in diesem Artikel behandelt wird, ist: Wie schaffen wir es mit einer höheren Vertrauenswürdigkeit von Software eine höher IT- und Internet-Sicherheit zu erreichen? Software stellt in allen Branchen einen immer größeren Wertschöpfungsanteil dar. Wir nutzen Software in PCs, Notebooks,
Smartphones, in sehr großen Rechenzentren, aber auch immer mehr in Autos, in Industrieanlagen, im Haus und vielen weiteren Lebensbereichen. Doch in der aktuell genutzten Software sind zu viele Fehler – ein großes Sicherheitsproblem. Die Software-Qualität der Betriebssysteme, Anwendungen und Dienste reicht bei der heutigen Bedrohungslage nicht mehr aus. So liegt die Fehlerdichte, also die Anzahl an Softwarefehlern pro 1.000 Zeilen Code, in qualitativ hochwertiger Software heute im Schnitt bei 0,3. Da gängige Betriebssysteme und große Anwendungen zehn Millionen Zeilen Code und mehr haben, sind demnach durchschnittlich 3.000 Softwarefehler zu finden. Teile dieser Softwarefehler sind Ziele für professionelle und erfolgreiche Angriffe von kriminellen Organisationen und Nachrichtendienste, wie die NSA. Bei den großen Betriebssystemen, Anwendungen und Diensten ist in den nächsten zehn Jahren auch mit keiner sprunghaften Verbesserung der Software-Qualität zu rechnen und selbst wenn: Auch bei verbesserter Software-Qualität werden die Angreifer noch vorhandene Software-Schwachstellen professioneller ausnutzen.
In diesem Artikel soll der Aspekt Vertrauenswürdigkeit von Software analysiert und diskutiert werden.
Gute Software
Eine gute Software erreicht ein hohes Maß an Qualität, das heißt, die Anzahl der Softwarefehler ist minimal. Eine gute Software ist gegeben, wenn sie eine hohe Funktionalität aufweist und alle gewünschten Funktionen korrekt und zuverlässig arbeiten. Außerdem stellt eine gute Software eine einfache und verständliche Benutzerschnittstelle zur Verfügung. Eine gute Software kann in einem hohen Maße Datensicherheits- und Datenschutzansprüche erfüllen, weist so wenig wie nur möglich Softwarefehler und damit auch Schwachstellen auf und ist somit besser geschützt gegen Malware-Angriffe. Je weniger Zeilen Code eine Software hat, desto höhere Qualität kann prinzipiell erreicht werden.
…
Bösartige Software: Malware
Malware ist der Oberbegriff für „Schadsoftware“ wie Viren, Würmer, Trojanische Pferde und andere. Angreifer wie kriminelle Organisationen, Spione oder Terroristen – nutzen Software-Schwachstellen von schlechter Software aus, um Malware auf Computern zu installieren. Hauptsächlich über E-Mail-Anhänge oder unsichere Webseiten mit Hilfe von sogenannten Drive-by Downloads wird Malware in Computer unbemerkt eingeschleust. Das Institut für Internet-Sicherheit geht zurzeit davon aus, dass auf jedem 20. IT-Endgerät in Deutschland ungewollte intelligente Malware vorhanden ist, die über ein Botnetz gesteuert wird. Ein Botnetz ist eine Gruppe von Computern, die unter zentraler Kontrolle eines Angreifers steht und von ihm für Angriffe genutzt wird.
Mit Hilfe von intelligenter Malware auf fremden Computern können Angreifer diese vielfältig manipulieren und nutzen:
Eine Keylogger-Funktion in Malware speichert alle Informationen, die z.B. über die Tastatur vom Nutzer in das eigene Computersystem eingegeben werden. Diese Informationen, hauptsächlich Identitäten, Passwörter und Kreditkarteninformationen, werden dann von der Malware regelmäßig in sogenannte Drop-Zonen im Internet gesendet. Drop-Zonen sind Speicherbereiche von beliebigen Servern im Internet, von denen sich die Angreifer die wertvollen Informationen unentdeckt holen können
und damit Angriffe auf die Internet-Dienste der Opfer durchführen. Außerdem hat Malware Funktionen, mit der sie in der Lage ist, das identifizierte Rechnersystem beliebig zu steuern und z.B. vertrauliche Dateien auszulesen. Weitere typische und nutzbare Mal-Funktionen von Malware sind: Spam-Verteilung, Beteiligung an DDoS-Angriffe, Click Fraud und Syware.
….
Weitere Informationen zum Thema “Die Vertrauenswürdigkeit von Software”:
Artikel: “Vertrauen – ein elementarer Aspekt der digitalen Zukunft”
Glossareinträge: Vertrauen; Gute, gutartige, schlechte und bösartige Software
Informationen über das Lehrbuch: „Cyber-Sicherheit“
kostenlos downloaden | 
