Ich möchte Euch diesen großartigen Vortrag von Joanna Rutkowska sehr ans Herz legen. Diese Aufnahme des Linux-Magazin stammt aus dem letztjährigen DFN-Workshop „Sicherheit in vernetzten Systemen“. .

In Ihrem Vortag hält Rutkowska ein sehr überzeugendes Plädoyer für die Bedeutung des Aspektes der Erkennung von kompromittierten Systemen. Sie kritisiert die einseitige Fokussierung auf den Aspekt der Prävention und trifft damit bei mir voll ins Schwarze, da auch in meinem Bewußtsein die Prävention stehts die größte Bedeutung besaß und Erkennung zwar nicht unbedeutend, aber doch nachrangig war. Denn: wer ein integeres System will, der muß den Einbruch verhindern. Erkennung greift erst im Schadensfall.

Genau hier hakt Rutkowska jedoch sehr überzeugend ein. Sie argumentiert, dass die Vergangenheit gezeigt habe, dass Systeme, die man sicher glaubte, nur allzu oft doch kompromittiert werden konnten, weil Sicherheitslücken ausgenutzt wurden. Hat man nun ein System, dass eine Lücke hatte, so hat man mit der Prävention ein Problem. Denn selbst wenn man sofort nach Bekanntwerden der Lücke einen Patch einspielt, so kann man sich nie sicher sein, dass die Lücke in der Vergangenheit nicht ausgenutzt worden ist. Prävention hat also immer eine zeitliche Komponente, eine Geschichte, die sich rückwirkend nicht ändern lässt. Behebe ich eine Lücke jetzt, habe ich sie in der Vergangenheit noch lange nicht behoben. Ich müßte also nach jeder neuen Lücke um die Sicherheit meines Systems fürchten. Daran änderten auch verbesserte präventive Maßnahmen nichts.

Anders die Erkennung. Verbessere ich die Erkennung, greift diese Verbesserung oftmals „zeitlos“. Ich erhöhe damit nicht nur die Wahrscheinlichkeit gegenwärtige Einbrüche zu detektieren, sondern ich erhöhe ebenfalls die Wahrscheinlichkeit vergangene Einbrüche aufzuspüren. Systeme zur Prüfung der Systemintegrität sind also im Grunde die andere Medaille sicherer Systeme. Ohne Detektion macht Prävention keinen Sinn. Da Prävention keine Sicherheit bieten kann, müssen wir immer auf der Hut sein, ob präventives Maßnahmen nicht doch versagten. Sie bemüht das passende Bilder des „Yin-Yan der Sicherheit“. Die Balance muß stimmen und die Erkennung von Schadsoftware darf nicht als lästiges Stiefkind der Sicherheit betrachtet werden.

Sie definiert im folgenden verschiedenen Typen von Schadsoftware und klammert einen Bereich, nämlich jenen von selbst installierten Programmen, z.B. von selbstinstallierter Schadesoftware, die die üblichen API’s für Programme benutzt und nicht irgendwelche Schwächen ausnutzt oder andere Systembestandteile kompromittiert, aus. Ihre Klassifikation überzeugt ebenso wie die skizzierten Lösungsansätze, die im übrigen auch deutlich machen, warum die Installation von handelsüblicher Antiviren-Software keine Lösung, sondern manchmal sogar Teil des Problems ist.

Ich kann jedem, der sich für dieses Thema interessiert (für IT’ler sollte es m.E. Pflichtstoff sein), nur empfehlen sich das Video und die Slides anzugucken. Das sind 90 sinnvoll investierte Minuten. Ich zumindest habe ein paar Aha-Effekte erlebt und bin dem Linux-Magazin für diesen Service schönen Service, der einige andere interessante Vorträge bietet, dankbar.