Pressemitteilung vom 16. November 1999

Standard-Software: GI warnt vor Einsatz in sicherheitskritischen Anwendungen

In den meisten Bereichen der Informationsverarbeitung wird in wachsendem Maße für viele Aufgaben Standard-Software eingesetzt. Diese Tendenz wird noch verstärkt durch die Quasi-Monopolstellung der Windows-Betriebssysteme auf Rechnern mit Intel-kompatibler Architektur. Das bringt manche Vorteile für die Anwender: Entwicklung und Wartung werden gebündelt und vereinfacht, der Aufwand für die Software damit insgesamt verringert. Der Einsatz von Standard-Software birgt aber auch neue Risiken und Gefahren. Während beispielsweise Fehler und Schwachstellen, die aus ungenügender Berücksichtigung vierstelliger Jahreszahlen, dem sogenannten Jahr-2000-Problem, herrühren, meist nur lokale Ursachen haben und deren Auswirkungen somit tendenziell zunächst lokal begrenzt bleiben, könnten solche Fehler und Schwachstellen verbreiteter Standard-Software globale Auswirkungen haben und die Sicherheit weiter Bereiche untergraben.
Im schlimmsten Fall könnten solche Fehler zum weltweiten Ausfall aller IT-Systeme führen, die diese Standard-Software nutzen. Ob sich solche Fehler versehentlich eingeschlichen haben oder ob sie durch bewußte Manipulation - beim Hersteller, beim Vertreiber oder bei irgend einer ähnlichen zentralen Stelle - eingebracht wurden, ist für die Auswirkung beim Anwender unerheblich. Bei bewußter Manipulation haben herkömmliche Verfahren der Qualitätssicherung kaum eine Chance, solche Fehler zu finden, wenn der Täter hinreichend geschickt vorgeht.
Eine verantwortungsbewußte Nutzung von IT-Systemen erfordert zwingend die Begrenzung solcher globaler Risiken. Die Zahl der Anwendungen, die manuell - auch im Notfall - nicht mehr beherrschbar sind (z.B. Steuerung von Luft- und Raumfahrzeugen, Energieversorgungsanlagen, Krankenhäuser, Verkehrsleit- und Signalsysteme, Verwaltung komplexer sozialer Systeme) nimmt ständig zu. In solchen sicherheitskritischen Anwendungen ist es unverantwortlich, die Nutzung ausschließlich auf ein oder zwei Systeme abzustützen, deren Aufbau nicht einmal offengelegt ist.
Auf die Sicherheitsfunktionen von Standard-Software darf man sich in sicherheitskritischen Bereichen nur dann verlassen, wenn ein Vertrauen in die Korrektheit und Wirksamkeit der dort eingesetzten Mechanismen hinreichend zu rechtfertigen ist. Dazu muß der Nachweis geführt werden, daß die Sicherheitsfunktionen ordnungsgemäß konzipiert und implementiert und mit der erforderlichen Sorgfalt auf Hintertüren und unzulässige Nebenwirkungen geprüft worden sind. Ein solcher Nachweis kann nur durch eine Analyse des Quellcodes der sicherheitsrelevanten Anteile der Software geführt werden. Darüber hinaus muß nachgewiesen werden, daß die Integrität der aus dem Quellcode erzeugten und an den Endbenutzer ausgelieferten Software nicht beeinträchtigt worden ist. Hierzu ist zu fordern, daß der Quellcode insgesamt offen zu legen ist.
Diese Forderungen gelten in besonderem Maße für kryptographische Schutzfunktionen, deren korrektes Funktionieren und deren Freiheit von Hintertüren nicht aus einer bloßen Beobachtung des Systemverhaltens abgeleitet werden können. Die Nutzung kryptographischer Funktionen, deren Sicherheit nicht nachgewiesen wurde, ist in sicherheitskritischen Bereichen nicht vertretbar. Außerdem müssen die vorhandenen kryptographischen Funktionen durch andere ersetzt werden können, die aus einer vertrauenswürdigen Quelle bezogen wurden. Der Nachweis der Sicherheit soll von einer unabhängigen und vertrauenswürdigen Stelle geführt werden. Nicht einmal für die kryptographischen Funktionen weit verbreiteter Standard-Software (z. B. Windows-Betriebssysteme, Netscape Browser, Lotus Notes, SAP R/3) ist dieser Nachweis bisher veröffentlicht worden.
Eine detaillierte sicherheitstechnische Überprüfung verbreiteter Standard-Software, z. B. im Rahmen einer Evaluation und Zertifizierung, ist geeignet, die Risiken zu reduzieren. Sofern dies wegen der Komplexität der Software oder wegen mangelhafter Unterstützung durch den Hersteller nicht machbar ist, empfiehlt die GI, in kritischen Anwendungsbereichen auf solche Software zu verzichten und statt dessen einfachere und überprüfte Software einzusetzen.
Die GI, in der mehr als 20.000 Fachleute aus allen Gebieten der Informatik organisiert sind, sieht es als dringend notwendig an, Alternativen zur Nutzung nicht überprüfter Standard-Software verfügbar zu machen. Die Bundesregierung, Hersteller und Anwender sind gefordert, die Entwicklung adäquater Lösungen zu fördern.

Sie möchten die Pressemitteilungen der Gesellschaft für Informatik immer aktuell per E-Mail erhalten?

Dann tragen Sie sich in den GI-Presseverteiler ein:

Mail

Bitte geben Sie Ihren Namen und Redaktion an.