Computer Zeitung - Nr. 30
26.07.2001
Aufgrund ihrer Komplexität bieten heutige Betriebssysteme ständig neue Angriffsflächen für Hacker. Vor allem Windows 2000 steht in der Kritik. Mikrokernel-Architekturen könnten für Abhilfe sorgen.
"Beim Thema IT-Security geht es heute im Grunde immer um Betriebssysteme", postuliert Berater Werner Metterhausen. "Dabei ist es technisch durchaus möglich wesentlich sicherere Betriebssysteme zu konstruieren", ergänzt Herman Härtig, Ex-GMD-Forscher und nun an der TU-Dresden. "Aber vielleicht ist der Leidensdruck nicht groß genug?"
Web-Software macht Probleme
Der Druck nimmt allerdings zu. Gerade bei Windows 2000 ist in letzter Zeit eine beachtlichte Anzahl von gravierenden Problemen bekannt geworden - oft im Zusammenhang mit Microsofts Internet Information Server (IIS), bemerkt Metterhausen. Er kritisiert, dass die Redmonder auch in diesem Fall ihr Betriebssystem zu eng mit Zusatzfunktionen verknüpft haben. Diese Praxis schlägt sich in Negativrekorden nieder: Laut dem Info-Dienst Attrition.org hat Microsoft bei Web-Servern nur 30 Prozent Marktanteile, stellt aber über 80 Prozent der kompromitierten Systeme.
Tom Fischer vom IT-Notfallzentrum der Uni Stuttgart betrachtet Windows 2000 ebenfalls kiritisch. Zwar habe Microsoft damit einige Fortschritte in Sachen Security-Mangement und Sicherheitseinstellungen gemacht, "Aber die Out-of-the-Box-Sicherheit hat sich gegenüber NT eher noch verschlechtert", moniert er. So seien alte Schwachstellen aus Gründen der Abwärtskompatibilität einfach beibehalten worden, etwa die schwache Lanmanager-Authentifizierung. Vor allem aber hält Fischer für problematisch, dass der IIS bei der Standardinstallation von Win-2000-Servern automatisch aktiviert wird. "Viele Nutzer wissen dies nicht und schützen sich daher nicht."
Für Metterhausen, einst ebenfalls bei der GMD und nun Berater beim Consulting-Haus von zur Mühlen, liegt das Hauptproblem in der kaum noch beherrschbaren Komplexität von Windos 2000. "Mit bis zu 60 Millionen Code-Zeilen ist Windows 2000 das größte Softwareprojekt der Geschichte." Selbst SAPs R/3 sei bei weitem schlanker. Und je umfangreicher ein Projekt werde, desto größer sei eben die Gefahr, dass sich durch Flüchtigkeitsfehler Sicherheitslücken einschleichen.
Unter Sicherheitsproblemen leiden aber nicht nur Microsoft-Anwender. So sind zwar ander Betriebssysteme, etwa die Linux-Variante FreeBSD mit 4 Millionen Befehlszeilen, im Vergleich zu Win-2000 noch relativ überschaubar. "Allerdings leiden auch die Linux-Anbieter aufgrund des Drucks von Markt und Aktionären zunehmend unter Featuritis", warnt Metterhausen. Immer neue Funktionen werden unter Zeitdruck hinzugeschustert und blähen das Betriebssystem auf, so dass selbst bei Open-source-Projekten eine Sicherheitsprüfung auf mögliche handwerkliche Fehler immer schwerer wird. Davor seien letzlich auch die Unix-Varianten Solaris AIX und HP-UX nicht gefeit.
Für den Dresdner Betriebssystemforscher Härtig liegt die Lösung des Problems darin, eine schlanke Ablaufumgebung zu bauen. Dabei könnte ein Mikrokernel-Ansatz helfen, wie ihn etwa die GMD und IBMs T.J. Watson Research Center mit dem nur 12 Kilobyte großen System L4 verfolgt haben und wie er in einigen Echtzeitbetriebssystemen bereits umgesetzt wird.
Eine solche minimale Plattform konzentriert die grundlegenden Aufgaben eines Betriebssystems und sorgt dafür, dass auf dem Rechner alte Betriebssystemfunktionen und Anwendungen getrennt von neuen Applikationen mit hohen Sicherheitsanforderungen laufen können.
Die unsichere Software darf dabei keine Chance haben, sich der sicheren Seite zu bemächtigen. Deshalb müsse auf eine strikte Trennung der Adressräume geachtet werden. "Nur dieser Mikrokernel hat auf dem Rechner alle Rechte. Alles andere läuft als Anwendung im User-Mode und in seperaten Adressräumen", so Härtig. Schließlich dürfe diese mininmale Plattform aus Gründen der Übersicht nur so groß sein, dass rund ein Dutzend Entwickler sie vollständig unter Kontrolle haben.
Knowhow für Mikrokernel ist da
Zusammen mit einer cleveren Kombination weiterer bekannter Techniken - etwa sicherem Booting, kryptografischen Capabilitis, Ressourcenkontrolle und Virtual Machines - ließe sich heute ein Betriebssystem bauen, das um eine Größenordnung sicherer ist, als die heute eingesetzen, betont Härting. "Das Wissen dazu ist in der Betriebssystem-Community vorhanden."
Härtig ist überzeugt:"Irgendwo wird bestimmt schon an einem solchen System für den Massenmarkt gearbeitet, und man zieht es aus der Tasche, wenn der Leistungsdruck groß genug ist." Möglicherweise ist dies sogar Microsoft selbst. Denn mit dem Rechnerpionier und MIT-Forscher Butler Lampson steht eine absolute Betriebssystem-Koryphäe auf Gate's Gehaltsliste.
Unnötges stets abschalten
"Durch überlegte Konfiguration lassen sich die meisten Angriffe mit relativ geringem Aufwand abwehren", betont Windows 2000 Spezialist Tom Fischer. Trotz der verbreiteten Devise "Never touch a running System" sollten Administratoren stets de neuesten Service-Packs und Hotfixes einspielen. Ferner empfiehlt er:
Das Netz liefert Leitfäden
