Am Samstag war ich im Heinz Nixdorf MuseumsForum in Paderborn. Anlass war unter anderem die Ausstellung "Krypto & Stegano: Geheimhaltung, Tarnung & Täuschung". Man könnte gehässig sagen, die Ausstellung ist ihren Preis wert - der Eintritt ist kostenlos. Ganz so hart will ich es nicht formulieren, es waren ein paar interessante Ausstellungstücke dabei. Aber was z.B. Spionagekameras mit Kryptographie oder Steganographie zu tun haben, erschließt sich mir beim besten Willen nicht. Sehr viel interessanter ist die Dauerausstellung, die ist auf jedem Fall einen Besuch wert. Zwar habe ich ein paar Sachen vermisst, aber das ist sicher Ansichtssache. Ebenso die Frage, warum das nach eigenen Angaben größte Computermuseum der Welt die meiner Einschätzung nach größte Schreibmaschinen-Ausstellung der Welt hat, wo es sicher auch interessantere Sachen zu zeigen gibt als gleich mehrere Vitrinen mit weitgehend identischen schwarzen Kästen mit Transportwalze und Tastatur. Hacken und Sicherheit könnten von mir aus stärker berücksichtigt werden, aber das ist eine rein berufsbedingte Einschätzung. Und was mir zu denken gegeben hat: Da stehen viele Geräte, mit denen ich früher mal gearbeitet habe. Bin ich mit 40 etwa auch schon reif fürs Museum?

Daten weg, Daten wieder da

Nun kurz ein paar Worte zur Bundeswehr, die dabei ist, ihr Backup-Chaos zu beheben. Ein Teil der verloren gegangenen Daten konnte rekonstruiert werden. Glaubt man zumindest, denn laut des Berichts (PDF) richtet man sich dabei nach den Dateinamen. Ich hoffe mal zu deren Gunsten, dass sie wirklich eindeutige Dateinamen verwendet haben. Normalerweise würde ich das für unwahrscheinlich halten, aber bei den Nummernfanatikern vom Militär hat ja vielleicht wirklich jede Datei eine eindeutige Kennung als Namen. Außerdem wurde mit forensischen Methoden nach den Daten gesucht. Allerdings nicht auf allen verfügbaren Platten, sondern nur auf einer Auswahl. Warum? Weil die gesuchten Daten auf einem Teil der Platten nur gespeichert worden sein könnten, wenn "weisungswidrig" gehandelt wurde. Und weil das ja nicht passiert, wurde nur eine Stichprobe untersucht. Nun, so hatte ich wenigstens etwas zu grinsen. Also entweder, die Daten sind nicht da, weil sie nicht da sein dürfen - dann braucht man gar keine der betreffenden Festplatten zu untersuchen. Oder sie sind weisungswidrig eben doch auf einer dieser Festplatten - dann muss man alle untersuchen. Nur einen Teil zu untersuchen ist... eigenwillig, um es höflich zu formulieren.

Wenigstens wird im Bericht festgestellt, dass beim Anlegen der Backups bzw. beim Auslagern der Daten auf Magnetbänder ziemlicher Bockmist gebaut wurde, wenn auch weitgehend nach Vorschrift gehandelt wurde. Kommt mir irgendwie bekannt vor, das mit dem "nach Vorschrift". Die Vorschriften sollen jetzt überprüft werden. Ob das was nützt?

Ein paar Berichte

McAfee hat den "Virtual Criminology Report" für 2007 veröffentlicht. Demnach wären wir in einem neuen Kalten Krieg. Nun, zumindest unser Innenminister scheint ihn uns Bürgern ja erklären zu wollen, warum sollen sich da andere Staaten zurückhalten? An vorderster Front steht aber nicht Herr Schäuble, sondern China. Damit hat unsere Bundesregierung ja auch schon Erfahrungen gesammelt. Dazu ein Zitat aus dem "Standpunkt Sicherheit" vom 12. Februar: "Das Bundesamt für Verfassungsschutz hat letze Woche vor verstärkter Industriespionage aus China gewarnt. Das gleiche Amt, das auch für die Bekämpfung des Terrorismus zuständig ist. Man soll dort also einerseits bei der Abwehr der ausländischen Spionageangriffe über das Internet helfen, andererseits selbst über das Internet in Terroristenrechner eindringen. Wie diese zwei so gegensätzlichen Aufgaben unter einen Hut gebracht werden sollen, möchte ich wirklich gerne wissen." Das kann ja noch heiter werden.

Dann zwei Statistiken, die ich nicht weiter kommentieren möchte: Das SANS Institute (SysAdmin, Audit, Network, Security) hat seine Top-20-Liste für Schwachstellen aktualisiert: "SANS Top-20 2007 Security Risks". Bei den Clientseitigen Schwachstellen ganz vorne dabei sind die Webbrowser wie Internet Explorer und Firefox sowie ActiveX-Controls. Nun klingt "hundreds of vulnerabilities in ActiveX controls" erst mal extrem schlimm, aber wenn ich da an den "Month auf ActiveX-Bugs" zurückdenke, haben viele dieser Controls eine extrem geringe Verbreitung. Wie die Statistik gebildet wurde ist teilweise unklar, aber man sollte ja sowieso keiner Statistik trauen, die man sich nicht selbst passend zusammengebastelt hat. Im Falle der ActiveX-Controls kann ich aber aus meinen eigenen Beobachtungen bestätigen, das dazu in diesem Jahr deutlich mehr Schwachstellen als in den vergangenen Jahren veröffentlicht wurden.

Jeff Jones, Microsofts Security Strategy Director der Trustworthy Computing Group, hat die Schwachstellen in Internet Explorer und Firefox analysiert. Der Internet Explorer schneidet dabei besser ab, aber das war in diesem Fall ja zu erwarten. Einen Kommentar kann ich mir an dieser Stelle nicht verkneifen: Wer braucht eine Schwachstelle im Internet Explorer, wenn es auch eine in einem ActiveX-Control tut?

Ich bin sowieso der Ansicht, dass kein Browser sicherer ist als alle anderen - es gibt keine absolut fehlerfreie Software, die haben also alle irgend welche Schwachstellen. Die Frage ist nur, ob und wann sie gefunden werden.

Carsten Eilers