entwickler.de

2007 ist fast vorbei, 2008 steht vor der Tür - Zeit, einen Blick auf das vergangene Jahr, meine Prognosen aus dem Standpunkt Sicherheit vom 2. Januar 2007 und die kommenden Entwicklungen zu werfen.

2007 gab es vor allem ein paar unliebsame Entwicklungen, an denen unsere Bundesregierung Schuld ist: Hackerparagraf, Vorratsdatenspeicherung, Onlinedurchsuchung. Man gibt sich in Berlin alle Mühe, unser aller Leben unsicherer und unfreier zu machen und hofft, dadurch ein paar Terroristen zu fangen. Die müssen dann aber schon dümmer sein, als sprichwörtlich die Polizei erlaubt. "Deutschland sucht den Super-DAT". Nun ja. Ich hoffe sehr, das Bundesverfassungsgericht wird diesem Spuk im kommenden Jahr einen Riegel vorschieben. Man kann Freiheit zu Tode schützen, müssen tut man es aber garantiert nicht.

Dann war 2007 das Jahr, in dem Vista kam. Mehr aber auch nicht, zu "sah und siegte" hat es nicht gereicht. Aber auch die von mir erwarteten Angriffe darauf sind ausgeblieben. Schwachstellen hat Microsoft allerdings schon einige behoben, fehlerfrei ist Vista also tatsächlich nicht. Unschön fand ich, dass die Wirkung der User Account Control (UAC) umdefiniert wurde. Da war's dann schnell vorbei mit einigen der schönen neuen Sicherheitsfunktionen. Schade, das hätte man besser machen können.

Microsoft hat dann auch noch ein paar Fettnäpfchen gefunden und ist mit Anlauf reingehüpft wie ein kleines Kind in eine große Pfütze: Updates ohne Zustimmung einspielen, unerwünschte zwangsweise Neustarts (Nachtrag) und nicht gewünschte Desktop-Suchmaschinen hätte man wirklich vermeiden können.

Die CeBIT fand zum letzten Mal in der gewohnten Weise statt, ich bin gespannt, wie die "neue CeBIT" aussehen wird. Anlässlich der CeBIT forderte Eugene Kaspersky eine Internet-Polizei. Dass das so schnell nichts wird, hatte ich ja schon damals geschrieben. Inzwischen fordert er sogar einen Internet-Führerschein für alle Benutzer. Hmmh... also als ich auf der CeBIT am Kaspersky-Stand nach einer zitierbaren Presseerklärung oder Ähnlichem fragte, meinte der Herr hinter dem Tresen, von den Aussagen zur Internet-Polizei wüsste er nichts und außerdem würde Herr Kaspersky viel sagen, wenn der Tag lang sei. Damals hielt ich diese Aussage für eine Frechheit, inzwischen überlege ich trotz allem Respekt vor Herrn Kaspersky, ob da wohl ein Körnchen Wahrheit drin war.

Meine Prognose zum Web 2.0 ist nur teilweise eingetroffen. Schön. In diesem Fall habe ich gar nichts dagegen, nicht Recht zu haben. Also keine großen Angriffe durch Web-Würmer und Trojaner, wenn auch die von Finjan gemeldeten 'Trojaner 2.0' eine unschöne Entwicklung sind. Social Engineering in Social Networks hatten wir allerdings tatsächlich, wie ich schon im Standpunkt Sicherheit vom 29. Januar, 7. Mai und 16. Juli feststellen musste. Und dass die Betreiber der Sozialen Netzwerke nur unser Bestes wollen, nämlich unsere Daten, haben sie zum Ende des Jahres hin ja auch eindrucksvoll bewiesen. Ich weiß schon, warum ich meine Daten auf meinem Rechner behalte und sie nicht einem Fremden in den Rachen schmeiße.

Dann waren da die Monate der Bugs: Apple-Bugs im Januar, PHP-Bugs im März, ActiveX-Bugs im Mai. Der 'Month of Search Engines Bugs' im Juni wurde schon fast nicht mehr wahrgenommen, danach war der Trend dann auch vorbei, die Luft aus der Idee raus. Ach ja, nicht zu vergessen 'The Week Of Vista Bugs' [TWOVB], die gab es ja auch noch (nicht). Trotzdem eine gute Idee.

Dass die Chinesen kommen und dabei digitale hölzerne Pferde mitbringen, ist ja schon im August aufgefallen und im Dezember bestätigt worden. Da sollte man aber nicht zu sehr in eine Richtung starren, davon bekommt man nur einen steifen Hals. Andere können das mit der Wirtschaftsspionage genauso gut.

Und 2008?

Der Bundestrojaner wird uns wohl noch einige Zeit beschäftigen. Das Web 2.0 wächst und gedeiht, eigentlich müsste es also 2008 zu den von mir schon für 2007 erwarteten Angriffe kommen. Ich kann mir nicht vorstellen, dass sich die Angreifer solche Gelegenheiten entgehen lassen. Und je mehr sich die IT in Richtung Web-Technologien wandelt, um so mehr wird sich auch die Suche nach Schwachstellen auf Webanwendungen und Browser samt zugehörigen Hilfsprogrammen konzentrieren. Viele Jäger sind des Hasen Tod, viele Schwachstellensucher finden viele Schwachstellen. Ansonsten erwarte ich nichts spektakulär Neues. Aber eine Neuigkeit wäre ja auch nicht spektakulär, wenn man sie schon vorher erahnen konnte. In dem Sinne: Lassen wir uns überraschen.

Ich wünsche allen Lesern ein erfolgreiches neues Jahr!

Carsten Eilers