Manfred Kloiber: Die Monitoring-Tools, die das Verhalten eines Computersystems bei solch einem simulierten Angriff auswerten, machen also die Suche nach Sicherheitslücken erfolgversprechend. Darin liegt die eigentliche Innovation der Fuzzing-Software. Denn Angriffstools zur Sicherheitsanalyse gab es schon vorher, die Auswertung allerdings war bislang Hand- und vor allem Kopfarbeit. Peter Welchering, die Bundesregierung hat ja am Mittwoch die Einrichtung eines Cyber-Abwehrzentrums beschlossen, das Cyber-Angriffe aus dem In- und vor allem aus dem Ausland rechtzeitig erkennen können soll. Wird denn solche Fuzzing-Software zum Aufspüren von Sicherheitslücken auch dort zum Einsatz kommen?
Peter Welchering: Das wird zurzeit noch kräftig diskutiert. Die Strategie dieses Cyber-Abwehrzentrums gibt im Augenblick darüber noch keine Auskunft. Und man muss sehen: Es gibt in Deutschland generell noch ziemlich massiven Widerstand gegen diese Fuzzer, gegen diese Fuzzing-Software. Und das hat gleich mehrere Gründe und Ursachen. Zum einen trauen einfach einige Informatiker hierzulande einer softwaregestützten Sicherheitsprüfung nicht – und eben auch einer Suche nach Sicherheitslücken, die dann automatisiert vorgenommen wird. Und zum anderen, Grund Nummer zwei: Vor allen Dingen die Experten insbesondere des Bundesnachrichtendienstes können sich gar nicht so recht anfreunden mit dem breiten Einsatz von Fuzzing-Software. Und das hat damit zu tun, dass der Bundesnachrichtendienst und andere Nachrichtendienste, andere Sicherheitsbehörden, ja auch auf die Arbeit des Cyber-Abwehrzentrums einigen Einfluss haben werden. Die werden ja kooperieren mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz. Und die Diskussion über den Einsatz von Fuzzern, vor allen Dingen von den Nachrichtendiensten dann vorgetragen, wird uns hier sicherlich beim Abwehrzentrum noch eine ganze Weile beschäftigen.
Kloiber: Was spricht denn gegen den Einsatz eines Fuzzers, um Sicherheitslücken aufspüren zu können?
Welchering: Erstaunlicherweise wird in Sachen Cyber-Abwehrzentrum immer wieder ein Argument vorgebracht: Und das Argument heißt ganz einfach: So ein Fuzzer, diese Fuzzing-Software, kann ja von jedem angewendet werden. Man braucht dafür tatsächlich nicht das Quellprogramm, muss sich das nicht zunächst anschauen. Man braucht dafür nur das ausführbare Programm. Und es reicht, das als Exe.-Datei oder andere Dateien auf dem eigenen Rechner zu haben, als Objekt also. Da muss also auch nichts neu kompiliert werden. Niemand muss Einblick nehmen für die Rein-Überprüfung eben dieser Quellprogramme. Und das hat dann eben zwei Konsequenzen: Einige Informatiker fühlen sich dann tatsächlich in so etwas wie ihrer Berufsehre gekränkt. Und die Nachrichtendienste sind skeptisch, dass bei einem breiten Einsatz solcher Fuzzing-Software eben viel zu viele Sicherheitslücken auf einmal aufgedeckt würden, von denen sie bisher beim Einsatz ihrer Spionage-Programme und manchmal eben auch ihrer Sabotage-Programme ganz einfach profitiert haben.
Kloiber: Herr Welchering, wie muss man sich denn Einsatz solcher Fuzzer ganz konkret vorstellen?
Welchering: Das hängt ein wenig davon ab, auf welcher Ebene das eingesetzt wird. Wenn man das konkret auf der Ebene der Anwender einsetzt, hat man den breitesten Erfolg. So wird es in den USA auch gerade angegangen. Und als Anwender installiere ich eine solche Fuzzing-Software ganz einfach wie jedes andere Programm auf meinem PC oder eben in meinem Netzwerk. Ich starte das Programm und dann arbeite ich den ganzen Tag über ganz normal mit der Software, mit der ich eben sonst auch arbeite. Also etwa mit der Textverarbeitung, mit der Tabellenkalkulation. Ich browse im Internet rum. Ich rufe das FTP-Programm auf, um Dateien hin und her zu schaufeln, ich habe Schnittsoftware, um ein Video zu schneiden. Und während ich mit all diesen Programmen arbeite, überprüft die Fuzzing-Software fortwährend solche Dinge wie zum Beispiel: Wie viel CPU-Zeit wird denn da verbraucht oder welche Programmschleifen treten auf? Oder gibt es Zeitverzögerungen in der Ausführung? Welche Zugriffe auf welche Speicher werden realisiert? Welche Zugriffe auf Kommunikations-Ports finden statt? Und das wird alles protokolliert. Dabei wird teilweise mit den gleichen heuristischen Algorithmen gearbeitet, um diese Protokolle auszuwerten, mit denen etwa auch Anti-Schadsoftware-Programme arbeiten. Nur werden diese heuristischen Algorithmen jetzt nicht eingesetzt um direkt dann Schadsoftware ausfindig zu machen, also Viren, Würmer oder Spionageprogramme, sondern diese heuristischen Algorithmen werden jetzt eingesetzt, um Sicherheitslücken zu bemerken. Und wenn der Fuzzer dann solche Anomalien erkennt, werden die mit der gesamten Systemumgebung eben genauestens protokolliert und dokumentiert. Und ein Analyse-Tool kommt dann ins Spiel. Dieses Analyse-Tool gleicht das mit bereits bekannten Sicherheitslücken ab. Und wenn sich dann da eine Änlichkeit findet mit schon bekannten Sicherheitslücken, dann wird gleich eine Sicherheitslücke gemeldet. Da kann die relativ einfach teilweise sogar schon vom Anwender beschlossen werden. Findet sich keine Ähnlichkeit mit bereits bekannten Sicherheitslücken, dann wird der Verdacht auf eine neue Sicherheitslücke gemeldet. Und dann muss sich natürlich noch ein Software-Experte, also ein richtiger Mensch, anschauen, was da passiert ist, um eben eine Einschätzung geben zu können.
Kloiber: Wie stark hat sich denn dieser Fuzzing-Software-Markt in den vergangenen Monaten entwickelt?
Welchering: Also es war in den USA einer der am stärksten wachsenden Märkte, wenn man das auf den Softwaremarkt mal einfach abbildet. Das war ein Marktsegment, das sehr, sehr stark war. Im Augenblick finden sich in den USA mehr als 300 Fuzzing-Tools im Einsatz. Die sind sehr weit verbreitet schon. Vor allen Dingen in den Anwenderbetrieben. In Deutschland hat immerhin die Diskussion darüber begonnen. Allerdings haben wir hier noch einen wirklich massiven Aufholbedarf in Sachen Fuzzing. Und wir haben vor allen Dingen auch einen riesigen Nachholbedarf, was das Einführung von Fuzzing-Software in größeren Unternehmen angeht. Und das wird für einen massiven Schub in 2011 für diese Fuzzing-Software eben auch in Deutschland mit Sicherheit sorgen.
Peter Welchering: Das wird zurzeit noch kräftig diskutiert. Die Strategie dieses Cyber-Abwehrzentrums gibt im Augenblick darüber noch keine Auskunft. Und man muss sehen: Es gibt in Deutschland generell noch ziemlich massiven Widerstand gegen diese Fuzzer, gegen diese Fuzzing-Software. Und das hat gleich mehrere Gründe und Ursachen. Zum einen trauen einfach einige Informatiker hierzulande einer softwaregestützten Sicherheitsprüfung nicht – und eben auch einer Suche nach Sicherheitslücken, die dann automatisiert vorgenommen wird. Und zum anderen, Grund Nummer zwei: Vor allen Dingen die Experten insbesondere des Bundesnachrichtendienstes können sich gar nicht so recht anfreunden mit dem breiten Einsatz von Fuzzing-Software. Und das hat damit zu tun, dass der Bundesnachrichtendienst und andere Nachrichtendienste, andere Sicherheitsbehörden, ja auch auf die Arbeit des Cyber-Abwehrzentrums einigen Einfluss haben werden. Die werden ja kooperieren mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz. Und die Diskussion über den Einsatz von Fuzzern, vor allen Dingen von den Nachrichtendiensten dann vorgetragen, wird uns hier sicherlich beim Abwehrzentrum noch eine ganze Weile beschäftigen.
Kloiber: Was spricht denn gegen den Einsatz eines Fuzzers, um Sicherheitslücken aufspüren zu können?
Welchering: Erstaunlicherweise wird in Sachen Cyber-Abwehrzentrum immer wieder ein Argument vorgebracht: Und das Argument heißt ganz einfach: So ein Fuzzer, diese Fuzzing-Software, kann ja von jedem angewendet werden. Man braucht dafür tatsächlich nicht das Quellprogramm, muss sich das nicht zunächst anschauen. Man braucht dafür nur das ausführbare Programm. Und es reicht, das als Exe.-Datei oder andere Dateien auf dem eigenen Rechner zu haben, als Objekt also. Da muss also auch nichts neu kompiliert werden. Niemand muss Einblick nehmen für die Rein-Überprüfung eben dieser Quellprogramme. Und das hat dann eben zwei Konsequenzen: Einige Informatiker fühlen sich dann tatsächlich in so etwas wie ihrer Berufsehre gekränkt. Und die Nachrichtendienste sind skeptisch, dass bei einem breiten Einsatz solcher Fuzzing-Software eben viel zu viele Sicherheitslücken auf einmal aufgedeckt würden, von denen sie bisher beim Einsatz ihrer Spionage-Programme und manchmal eben auch ihrer Sabotage-Programme ganz einfach profitiert haben.
Kloiber: Herr Welchering, wie muss man sich denn Einsatz solcher Fuzzer ganz konkret vorstellen?
Welchering: Das hängt ein wenig davon ab, auf welcher Ebene das eingesetzt wird. Wenn man das konkret auf der Ebene der Anwender einsetzt, hat man den breitesten Erfolg. So wird es in den USA auch gerade angegangen. Und als Anwender installiere ich eine solche Fuzzing-Software ganz einfach wie jedes andere Programm auf meinem PC oder eben in meinem Netzwerk. Ich starte das Programm und dann arbeite ich den ganzen Tag über ganz normal mit der Software, mit der ich eben sonst auch arbeite. Also etwa mit der Textverarbeitung, mit der Tabellenkalkulation. Ich browse im Internet rum. Ich rufe das FTP-Programm auf, um Dateien hin und her zu schaufeln, ich habe Schnittsoftware, um ein Video zu schneiden. Und während ich mit all diesen Programmen arbeite, überprüft die Fuzzing-Software fortwährend solche Dinge wie zum Beispiel: Wie viel CPU-Zeit wird denn da verbraucht oder welche Programmschleifen treten auf? Oder gibt es Zeitverzögerungen in der Ausführung? Welche Zugriffe auf welche Speicher werden realisiert? Welche Zugriffe auf Kommunikations-Ports finden statt? Und das wird alles protokolliert. Dabei wird teilweise mit den gleichen heuristischen Algorithmen gearbeitet, um diese Protokolle auszuwerten, mit denen etwa auch Anti-Schadsoftware-Programme arbeiten. Nur werden diese heuristischen Algorithmen jetzt nicht eingesetzt um direkt dann Schadsoftware ausfindig zu machen, also Viren, Würmer oder Spionageprogramme, sondern diese heuristischen Algorithmen werden jetzt eingesetzt, um Sicherheitslücken zu bemerken. Und wenn der Fuzzer dann solche Anomalien erkennt, werden die mit der gesamten Systemumgebung eben genauestens protokolliert und dokumentiert. Und ein Analyse-Tool kommt dann ins Spiel. Dieses Analyse-Tool gleicht das mit bereits bekannten Sicherheitslücken ab. Und wenn sich dann da eine Änlichkeit findet mit schon bekannten Sicherheitslücken, dann wird gleich eine Sicherheitslücke gemeldet. Da kann die relativ einfach teilweise sogar schon vom Anwender beschlossen werden. Findet sich keine Ähnlichkeit mit bereits bekannten Sicherheitslücken, dann wird der Verdacht auf eine neue Sicherheitslücke gemeldet. Und dann muss sich natürlich noch ein Software-Experte, also ein richtiger Mensch, anschauen, was da passiert ist, um eben eine Einschätzung geben zu können.
Kloiber: Wie stark hat sich denn dieser Fuzzing-Software-Markt in den vergangenen Monaten entwickelt?
Welchering: Also es war in den USA einer der am stärksten wachsenden Märkte, wenn man das auf den Softwaremarkt mal einfach abbildet. Das war ein Marktsegment, das sehr, sehr stark war. Im Augenblick finden sich in den USA mehr als 300 Fuzzing-Tools im Einsatz. Die sind sehr weit verbreitet schon. Vor allen Dingen in den Anwenderbetrieben. In Deutschland hat immerhin die Diskussion darüber begonnen. Allerdings haben wir hier noch einen wirklich massiven Aufholbedarf in Sachen Fuzzing. Und wir haben vor allen Dingen auch einen riesigen Nachholbedarf, was das Einführung von Fuzzing-Software in größeren Unternehmen angeht. Und das wird für einen massiven Schub in 2011 für diese Fuzzing-Software eben auch in Deutschland mit Sicherheit sorgen.