LinuxTag unterstreicht Bedeutung offener Standards für Sicherheit

Im Rahmen des 21. Chaos Communication Congress, der am 29. Dezember in Berlin zuende gegangen ist, wurde das Thema Offenheit in einem Workshop von LinuxTag-Mitglied Nils Magnus von einer weiteren Seite beleuchtet: “Die günstigen Kosten, die Open Source im Allgemeinen bedeuten, sind nur ein wesentlicher Faktor für Freie Software", erklärt Magnus, “die Sicherheit offner Systeme hat aber einen ähnlich hohen Stellenwert.”

In dem angebotenen Workshop diskutierten die Teilnehmer über Auswirkungen nicht veröffentlichter Standards. Als ein exemplarischer Fall wurde aufgrund seiner Verbreitung das SAP R/3 System von Deutschlands führendem Softwareanbieter herausgegriffen. Das DIAG-Protokoll zwischen sap-GUI und Anwendungsserver ist nämlich nicht öffentlich zugänglich.

“Früher wurde aus dem SAP-Umfeld behauptet, das Protokoll sei verschlüsselt; die offizielle SAP-Position ist heute nur noch, das Protokoll sei ‘verschleiert’,” weiß Magnus zu berichten. Im Rahmen von eigenen Untersuchungen wurde herausgefunden, dass wichtige Anmeldedaten wie Benutzernamen und Passwörter ohne Abhörschutz übertragen werden. In Expertenforen weist SAP sogar selbst auf diesen Umstand hin und bietet über Drittanbieter Lösungen an.

“Aus Sicht der Sicherheit ist SAP kein Vorwurf darüber zu machen, dass das Protokoll nicht verschlüsselt ist,” meint Magnus, “alleine die Tatsache, dass dieser Umstand von der Öffentlichkeit ferngehalten wurde, wird kritisiert". Wenn Protokolle und Verfahren offengelegt werden, können mögliche Schwachstellen besser erkannt und behoben werden. Dies haben selbst amerikanische Behörden erkannt und haben den aktuellen Kryptostandard AES als Ergebnis einer langfristigen öffentlichen Untersuchung ausgewählt.

“Bei öffentlicher Verfügbarkeit des Protokolles könnten beispielsweise auch offene und erprobte Standards wie OpenSSH zur Absicherung genutzt werden", schließt Magnus, “diese Technologie ist heute in fast jedem Rechenzentrum der Welt im Einsatz.”