Interview mit Sabine Radomski, Professorin im Fachbereich Nachrichtentechnik der Hochschule für Telekommunikation Leipzig mit Forschungsschwerpunkt Software-Qualität und IT-Sicherheit
Prof. Sabine Radomski schlägt für Software ein ähnliches Sicherheitsverfahren wie für Autos vor. Daran könnten sich dann auch Cyber-Versicherungen orientieren.
Viele Cyberangreifer nutzen Sicherheitslücken der Software. Davon werden immer neue bekannt, in den vergangenen Monaten beispielsweise einige des Exchange Servers von Microsoft. Der Angriff der chinesischen Hackgruppe Hafnium über den Server traf sogar fast 30.000 deutsche Unternehmen. Sie forschen über Softwarequalität und ihre Sicherheitsschwachstellen. Das Microsoftsystem ist schon jahrzehntelang weltweit im Einsatz. Können Sie erklären, wieso sich da immer neue Angriffslücken auftun?
Das Microsoft System wird ständig weiterentwickelt. Bei dem Beginn der Entwicklung wurde nicht darauf geachtet, die Komponenten mit sauberen Schnittstellen lose zu koppeln. Damit wird eine Wartung zunehmend schwierig und es treten immer wieder unerwartete Fehler auf. Dann wird bei der Entwicklung der Software nicht darauf geachtet, regelmäßig die Codequalität zu überprüfen. Außerdem enthält die Software nun schon viele 10.000de Lines of Code (Programmzeilen/LoC) und ist damit so mächtig und komplex geworden, dass Fehler unvermeidlich sind.
Die Digitalisierung führt dazu, dass immer mehr Anlagen und Prozesse vernetzt werden. Damit können auch Hacker auf immer mehr Bereiche der Unternehmen zugreifen. Wie wird nach Ihrer Kenntnis die komplexe Software dafür gesichert?
Unzureichend. Viele Firmen sparen an IT-Sicherheit. Die Rentabilität von IT-Sicherheitsmaßnahmen wird nicht erkannt.
Sie haben an der Hochschule für Telekommunikation Leipzig ein Modell entwickelt, dass die Software bei der Entwicklung stärker kontinuierlich testet. Wie funktioniert das?
Es wird ein automatischer Codescann in die Software Entwicklung integriert. Sobald der Codescann eine entsprechende Qualität anzeigt, kann die Software weiterentwickelt werden, oder zur Nutzung freigegeben werden. Zum Beispiel Open Source Software mit entsprechender Qualität wird zertifiziert und kann dann weiterverwendet werden, ein erneutes Testen ist mit dem Zertifikat dann nicht mehr notwendig und spart Ressourcen. Die Integration wurde für viele verschiedene Softwarearten untersucht.
Lassen sich mit dem V-Modell Sicherheitslücken bei komplexer Produktionssoftware verhindern?
Das V-Modell räumt dem Testen einen wesentlichen Platz und etwa 50 Prozent der Entwicklungszeit ein. Damit ist es möglich, Sicherheitslücken zu entdecken und zu reduzieren.
Heute müssen zumeist die Softwarenutzer oder ihre Versicherer für die Schäden der Cyberattacken selbst aufkommen. Wie können nach Ihrer Einschätzung die Hersteller von Software stärker in die Haftung genommen werden, wenn ihre Sicherheitslücken die Angriffe erst ermöglichten?
Mit einem gesetzlichen Rahmen, ähnlich dem GS-Zeichen für Produkte kann eine Qualität für Software gefordert werden. Wenn die Software trotz mangelnder Qualität und Sicherheit auf den Markt gebracht wird, dann ist das zumindest grob fahrlässig und der Hersteller muss dafür haften. Grundlage für die Haftung ist das Produkthaftungsgesetz, das auch bei einer Schenkung (Beispiel Open Source) eine Haftung bei grober Fahrlässigkeit vorsieht. Wesentliche Schritte in diese Richtung sind bereits unternommen worden, zum Beispiel die, dass die Nachweispflicht umgekehrt wurde. Nun muss der Hersteller in einem Verfahren nachweisen, dass eine Software fehlerfrei ist und den Schaden nicht verursacht hat. Trotzdem sind solche Verfahren immer noch schwierig.
Wichtig ist dabei, dass nicht nur der Preis der Software als Schaden anerkannt wird, sondern auch alle Folgeschäden berücksichtigt werden.
Wie lassen sich Standards für die Sicherheit von Software etablieren?
Das Bundesamt für Sicherheit in der Informationstechnik, das BSI, arbeitet daran. Dabei bindet das BSI Branchenvertretungen wie den Bitkom mit ein. Auch existiert eine enge Zusammenarbeit mit den entsprechenden Gremien der Europäischen Kommission. Im April 2021 wurde ein neues Eckpunktepapier für die Cyber-Sicherheitsstrategie (CSS) erarbeitet, dass verschiedene Handlungsfelder und Leitlinien definiert. Zurzeit wird in verschiedenen Gremien und Veranstaltungen von einer freiwilligen Zertifizierung von Software gesprochen. Damit kann aber eine „Digitale Souveränität“ nicht erreicht werden.
Wenn eine weitverbreitete Software mangelhaft ist, trifft das zumeist viele Unternehmen gleichzeitig. Wie sollten Versicherungen mit derartigen Kumulrisiken umgehen?
Eine Versicherung versichert auch nur ein KfZ, wenn es einen aktuellen TÜV hat. Sollte der TÜV abgelaufen sein und es entsteht ein Unfall, weil das Fahrzeug nicht verkehrstüchtig ist, dann erstattet die Versicherung auch nur einen Teil des Schadens. Ähnlich kann auch bei versicherten Software Schäden gearbeitet werden. Voraussetzung ist ein TÜV für Software und ein Bußgeldkatalog, der Strafen vorsieht, sobald Software ohne TÜV eingesetzt oder verkauft wird.
Die vorhandenen Mechanismen müssen nur auch auf Software angewendet werden. Mit unseren Untersuchungen haben wir nachgewiesen, dass eine Zertifizierung in die Software Entwicklung integriert werden kann. Alles Weitere liegt jetzt in der Hand des Gesetzgebers. Er kann natürlich auch durch verschiedene Branchen motiviert werden und die Versicherer können Voraussetzungen für eine Versicherung fordern. Einiges kann auch über den Preis geregelt werden.
Die Fragen stellte Sabine Haupt