Sicherheit: Entwickler sollen für Bugs im Quellcode haften

Computer sind komplex und erfordern komplexe Software. Die allerdings ist immer häufiger eher eine wilde Ansammlung von Programmierfehlern als ein brauchbares Produkt, Sicherheitslücken inklusive. Viele Entwickler sind mit der Komplexität überfordert, ein Experte fordert nun eine bessere Ausbildung der Programmierknechte - und eine Haftbarmachung der Programmierer gegenüber schweren Sicherheitslücken.

Entsprungen ist diese Idee dem Geist von Howard Schmidt. Der IT-Experte hat früher die US-Regierung in Sachen Computersicherheit beraten und ist inzwischen Chef einer Sicherheits-Beratungsfirma namens R&H Security Consulting. Er fordert eine bessere Ausbildung der Programmierer und bezieht sich dabei auf eine Studie von Microsoft: 64 Prozent aller befragten Entwickler hätten in dieser Studie angegeben, nicht davon überzeugt zu sein, eine sichere Anwendung schreiben zu können. Mit anderen Worten können die Entwickler nicht garantieren, dass der Quellcode, den sie liefern, auch aktuellen Sicherheitsstandards genügt.

Löcher im Code durch Unfähigkeit

Grund für die Löcher-Programmierung von der Pike an, sind laut Schmidt Fehler bei der Ausbildung: "Die meisten Universitätskurse konzentrieren sich traditionell auf Benutzerfreundlichkeit, Skalierbarkeit und Management, nicht auf Sicherheit", so Schmidt auf einer Konferenz in London. Zwar gebe es inzwischen eine gewisse Fokussierung auf Sicherheit und Datensicherung, besonders bei Web-Applikationen gebe es allerdings gravierende Sicherheitsmängel, da es hauptsächlich darum ginge, Klickfarmen zu erzeugen statt sicherem Code.

Schmidt lieferte auch direkt einen Vorschlag, um dem Problem Einhalt zu gebieten. Wenn der Code nicht sicher ist, der Programmierer aber auch nicht dafür haftbar, so ist keine Besserung in Sicht. "Wir brauchen in der Softwareentwicklung eine persönliche Qualitätssicherung von den Entwicklern, dass der Code, den sie geschrieben haben, sicher ist", verlangt Schmidt deshalb. Der Programmierer soll haftbar gemacht werden für seine Programmierfehler.

Hexenjagd auf Programmierer

Im Falle eines Sasser-Wurmes kann eine solche Vorgehensweise allerdings Leben ruinieren. Ist nicht mehr das Unternehmen, dessen Produkt unsicher ist, als ganzes für die Sicherheit des Codes verantwortlich, sondern jeder einzelne Programmierer, könnte das eine Hexenjagd nach sich ziehen. Microsoft sagt, dass Windows eigentlich sicher wäre und schiebt die Schuld den verantwortlichen Programmierern in die Schuhe. Einige Pressemitteilungen würden ausreichen, um einen Entwickler für alle Zeiten in Misskredit zu bringen und die schlunzige Qualitätskontrolle des eigenen Unternehmens auf Einzelpersonen abzuwälzen.

Um das zu verhindern, sollen nach dem Willen Schmidts die Unternehmen mehr Verantwortung übernehmen: Bereits bei der Einstellung von Programmierern einige Tests erfolgen, die die Sicherheitsqualifikation der Coder überprüfen. Unterstützt wird der Vorschlag von der British Computer Society. Ob das allerdings die Sicherheitsprobleme löst, ist eine andere Frage. Oft genug schmuggeln sich Sicherheitslücken durch die Interaktion mehrerer Funktionen oder sogar über gewollte Features von Software ein. Als Beispiel sei der Internet-Explorer mit seinem ActiveX genannt, das als gute Idee begann, sich aber binnen weniger Jahre zum Scheunentor für Schädlinge entwickelte.

Links zum Thema

• ActiveX