Um die Wette hacken
Bei der Cyber Grand Challenge in Las Vegas suchen sieben Computer nach Sicherheitslücken bei den Kontrahenten
Sieben Computer suchen den Systemfehler beim anderen.
Wer fängt einen wild programmierenden, mit immer neuen und immer schneller lancierten Updates Gewinne anstrebenden Kapitalismus ein?
Während in Rio de Janeiro teils pharmazeutisch aufgerüstete Menschen um Edelmetall und zukünftige Werbeverträge gegeneinander kämpfen, wurden in Las Vegas Maschinen gegeneinander in Stellung gebracht, um Lösungen für einen Problemkomplex der digitalisierten Menschheit zu finden. Im Finale der Cyber Grand Challenge suchten sieben Computersysteme nach Schadstellen in Softwareprogrammen, versuchten sie zu beheben und zugleich Sicherheitslücken bei den Kontrahenten zu finden. Insgesamt 650 Sicherheitslücken wurden in den 95 Runden a fünf Minuten erkannt und 421 Reparaturvorschläge programmiert.
Der Auftritt war imposant. Auf den weichen Orientteppichen des Hotelund Casino-Komplexes Paris Las Vegas in der Zockermetropole im Westen der USA waren nicht nur die blinkenden Türme der Rechnersysteme aufgebaut. Sie waren auch an ein veritables Kraftwerk mit 300 Kilowatt Leistung und an ein Kühlsystem mit 180 Tonnen Wasser angeschlossen. Eine Glasummantelung umgab die Rechner, um sicherzustellen, dass sie nicht mit der Außenwelt verbunden waren.
Ausgedacht hatte sich diese Grand Challenge die DARPA, eine Einrichtung des US-Verteidigungsministeriums. Die in der Folge des Sputnikschocks gegründete Agentur war mit ihrem ARPA-Netzwerk einer der Vorläufer des Internets. Die Grand Challenges stehen in dieser Tradition von Entwicklungen für die zivile Nutzung. Die Grand Challenge 2004 zu unbemannten Autos beschleunigte die Forschungen in diesem Sektor beachtlich. Einen ähnlichen Effekt erhofft man sich nun auch für das Schließen von Sicherheitslücken.
Wie groß diese Gefahr ist, belegt allein ein Blick in die Nachrichtenspalte des Branchendienstes esecurityplanet.com. Für die letzten Wochen wurden Attacken auf das Kassensystem des Softwareunternehmens und Cloudanbieters Oracle, den britischen Zweig des Telekommunikationsunternehmens O2, mehrere global agierende Hotelketten, Krankenhauskonzerne in den USA sowie die Schnellrestaurantkette Wendy’s gelistet. Bei diesen Angriffen wurden Millionen von persönlichen Daten, Kreditkartennummern und Informationen über den Gesundheitszustand der einzelnen Personen erbeutet. Die Informationen geben Hackern Gelegenheit, Kreditkarten leer zu räumen, aber auch neue Bankkonten unter fremdem Namen, ja ganze neue Identitäten einzurichten. Noch nicht einmal aufgeführt war der jüngst geglückte Einbruch von Sicherheitsexperten in das Funkschlüsselsystem von VW.
Die jeweils im Fünf-Minutentakt auf der Grand Challenge gefundenen 650 Sicherheitslücken sind in diesem Zusammenhang ein beachtliches Resultat. Denn im Realleben dauert es zuweilen Jahre, bis Unternehmen Sicherheitslücken erkennen – und weitere Jahre, bis sie sie schließen. Die Angriffsstelle für den Stuxnet-Virus, der unter anderem ein iranisches Kernkraftwerk attackierte, wurde von Microsoft erst fünf Jahre später geschlossen. Die Stuxnet-Angriffsstelle gehörte zu insgesamt sechs historischen Lücken, die extra für den Wettbewerb nachgebaut wurden. Die meisten von ihnen wurden erkannt und behoben, wenn auch nicht von allen Maschinen.
Das Rechnersystem XANDRA, der spätere Zweitplatzierte, fand sogar einen Fehler, der von den Ausschreibern gar nicht geplant war. Ein DARPA-Vertreter war von diesem Ereignis geradezu überwältigt. Seine Einlassung wirft zugleich ein Licht darauf, wie schlecht es rein strukturell um die Sicherheit neuer Software bestellt ist: »Wir hatten diesen Bug wirklich nicht intendiert. Aber inzwischen wird so viel Software geschrieben, die so komplex ist, dass es für menschliche Programmierer gar nicht mehr möglich ist, alle Fehler zu erkennen.«
Die maschinelle Fehlersuche kann hier sicherlich hilfreich sein. Die Grand Challenge offenbarte aber auch Probleme. Siegermaschine MAYHEM – das Team erhielt zwei Millionen Dollar Prämie – war die am zweitschlechtesten gesicherte Maschine und ließ zahlreiche Attacken der Rivalen auf sich zu. Neben besserer und durchaus von Maschinen unterstützter Fehlersuche sind aber sorgfältigere und besser strukturiertere Programmierung der Schlüssel zur Bewältigung des sich abzeichnenden Problems. Andernfalls droht eine Zukunft gekaperter Autos, Flugzeuge, Kühlschränke, Heizungsanlagen und Bohrplattformen. Die Frage jenseits der Grand Challenge ist also: Wer fängt einen wild programmierenden, mit immer neuen und immer schneller lancierten Updates Gewinne anstrebenden Kapitalismus ein? Die Lösung dafür liefert sicher nicht die DARPA.