Null Toleranz für Viren

Mit Project Zero macht Google Jagd auf Sicherheitslücken in Programmen und Betriebssystemen.

Die Suche nach Sicherheitslücken in Programmen und Betriebssystemen ist aufwändig.

Die Suche nach Sicherheitslücken in Programmen und Betriebssystemen ist aufwändig. Bild: Keystone

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Angefangen hat alles in einer Zürcher Bar, morgens um vier Uhr. Dort sassen vor einigen Jahren einige Informatiker und IT-Sicherheitsexperten zusammen und wunderten sich zwischen dem zweiten und dritten Bier, warum niemand etwas gegen die vielen Sicherheitslücken in Computerprogrammen unternimmt.

Auch Google-Mann Chris Evans, damals zuständig für die Sicherheit des Chrome-Browsers, soll der Legende nach am Tisch gesessen haben, und er liess den bierseligen Ideen Taten folgen: Die Idee zu Google Project Zero war geboren. Ein Team der besten IT-Experten sollte sich der Jagd nach Sicherheitslücken widmen, und zwar nicht nur bei den eigenen Produkten.

Sicherheitslücken in Programmen und Betriebssystemen sind weltweit ein grosses Problem. Am gefährlichsten sind jene Lücken, von denen noch niemand etwas ahnt. Fachleute nennen sie Zero-Day-Schwachstellen. Das heisst, weder Entwickler noch User wissen etwas von der Sicherheitslücke, die Hacker vielleicht bereits ausnützen.

Den betroffenen Unternehmen geben sie 90 Tage Zeit

Eine kritische Sicherheitslücke in Adobes Flash Player beispielsweise gefährdete User aller Betriebssysteme im April. Ein Hacker konnte über die Schwachstelle sogar die Kontrolle über den jeweiligen Computer übernehmen. Andere Schwachstellen ermöglichen es, kritische Informationen zu stehlen. Google Project Zero ist ein erster Schritt, diese Bedrohungen anzugehen, doch es braucht trotz Googles Macht noch mehr. Gefragt ist jeder Einzelne.

Vor zwei Jahren startete das Unternehmen offiziell mit Project Zero. Und weil Google ein begehrter Arbeitgeber ist, konnte es hochrangige Sicherheitsexperten wie den Briten Tavis Ormandy verpflichten. Ein Teil des Teams arbeitet in Kalifornien, der andere am Zürcher Sitz, wo Google für das Team im Juni 2016 wieder einen Experten für Informationssicherheit suchte, der schon durch «herausragende Publikationen» in dem Bereich aufgefallen sein soll.

Die Zielsetzung der Arbeitsgruppe ist ambitioniert: «Wir treten an, um die Anzahl der User, die Opfer von gezielten Attacken werden, deutlich zu reduzieren», hiess es in der offiziellen Mitteilung zum Start. In einer öffentlichen Datenbank zeichnen die Zero-Day-Jäger auf, was sie entdecken. Den betroffenen Unternehmen geben sie jeweils 90 Tage Zeit, die Lücke zu stopfen, bevor sie sie bekannt machen. Auch einen Blog führt die Arbeitsgruppe über ihre Entdeckungen. Trotzdem will auf Anfrage niemand bei Google über Project Zero sprechen.

Erst Ende Juni deckte Tavis Ormandy massive Sicherheitslücken auf – ausgerechnet in Symantec-Produkten (Symantec, Norton), die eigentlich vor Angriffen schützen sollten. Ormandy fand unter anderem eine Schwachstelle in einem der Vorgänge, bei dem die Sicherheitssoftware potenziell gefährliche Files untersuchen sollte. Auch diese Schwachstelle könnten Hacker nutzen, um unbemerkt auf fremde Computer zu gelangen. In einem Blogeintrag schrieb Ormandy dazu: «Viel schlimmer könnte das Sicherheitsproblem nicht sein.»

Als Durchschnittsuser mag man sich nun fragen: Warum schreiben Programmierer eigentlich so fehlerhafte Software? «Viele Programmierer sind immer noch zu wenig für die IT-Sicherheit sensibilisiert», sagt Eric Dubuis, Professor für Informatik an der Berner Fachhochschule. Zudem sei es beim Schreiben des Programmcodes manchmal schwierig, die Konsequenzen einer neuen Anordnung abzuschätzen und den Überblick zu behalten.

Zeichen gegen die Schnüffelei von Geheimdiensten

Ähnlich sieht dies Marc Rennhard, Professor für Informatik an der ZHAW und Leiter des Schwerpunkts Information Security: «Viele Softwareentwickler haben nur sehr wenig Security-Know-how.» Ein grosses Problem sei das auch bei den App-Entwicklern. «Ein Grossteil dieser Applikationen weist substanzielle Schwachstellen auf», sagt Rennhard.

Dass sich Google nun für die Sicherheit einsetzt, macht der Konzern kaum aus Gutmenschentum. Auch Google ist mit seinen Entwicklungen teilweise auf die Systeme anderer angewiesen. Und ein zufriedener Internetkunde, der nicht von Sicherheitsproblemen geplagt ist, ist für Google-Ads empfänglicher.

«Für einen IT-Riesen wie Google ist es grundsätzlich ein Vorteil, wenn die Systeme besser werden und das Vertrauen der Kunden in die IT wächst», sagt Rennhard. Project Zero findet er eine «wichtige Sache», weil Google viel Know-how am richtigen Ort bündeln könne. Trotzdem sei auch dies, global gesehen, erst ein Tropfen auf den heissen Stein. Entscheidend sei es auch, wie jeder Einzelne sich verhalte.

Das Magazin «Wired» vermutet, dass Google sein Project Zero auch startete, um ein Zeichen gegen die Schnüffelpolitik der US-Regierung zu setzen. Die Zero-Day-Schwachstellen können auch von den Geheimdiensten ausgenützt werden, um nichts ahnende User zu beobachten, oder von diktatorischen Regierungen, um kritische Stimmen zum Schweigen zu bringen. «Fuck these guys» hatte ein Google-Sicherheitsexperte in einem heute legendären Blog-Eintrag geschrieben, nachdem Edward Snowden bekannt gemacht hatte, wie leicht Regierungen Schwachstellen zum Spionieren ausnützen würden.

Google-Mann Chris Evans hat sich inzwischen eine neue, wohl auch eher anspruchsvolle Aufgabe gesucht. Er leitet nun die Abteilung Sicherheit bei Tesla Motors.

(SonntagsZeitung)

Erstellt: 10.08.2016, 14:51 Uhr

Artikel zum Thema

Wenn der Mensch zur Schwachstelle wird

In einer der aufregendsten neuen TV-Serien des Jahres plant ein junger Hacker die Revolution. Und legt dabei unsere Verwundbarkeit in der digitalen Welt offen. Mehr...

Mit zwei Faktoren in Sicherheit

Gegen Passwortklau hilft eine einfache Methode. Fast alle Webdienste bieten sie an. Mehr...

So schützen Sie sich vor Cyberattacken

Alle Updates für Programme und Systeme immer sofort nach dem Release herunterladen; Experten empfehlen die automatisierte Aktualisierung. Sehr wichtig ist es auch, den Webbrowser immer auf dem aktuellen Stand zu halten und eine Firewall einzurichten, damit niemand von aussen eine Verbindung auf den Computer aufbauen kann. Mit dem Installieren von Software sollte man sparsam umgehen und immer nur solche aus vertrauenswürdigen Quellen herunterladen. Trotz Schwächen gehört ein Anti-Virus-Programm zum Standard; auch das sollte immer auf dem neusten Stand sein. Nie E-Mail-Attachments von unbekannten Absendern öffnen. (abr)

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Blogs

Mamablog Kind, zieh doch Socken an!

Sweet Home Kreative Wohnideen mit Charme

Die Welt in Bildern

Eine Karawane zieht durch die Strasse: In Selcuk im Westen der Türkei sind ein Viehbesitzer und sein Kamel auf dem Weg zum jährlichen Kamelringen. Der traditionelle Wettkampf existiert bereits seit 2400 Jahren (19. Januar 2019)
(Bild: Bulent Kilic) Mehr...