IT-Security: Mit Sicherheit nachhaltig

Der Energiebedarf von IT-Systemen ist deutschlandweit sehr hoch. Allein Rechenzentren und kleinere IT-Installationen verbrauchen nach Angaben des Branchenverbandes Bitkom 16 Milliarden Kilowattstunden pro Jahr. Experten gehen davon aus, dass sich dieser Energieverbrauch etwa alle zehn Jahre verdoppeln könnte. Hinzu kommen Steuerungen und klassische Desktopsysteme, zusätzliche Netzwerktechnik und Server. Dieser wachsende Energiebedarf ist auch deshalb bemerkenswert, weil sich die Effizienz von Prozessoren ständig verbessert. Ineffiziente Software bremst diesen Fortschritt jedoch merklich aus – und genau hier besteht ein erhebliches Einsparpotenzial.

Neben dem Energieverbrauch sind Sicherheitslücken ein häufiges Problem in Softwareprojekten. Was Sicherheit mit Nachhaltigkeit und Einsparpotenzialen zu tun hat? Tatsächlich lässt sich durch viele Methoden, die zur Verbesserung der Softwarequalität und Vermeidung von Sicherheitslücken führen, zugleich der Ressourcenverbrauch reduzieren. Ein bekanntes Beispiel hierfür ist das VPN-Protokoll WireGuard: Während bei klassischen Systemen zum Aufbau Virtueller Privater Netzwerke ("VPN") mit rund 350.000 Zeilen Programmcode eine Überprüfung (Software-Audit) kaum möglich ist, lässt sich der knapp 4.000 Zeilen umfassende Programmcode von Wireguard mit vergleichsweise geringem Aufwand analysieren. Zudem erfordert der schlanke Programmcode in der Ausführung weniger Rechenschritte und weniger Speicher. Und jeder Rechenschritt benötigt elektrische Energie. Somit kann durch weniger Rechenschritte der Energieverbrauch eines IT-Systems unmittelbar gesenkt werden.

Sicher, schnell und nachhaltig: Notfallkontakt nach RFC 9116 und SBOM

Zur Beschleunigung und Vereinfachung der Kommunikation zu kritischen Sicherheitslücken sollten Hersteller und Betreiber einen Notfallkontakt gemäß RFC 9116 (Request for Comments) hinterlegen: die Textdatei security.txt. Stellt der Hersteller zusätzlich eine sogenannte Software-Stückliste (SBOM – Software Bill of Materials) zur Verfügung, lassen sich nach Bekanntwerden einer kritischen Sicherheitslücke die betroffenen Bibliotheken automatisch lokalisieren. Dank dieser Maßnahmen kann Programmcode, der bisher manuell nach eingebetteten Bibliotheken mit Sicherheitslücken durchsucht wird, in Zukunft computergestützt gescannt werden. Dadurch werden erhebliche Entwicklungsressourcen frei, die in die Softwarequalität – und damit auch deren Energieeffizienz – investiert werden können. Auf einer Webseite haben wir die wichtigsten Hinweise zusammengestellt, mit denen Betriebe ihren eigenen Notfallkontakt in wenigen Minuten erstellen können.

Außerdem sollten Hersteller eine computerlesbare Handlungsempfehlung bereitstellen, wie auf eine potenzielle Sicherheitslücke reagiert werden sollte.