Menü
IT Sicherheit ist ein Weg, kein Ziel!
01.04.2018

Ostereier und Easter Eggs

Unter einem „Easter-Egg“, also Osterei, versteht der Otto Normaluser üblicherweise ein leckeres Schokoladenei, dass an Ostern gereicht wird. Wobei nebenbei bemerkt, mache behaupten, dass die Grundmasse die eingeschmolzenen Schoko-Weihnachtsfiguren sind (aber egal, Hauptsache es schmeckt).

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Für die Security-Leute hat ein Easter Egg  aber auch noch eine zweite Bedeutung – denn so werden auch in Programmen und Tools nicht dokumentierte Funktionen bezeichnet. Vor allem in Computerspielen, Spezialanwendungen und gelegentlich auch in Betriebssystemen findet man gelegentlich derartige Spezial-Eier.
Dabei werden witzige Infos abgebildet, überraschende Grafien angezeigt, besondere Animationen gestartet oder auch erweiterte Spiel-Level oder Funktionen freigeschaltet. So gesehen ist ein Easter Egg teilweise vergleichbar mit einem Cheat.

Während die erste Variante im Prinzip unterhalten soll, stellt die zweite Variante oft einen Betrug dar, bei dem man sich Vorteile verschafft. Ob ein Spieler Cheats nutz, mag jeder selbst entscheiden. Das Problem aber ist bei beiden Varianten, dass nicht dokumentierte Funktionen genutzt werden. Eine Dokumentation ist zwar durch den Programcode indirekt dagegen, aber wer analysiert schon (ohne zwingenden Grund), zigtausende von Programmzeilen. Ob es sich nun um einen Scherz einen Cheat oder aber um eine (versehentlich?) belassene Hintertür im Programcode handelt ist schwer zu finden und entscheiden.
Oder ob, im ungünstigsten Fall, ein Cheat oder Easter Egg schlampig programmiert wurde und so eine fatale Schwachstelle im Programm eröffnet!
So sehr man den namenlosen Programmierern den Ruhm durch ein Easter Egg gönnt oder auch dem verzweifelten Computerspieler einen Cheat geben will, der ihm über ein Level hinweghilft, an dem er schon wochenlang spielt - risikobehaftet sind beide Varianten!
Bezüglich einer sicheren Programmierung, sollte man daher fordern, auf derartige Programmierungen zu verzichten! Denn Programmierer kann man anders würdigen und Spielern weiterhelfen, dazu braucht es keine „Programm-Erweiterung“. Für die Praxis bedeute dies, dass man bei Kauf einer Software mal einen Blick auf den SW-Vertrag werfen sollte, wie dieser undokumentierte Funktionen bzw. Easter Eggs behandelt/regelt und damit umgeht. Sofern kann Passus im Vertrag enthalten ist, sollte man einmal überlegen, ob es nicht zur Risikominimierung beiträgt, derartiges vom Hersteller einzufordern.

Denn die Zeiten ändern sich, heutzutage ist die IT einfach zu wichtig um durch althergebrachte Trends gefährdet zu werden… auch wenn es ein wenig traurig stimmt!