Eine Backdoor ermöglicht den unerwünschten Zugriff auf Software (Betriebssystem, Anwendung, BIOS, Firmware, Verschlüsselungsalgorithmus) mit dem Ziel unentdeckt und illegal

a) geschützte Daten einzulesen

und/oder  

b) Änderungen an geschützten Daten vorzunehmen.

Ken Thompson („Vater“ des Betriebssystems UNIX und der Programmiersprache C) wies in seiner Turing Award-Dankesrede "Reflections on Trusting Trust" (1984) daraufhin, dass nur Software vertrauenswürdig sein könne, welche man vollständig selbst erzeugt habe:

„You can't trust code that you did not totally create yourself.”

und das KEINE Analyse des Source Codes, sei diese auch noch so gründlich, jemanden davor bewahrt, nicht vertrauenswürdigen Code (Malware, Backdoors, Rootkits usw.) zu benutzen:

“No amount of source-level verification or scrutiny will protect you from using untrusted code”

Ken Thompson belegt seine Schlussfolgerung mit dem Beispiel einer Backdoor, welche einem unveränderten Source Code per Kompilierung durch einen kompromittierten Compiler „eingeplanzt“ wird.

Die o.g. Schlussfolgerungen von Ken Thompson sind in ihren Auswirkungen sehr weitreichend und schränken die Möglichkeiten stark ein, sich vor unerwünschter Software durch alleinigen Zugriff auf den Source Code zu schützen, da

1. jegliche benutzte Software einschließlich der benutzen Compiler im Quellcode vorliegen muss. Da dies AUCH für die Software zur Steuerung der benutzten Hardware (BIOS, Firmware, Prozessor-Microcode usw.) gilt, ist dies für den Durchschnittsnutzer praktisch nicht umsetzbar.
       
2. der alleinige Zugriff auf den Source Code mehr gefühlte Sicherheit als wirklichen Schutz vor Backdoors bietet. Denn in der gelebten IT-Praxis wird sehr oft einfach der Binärcode von vertrauenswürdigen Anbietern eingesetzt, ohne den vorliegenden Source Code zu analysieren und anschließend zu übersetzen und wenn die Quellen übersetzt werden, dann oft ohne Source Code-Analyse und in den wenigsten Fällen mit selbstgebauten Compilern und mit einer Wahrscheinlichkeit gegen NULL auf Hardware, die durch selbsterzeugte Software gesteuert wird. 

Daher lautet die DRINGENDE Empfehlung des ITMZ nur Software aus vertrauenswürdigen Quellen zu nutzen.

Referenzen

Ken Thompson

• http://www.linfo.org/thompson.html

Relevante Abschnitte des Strafgesetzbuches (StGB)

Fünfzehnter Abschnitt - Verletzung des persönlichen Lebens- und Geheimbereichs

• § 202a Ausspähen von Daten
• § 202b Abfangen von Daten
• § 202c Vorbereiten des Ausspähens und Abfangens von Daten

Siebenundzwanzigster Abschnitt - Sachbeschädigung

• § 303a Datenveränderung
• § 303b Computersabotage

Bezugsadressen für Source Code von ausgewählten Software-Anbietern/Produkten:

• Apple
• Google Android
• Linux-Kernel
• Microsoft

Weitere Links zum Thema

Backdoors in Open Source

• Kernel-Backdoor: Lauschangriff auf Netzwerk-Verbindungen
• Offene Programmierung - Chancen und Risiken
• Insecurity Bulletin: Die Backdoor Linux/Cdorked.A
• Linux backdoor squirts code into SSH to keep its badness buried
• Openssl-"Heartbleed"-Bug

Backdoors in Windows

• _NSAKEY (Wikipedia)
• Confirmed: Microsoft Tells the NSA About Back Doors in Windows
• Stellungnahme des BSI zur aktuellen Berichterstattung zu MS Windows 8 und TPM

Sicherheitsprobleme von Standard-Software

• http://www.cvedetails.com/top-50-product-cvssscore-distribution.php
• http://www.cvedetails.com/top-50-products.php
• http://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php
• http://www.cvedetails.com/top-50-vendors.php