7. April 2021

Eastereggs – warum diese Entwicklerscherze nach hinten losgehen können

Von Joachim Reinke

April 7, 2021

Easteregg, ISO 27001, Osterei

Eastereggs - was Ostereier mit IT-Sicherheit zu tun haben, erschließt sich so auf den ersten Blick natürlich nicht direkt. Aber wir haben gerade Ostern 2021 und das ist natürlich genau der richtige Zeitpunkt, das Thema mal unter die Lupe zu nehmen!

Was sind "Eastereggs" eigentlich - und wieso plötzlich auf Englisch?

Als "Easteregg" (englisch für "Osterei") bezeichnet man eine versteckte Funktion in einer Software. Ein Feature, das man über die normale Navigation in der Software nicht ansteuern kann. Man wird "Eastereggs" nicht im Menü finden und im Handbuch beschrieben sind sie auch nicht.

Meist sind "Eastereggs" Funktionen, die an die Autoren von Software erinnern sollen und bspw. Namen oder szenetypische Spitznamen der Softwareentwickler anzeigen.

Übrigens: Auch im Deutschen spricht man in diesem Zusammenhang von "Easteregg" - und nicht vom deutschen "Osterei".

Was haben "Eastereggs" mit IT-Sicherheit zu tun?

Man bekommt also ohne Aufpreis zusätzliche Funktionen in seiner Software? Das klingt doch auf den ersten Blick einmal großartig!

Wenn man es sich aber genauer anschaut, hat es doch mehr Tücken als Vorteile:

  1. Gewährleistung: auf zusätzliche Funktionen, die sich nur "eher zufällig" in Ihre Software einschmuggeln konnten, haben Sie typischerweise keine Gewährleistung. Gewährleistung bezieht sich meist nur auf die im Leistungsumfang beschriebene Funktionalität.
  2. Fehlersuche (Debugging): häufig sind "Eastereggs" nur vergessene Funktionen, die der Entwickler während des Testens zur Software hinzugefügt hatte. Mit diesen Funktionen ließen sich während der Entwicklung einfach Fehler finden. Die Verwendung dieser Funktionen im Produktiv-Betrieb ist damit etwas riskant - denn dieser unterliegt meist ganz anderen Bedigungen als der Test. Ihre Software kann das zum Absturz bringen.
  3. Sicherheit: Und damit kommen wir zum schwierigsten Punkt. "Eastereggs" sind meist nicht getestet. Denn wenn sie während der Entwicklung ordentlich getestet werden, fallen sie auf. Und werden vielleicht verboten. Der Nachteil für Sie ist: Ihre Software hat potentiell sicherheitskritische Schwachstellen. Nämlich genau die "Eastereggs".

Die Internationale Norm für Informationssicherheit (ISO 27001) geht auf "Eastereggs" in zweierlei Weise ein:

  1. Im Anhang A.14 geht es darum, dass Sie die Entwicklung von Software "sicher" machen, sprich: bspw. über Code-Reviews o.ä. dafür sorgen, dass Ihre Entwickler keine "Eastereggs" in Software einbauen.
  2. Aber nicht alle Software programmiert man selbst. Daher geht es in Anhang A.15 darum sicherzustellen, dass Fremdsoftware, die Sie zukaufen und einsetzen, ebenfalls sicher ist. Beispielsweise, indem Sie mal schauen, was Ihre Software-Lieferanten tun, um "Eastereggs" auszuschließen.

Hersteller von Software haben das Thema "Eastereggs" mehr und mehr auf dem Schirm. Die Secure Software Alliance hat mittlerweile Richtlinien herausgegeben, die Mitglieder (also Firmen, die Software entwickeln) empfiehlt, "Eastereggs" in ihrer Software nicht zu gestatten.

Berühmte Eastereggs

Kennen Sie schon die Google Barrel Roll? Nicht? Dann öffnen Sie einfach google.com und tippen "Do a Barrel Roll" ein.

Oder wussten Sie schon, dass im Wikipedia-Eintrag zu "Easteregg" selbst ein Easteregg verborgen ist?

Oder haben Sie in Microsoft Word schon einmal in ein neues, leeres Dokument "=rand(200,2)" eingetippt und dann Return gedrückt?

Wir wünschen Viel Spaß!

Unser Tipp

"Eastereggs" sind potentielle Schwachstellen in Ihren Anwendungen. Wenn Sie auf der Suche sind nach neuer (unternehmenskritischer) Software sind:

  • Googlen Sie diejenigen Produkte, die in der engeren Auswahl sind, einmal im Zusammenhang mit dem Begriff "Easteregg".
  • Fragen Sie den Hersteller, ob er Maßnahmen gegen Eastereggs in seinem Entwicklungsprozess vorsieht - und: welches dies sind.

"Eastereggs" - Ostereier - haben eine ganze Menge mit IT-Sicherheit zu tun!

Wenn Sie gerade auf dem Weg sind, Ihre unternehmenskritische Software sicher zu machen und noch nicht genau wissen, wie das am besten geht, dann können wir gerne mal telefonieren. Suchen Sie sich doch auf dieser Seite einfach einen Termin heraus.

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.


Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD und die AOK.

Einen Kommentar hinterlassen

Ihre Email-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}