Sicherheit fängt bei den Herstellern an

Kein CIO kann es sich leisten, Sicherheitsfragen unbeantwortet zu lassen. Welchem Misstrauen und Druck die IT-Verantwortlichen ausgesetzt sind, wenn Daten verloren gehen (T-Mobile mit Sidekick) oder gestohlen werden (AWD und Schüler VZ), kann sich jeder leicht vorstellen. Es wird die Hölle los sein in diesen Unternehmen, jede Menge unangenehme Fragen wollen beantwortet werden, von denen die fieseste lautet: Wie konnte das passieren? Hat der CIO keine Antwort darauf, ist er unten durch, weil er offenbar sein System und dessen Schutzmechanismen nicht gründlich genug kennt. Weiß er die Antwort, ist es vielleicht noch schlimmer, weil gleich die Frage folgt: Wieso konnte das nicht verhindert werden? Beim Mühlespiel nennt man das eine Zwicklmühle.
Und weil es immer blöde Zufälle, menschliches Versagen und jede Menge kriminelle Energie gibt, kommen solche Fälle auch immer wieder vor. Da helfen keine Appelle an den gesunden Menschenverstand oder den mündigen Internet-Nutzer, der nicht alle seine Geheimnisse auf seine Profilseite im Social Network stellen sollte. Die Nutzer werden es noch lange Zeit tun. Und solange sich mit diesen Daten Geld verdienen lässt, wird es immer Kriminelle geben, die die Lücken der Sicherheitssysteme auszunutzen versuchen.
Also lässt sich nichts tun? Sollten wir uns lieber gleich von unserer Privatsphäre verabschieden, wenn wir online gehen? Die Antwort auf die zweite Frage lautet „ja“. Zumindest sollte man sich darauf gefasst machen, dass Dinge die man online stellt genauso wenig geheim bleiben, wie das, was man dem besten Freund/der besten Freundin unter dem Siegel der Verschwiegenheit erzählt.
Die erste Frage lässt sich allerdings mit einem lauten „doch“ beantworten. Die meisten Sicherheitsprobleme lassen sich durch zwei relativ simple Vorgehensweisen ausräumen oder zumindest stark reduzieren. Es geht darum, das Bewusstsein für Sicherheit bei Mitarbeitern, Führungskräften und ganz einfach bei Konsumenten zu fördern. Da gibt es bereits richtige Ansätze, die allerdings intensiviert werden und über Jahre hin aufrecht erhalten werden müssen. Das ist eine ähnliche Aufgabe wie Aids-Aufklärung und Anti-Raucherkampagnen.
Der zweite Vorschlag ist noch einfacher, zumindest in der Theorie. Man legt die Verantwortung für die Sicherheit in die Hände der Softwareanbieter. Auf Deutsch: Wer ein E-Mail-System entwickelt, muss dafür sorgen, dass keine Mails verschwinden oder in unautorisierte Hände gelangen. Wer innerhalb seiner Software ein Transaktionssystem anbietet, ist verantwortlich dafür, dass die Transaktionen sicher ausgeführt werden können und ihre Ergebnisse ausschließlich autorisierten Systemen zur Verfügung stehen. Das heißt, Sicherheitsfragen müssen schon am Anfang der Entwicklung eine zentrale Rolle spielen. Nur dann ließe sich das ewige Katz- und Mausspiel zwischen der Security-Branche und den Cyberkriminellen auf ein Minimum reduzieren.

Eine Antwort

  1. Bisserl off topic: So wie ich die SchülerVZ-Sache verstanden habe, hat da niemand Daten gestohlen. Man kann nichts stehlen, was rumliegt, wo der Missbrauch erst durch den Gebrauch entstehen kann. Stehlen hieße, dass bereits das „Harvesten“ illegal wäre. War es aber nicht. Das ganze wart also ein Verstoß gegen Nutzungsrichtlinien und damit in der Verantwortung von SchülerVZ (wo es auch hingehört). Und damit ist SchülerVZ nicht das passive Opfer in dieser causa.

    Jedenfalls, wenn ich mich nicht irre 🙂

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.