Daten-GAU: Peinliche Ausreden helfen nicht weiter!
Der wöchentliche »Datenskandal« ist inzwischen fast schon ein täglicher Skandal – falls man dieses große Wort verwenden möchte. Wirklich skandalös sind aber vor allem die Erklärungsversuche der Betroffenen.
Gestern wurde in SWR3 über die Sicherheitslücken bei libri.de berichtet. Interessant war dabei vor allem der Pressesprecher des TÜV Süd, der zu erklären versuchte, warum der TÜV Süd ein Sicherheitszertifikat für libri.de als vertrauenswürdige Site vergeben hatte und warum es dennoch zu den Problemen, bei denen man mit einfachen Mitteln auf die Rechnungsdetails anderer Kunden zugreifen konnte, gekommen ist. Die Quintessenz war, dass das Internet eben unsicher sei und wenn man an der Software was ändere, könnte es halt zu neuen Sicherheitslücken kommen.
Richtig: Softwareänderungen können zu neuen Risiken führen. Aber: Das Problem bei libri.de ist genauso wie das unlängst bei SchülerVZ und viele andere in erster Linie ein Problem einer mangelhaften Sicherheitsarchitektur in der Software. Wenn es die von vornherein gegeben hätte und wenn es entsprechende SDLs (Secure Development Lifecycles) gegeben hätte, wäre das Problem nie entstanden.
Denn im Prinzip ist es ja ganz einfach: Es gibt Informationen, auf die zugegriffen werden soll. Personen authentifizieren sich. Das System führt eine adäquate Autorisierung zu. Es lässt genau die berechtigten Zugriffe zu. Das lässt sich bei Rechnungsdaten im Online-Handel ebenso realisieren wie bei sozialen Netzwerken. Das kann man auch durchgängig und konsequent machen, um sicherzustellen, dass wirklich nur berechtigte Zugriffe erfolgen dürfen. Nur: Dazu muss man von Beginn an bei der Softwarearchitektur und im weiteren Verlauf bei der Entwicklung der Software das Thema Sicherheit konsequent mit berücksichtigen.
- Daten-GAU: Peinliche Ausreden helfen nicht weiter!
- Sicherheit hat ihren Preis
- Den »worst case« vermeiden
