Awareness als Wunschtraum
Security schwer zu verkaufen
Bereits auf der CeBIT 2005 versuchte eine hochkarätig besetzte Podiumsdiskussion die Frage zu beantworten, ob Sicherheit ein "Mehrwert" oder "notwendiges Übel" sei. Das gelang zwar nicht, aber das Gepräch bot Stoff zum Nachdenken.
Die Probleme sind bekannt: Ein ungepatchtes Windows XP im Netz ist nach durchschnittlich fünf
Minuten gehackt, wobei der Betroffene diese Tatsache meist nicht einmal mitbekommt.
Sicherheitslücken sind lautlos. Der Diebstahl von Daten bleibt zumindest einige Zeit unbemerkt,
meist sogar gänzlich. Es fehlt deshalb die Betroffenheit, wie sie nach klassischen Diebstählen oder
Einbrüchen auftritt. So ist es kein Wunder, dass IT-Sicherheit bei den Investitionen eher als
notwendiges Übel betrachtet wird. Oft entsteht die Motivation zur Verbesserung erst, wenn ein
Unternehmen frustrierte Kunden zu verlieren droht. Dies führt aber auch dazu, dass
Sicherheitslücken in der eigenen Software und erfolgreiche Angriffe geheim gehalten werden, falls
dies möglich ist – und es ist leider viel zu oft möglich. Einer Bank, die zugibt, dass sie gehackt
wurde, laufen die Kunden davon. Wenn aber negative Erfahrungen nicht bekannt werden, wie soll dann
Sicherheit den gebührenden Stellenwert bekommen? Konkrete Fälle von Wirtschaftsspionage bleiben
generell im Dunkeln. Wie will man so Risiken realistisch einschätzen?
Dabei entstehen schon jetzt hohe Kosten für Sicherheit. Es ist eben nicht mit der XP-Lizenz pro
Arbeitsplatz allein getan, denn ein PC hängt heutzutage im Netz, und deshalb sind tunlichst ein
paar hundert MByte an Service-Packs einzuspielen und Virenscanner nebst Firewall mit aktuellen
Updates sowie gegebenenfalls Dialer-Schutzprogramm und Anti-Spyware zu installieren und zu
konfigurieren. Unter Linux und anderen Systemen gibt es derart gravierende Erschwernisse zwar
nicht, doch ständige Sicherheits-Updates sind auch dort erforderlich, und viele Anwendungen sind
eben an Windows gebunden.
Die Kosten für solche Vorkehrungen stehen keinem unmittelbaren betriebswirtschaftlichen Gewinn
gegenüber. Im Gegenteil, es geht nur um Verluste: Schäden werden üblicherweise nicht ersetzt,
sofern sie überhaupt berechenbar sind, und selbst identifizierte Hacker (genauer: Cracker) oder
Spammer lassen sich in den wenigsten Fällen strafrechtlich verfolgen. Zum einen ist die Beweislage
oft schwierig, zum anderen operieren die Angreifer in der Regel vom Ausland aus.
Divergierende Gedanken
Über die Ursachen der Misere war man sich während der Podiumsdiskussion auf der CeBIT 2005 eher
einig als über die Lösungen. Angriffe werden nach Ansicht der Expertenrunde auf jeden Fall dadurch
begünstigt, dass "Home-Computer" in Firmen eingesetzt werden, wie mehrere Teilnehmer äußerten. Der
Microsoft-Vertreter war zu diesem Zeitpunkt noch nicht anwesend. Man verwies außerdem wieder einmal
darauf, dass beim Entwurf der Internetprotokolle nicht die Sicherheit im Vordergrund stand, sondern
die Funktionalität. Vielleicht verleitete dies Art Corviello, den Präsidenten von RSA, zu seiner
Äußerung, in erster Linie würden durch Spam, Spyware und Würmer doch Konsumenten angegriffen. Dem
widersprachen andere Diskussionsteilnehmer, die die Firmen nicht minder unter Druck sehen. Hellmuth
Broda von Sun beklagte, dass Sicherheit immer noch nicht automatisch in Hard- und Software
integriert sei. Es sei ein Unding, dass man erst von Hand eine Firewall installieren müsse, bevor
man mit dem PC ins Netz geht – dies führe dazu, dass nur ein Teil der Anwender Sicherheitsmaßnahmen
ergreife. Simon Perry von Computer Associates brachte den Vergleich mit dem Auto ins Spiel und
fragte, warum IT-Sicherheit nicht so automatisch und unsichtbar wirke wie dort.
Der Auto-Vergleich ließ die Runde dann nicht mehr los. Mir fiel dabei ein, dass auch ein
modernes Auto noch recht anfällig gegen Beschuss oder selbst gegen eine einfache Kartoffel im
Auspuff ist, und dass es sogar um die Gurtpflicht lange Kämpfe gab, die erst ein Gesetz beendete.
Rainer Fahs (NATO) brachte ein viel destruktiveres Beispiel auf den Tisch: Nach einer Regennacht
standen bei seinem Fahrzeug plötzlich Schiebedach und Seitenfenster offen. Nach längeren
Forschungen ermittelte man seine Katze als Übeltäter, die mit dem Funk-Autoschlüssel in der Wohnung
gespielt hatte. Sicherheit heißt Lücken schließen – und Angreifer nutzen zielgerichtet jene Lücken
aus, die man übersehen hat. Das ist der Unterschied zum Auto, dessen Technik in erster Linie nur
die "üblichen Gefahren" abwehren muss. Als treffendes Beispiel für zielgerichtete Angriffe nannten
die Diskussionsteilnehmer die Phishing-Attacken. "Soziale Angriffe" wiederum lassen sich kaum mit
IT-Mitteln abfangen.
Hellmuth Broda sah das Grundübel in der Anonymität im Netz; es sollte eine Balance zwischen ihr
und der Sicherheit geschaffen werden, etwa mittels einer "Federated Identity", die nur der Provider
kennt. Doch auch dieser Gedanke wurde als unrealistisch verworfen. Übrigens hilft selbst eine
erzwungene Offenlegung der Identität wenig, wenn sich herausstellt, dass ein Angriff von gehackten
PCs auf einer Pazifikinsel ausgeht.
Wenigstens der Endanwender braucht aber eine Motivation, die mit verbesserter Sicherheit
verbundenen Erschwernisse in Kauf zu nehmen. Sicherheit sollte "sexy" sein, ist es aber nicht. Dem
widersprach Art Corviello: Er finde die Bremsen beim Auto durchaus sexy. Doch deren Effekt weiß
jeder zu schätzen, denn einen schweren Unfall gesehen hat wohl jeder schon einmal gesehen. Die
Wirkung einer Firewall hingegen bleibt abstrakt und vor allem nicht fühlbar.
Kaum Lösungsansätze
Wie kommen wir aus dieser Misere heraus? Von einem interessanten Ansatz berichtete Detlef Eckert
von Microsoft: Auf einer Rundtour durch die Schweiz wurden kostenlos Rechner auf Schädlinge
untersucht und abgesichert. Diese Aktion begleitete das Fernsehen publikumswirksam. Auch wenn es
vielleicht nur 500 Rechner betraf, so war der Effekt doch spürbar: Wer sieht, wie viel Spyware sich
wirklich auf seinem Rechner herumtreibt, ist sofort besser motiviert.
Es reicht aber nicht, nur "das Denken zu verändern". Es braucht konkrete Anreize, damit sich
Sicherheit für den Endanwender wie für die Firma rechnet. Wie dies geschehen solle, fand man nicht
heraus. Sicherheit sollte zum Verkaufsargument werden – doch spielen die Käufer mit? Welche
Veranlassung haben Endkunden oder auch Entscheider in Betrieben, viel Geld und Aufwand in etwas
hineinzustecken, dessen Nutzen kaum sichtbar ist?
Obendrein wird Sicherheit noch zu statisch und als Produkt gesehen. Nicht weit entfernt vom Ort
der Diskussion, in Halle 7 der CeBIT, war das deutlich zu spüren: Überall fanden sich Anbieter
fertiger Antivirenlösungen, von Firewalls, automatischer Verschlüsselung und anderer
Rundum-Sorglos-Pakete. Solche Produkte sind notwendig und wichtig, doch sie lösen nur einen Teil
des Problems. Wie der bekannte Sicherheitsexperte Bruce Schneier schreibt, ist Sicherheit kein
Zustand, sondern ein Prozess. Alle Tests auf Lücken sind immer selbst lückenhaft, wie auch die
Suche nach Risiken, denn man muss den Erfindungsreichtum von Angreifern voraus ahnen.
Wie sich solche Fragestellungen mit der harten betrieblichen Praxis oder auch dem Massenmarkt
vertragen sollen, blieb in der angeregten und inhaltsreichen Diskussion offen, worüber
wahrscheinlich niemand überrascht war. Man hatte den Eindruck, wir stünden noch ganz am Anfang –
aber es war gut, darüber geredet zu haben.
Lesen Sie mehr zum Thema
