zurück zur Übersicht

Don Quichottes Appell

Machen wir uns nichts vor. IT-Security ist lästig. Sie zwingt uns zwölfstellige Passwörter einzugeben, die wir sowieso längst vergessen haben, weil wir sie in immer kürzeren Intervallen ändern müssen. Aufschreiben dürfen wir sie nicht. Einfach durchnummerieren auch nicht. Jemandem mit besserem Gedächtnis anvertrauen erst recht nicht. Und ein einziges Passwort über mehrere Accounts gleichzeitig zu verwenden, ist streng verboten. Wegen der Unsicherheit einer einzigen Authentifizierungsmethode müssen wir außerdem ein Token mit uns führen oder eine App auf unserem Smartphone betreiben. Und wie war nochmal die blöde Sicherheitsfrage, die wir vor viereinhalb Jahren gesetzt haben, damit der Support Desk uns am Telefon auch wirklich helfen darf?

Sicherheitsprozesse können weh tun

Als Admin oder IT-Sicherheits-Mitarbeiter ist es noch schlimmer. An den Eingängen zu den Serverräumen und den Büros der IT-Security-Abteilung sind Keypads mit wechselnden Zahlenkombinationen und Fingerabdruckscanner angebracht. Ärger gibt es, wenn sie einer schwer beladenen Person eine Tür offen halten, Stichwort Tailgating. Wenn sie sich zum Arbeitsplatz durchgekämpft haben, hangeln sie sich im Einsatz von Maschine zu Maschine, wechseln von Benutzeraccount zu Benutzeraccount und kriechen durch die Nadelöhre von Firewalls, um endlich bei diesem einen System herauszukommen. Das kleine Häkchen, das sie da setzen müssen, bringt natürlich die Pflicht zu ausgiebiger Dokumentation mit sich. Ganz abgesehen von den Genehmigungsprozessen, die sich im Vorlauf der Änderung abgespielt haben.

Alles im Zeichen der Sicherheit.

Und das ist gut so! Die Alternative ist nämlich, geldgierigen Kriminellen oder zerstörerischen Spaßvögeln Zugriff auf unser Leben, unsere Finanzen, unser Geschäftsgeschehen und im schlimmsten Fall überlebenswichtige Infrastruktur zu erlauben. Das ist schlichtweg nicht akzeptabel. Also leisten wir uns ein Wettrennen, Verteidiger gegen Angreifer, das wir mit rauchenden Köpfen zu gewinnen gedenken. Zumindest für heute. Beim nächsten Login geht es von vorn los.

Doch die rauchenden Köpfe sind es wert. Ein potentiell erfolgreicher Angriff auf eine Fabrik und die Produktion steht. Eine potentiell erfolgreiche Infektion einem Warenlager und die LKWs stauen sich bis auf die Straße. Ein potentiell erfolgreicher Hack und die Wahlergebnisse einer Demokratie stehen infrage. Das sind keine bösen Gruselgeschichten. Das ist die Realität. Wir leben inzwischen zu digital, um ein vierstelliges Passwort für unser E-Mail-Konto zu setzen und zu glauben, dass ein regelmäßiger Virenscan uns vor allem schützt, was da draußen kreucht und fleucht. Das haben wir hinter uns.

Keine Security schmerzt noch mehr

Umso ärgerlicher stimmt es, wenn die eigenen Bemühungen von der genutzten Software selbst ad absurdum geführt werden. Gemeint sind hierbei hauptsächlich:

(1) Sicherheitslücken, die bei sorgfältiger(er) Softwareentwicklung vielleicht nicht aufgetreten wären

Eins der neuesten und gleichzeitig eins der ungesündesten Beispiele dafür sind sicherheitstechnisch betrachtet fragwürdige Fernwartungsschnittstellen von Herzschrittmachern. Die Gefahren dieser Art von Fernwartung sind schon seit einiger Zeit bekannt (hier vom Januar 2017, hier vom März 2016). Als Leser immer gleicher Nachrichten zuckt man also schnell die Schultern.

Genau falsch.

Gerade wenn die Gefahren dieser Schnittstellen schon so lange bekannt sind und die Notwendigkeit von Sicherheit solcher Geräte außer Frage steht, sollten Kunden eine schnelle und umfangreiche Prüfung der Systeme erwarten dürfen. Das gilt auch für Angriffe, die nach offizieller Angabe „hochkomplex“ sind. Das macht es zwar schwieriger, diese Lücken auszunutzen, aber würden sie sich damit sicher fühlen, dass nur besonders intelligente oder fleißige Hacker über das WLAN auf das Gerät in ihrer Brust zugreifen können?

Application Security zum Schutz der Anwender

Es ist ein klassischer Fall von Anwendungssicherheit, (besonders lesenswert dazu sind Stanislav Sivaks Artikel,) die erst durch einen Patch nachträglich hergestellt werden muss. Wenigstens wird es getan! Denn eine Firewall vor dem eigenen Herzen lässt sich leider schwierig installieren. (An gegenteiligen Ideen oder Erfahrungen bin ich sehr interessiert!)

(2) Sicherheitslücken, die absichtlich (oder erzwungenermaßen) installiert oder offen gehalten werden

Eigentlich, sollte man glauben, müssen wir darüber gar nicht nachdenken. Sicherheitslücken gehören geschlossen. Schließlich sind Scharen findiger IT-Security-Spezialisten, Hacker eingeschlossen, ständig auf der Suche nach eben solchen. Es erklärt sich von selbst, dass Lücken früher oder später gefunden und/oder ausgenutzt werden. Wenn Sie daran zweifeln (oder jemanden kennen, der daran zweifelt), schauen Sie sich diese Einschätzung von Besuchern der Black Hat an.

Trotzdem ist es Gang und Gäbe, Updates zu verweigern und Hinweise auf Sicherheitslücken zu ignorieren, weil:

  1. es sich dabei um eine von offiziellen Stellen genutzte Hintertür handelt,
  2. der Kunde keinen Wartungsvertrag abgeschlossen hat oder
  3. eine Schließung der Lücke schlichtweg zu aufwändig oder zu teuer ist – und wozu gibt es schließlich Web Application Firewalls?!

Diese Herangehensweise ist Gift für die IT-Sicherheit der Kunden. Trotzdem ist es schon in der Entwicklung von Software leider oftmals das Security Feature, das einer nahenden Deadline zuerst geopfert wird. Denn IT-Security kostet Zeit und erfordert Sorgfalt und zusätzliche Ausbildung.

Ja, IT-Security ist lästig, aber!

Noch dazu ist Sicherheit eine ganzheitliche Aufgabe, die nur gelingen kann, wenn jeder mitarbeitet: vom Vorstand von Unternehmen über CIOs, Programmierer, Personaler und Pförtner. Wenn sich allerdings nur ein paar Menschen überhaupt mit dem Thema befassen, und sich der Rest entweder dem schnellen Geld, den Deadlines für das nächste Software-Release oder der eigenen Bequemlichkeit verpflichtet fühlt, wird der Kampf gegen digitale Betrüger, Erpresser und Halsabschneider zu einem Kampf gegen Windmühlen. Einem sehr gefährlichen Kampf gegen sehr gewiefte Windmühlen. Mit Stacheln an den Flügeln.

Schreibe einen Kommentar