IT-Sicherheit: Frühwarnsysteme setzen auf Angst- und Panikkäufe

Wenn relevante Vorfälle ohnehin schwer dingfest zu machen sind, stellt sich zumindest die Frage nach der Qualität der angebotenen Dienstleistungen. „In der Tat ist festzustellen, dass sehr viele Newsletter und Informationen von Herstellern über Viren, Würmer und andere Angriffe auf die IT angeboten werden“, erläutert Stefan Gehrke, Geschäftsführer der Deutschen Gesellschaft für IT-Sicherheit mbH (Mcert) in Berlin. Viele der offerierten Services seien auch marketinggetrieben: „Aber das ist ja nicht grundsätzlich verwerflich“, so Gehrke. Software unterscheide sich beim Marketing eben kaum von anderen Produkten wie Zahnpasta oder Waschmittel.

Beim genauen Blick erkennt man aber doch ein paar kleine, aber feine Unterschiede. Das Geschäft mit der Verunsicherung wird von Experten mit „Fear, Uncertainty, and Doubt“ (FUD) bezeichnet, also „Angst, Unsicherheit und Zweifel“. Und genau unter dieser Prämisse streuen einige schwarze Schafe gezielt Halbwahrheiten oder Fehlinformationen in die breite Öffentlichkeit. So wundern sich informierte Kreise immer wieder darüber, dass der eine Hersteller gerade vor einem akuten Schädling warnt – etwa einem mobilen Bluetooth-Virus – und ein anderer Mitbewerber gleichzeitig Entwarnung gibt. Der Nutzer soll des Rätsels Lösung entzaubern und steht mit der Bewertung doch ziemlich alleine da.

FUD bedeutet nach genauer Lesart auch die bewusste Verbreitung von vagen und ungenauen Informationen über potenzielle Wettbewerber. Seinen Ursprung hat der Begriff in einer historischen Kontroverse zwischen IBM und Gene Amdahl, nachdem der ehemalige IBMler das Unternehmen verließ und seine eigene Company Amdahl Corporation gründete: Mit der darauf folgenden Marketingkampagne trachtete Big Blue danach, das abgewanderte Know-how des Konkurrenten zu verunglimpfen.

Doch braucht man gar nicht so tief in den Geschichtsbüchern zu wühlen. Es gibt auch aktuelle Beispiele für eine ausufernde Marketing-Praxis mit durchaus unethischem Regelwerk. Frühwarnsysteme wie das französische Internet-Portal FrSIRT etwa sind zu zweifelhaftem Ruhm gelangt, weil das Unternehmen nach einem Microsoft Patch binnen 24 Stunden nicht nur eine neue Schwachstelle meldete, sondern sogar einen Exploit für ein bislang ungepatchtes Loch im Windows Explorer bereit stellte – ein auffälliges Prozedere, zumal FrSIRT mit der Schwachstellenanalyse sein Geld verdient.