Die schmutzigen Geheimnisse der Security-Industrie

Eine Alternative wäre, die Hersteller von Softwarelösungen ebenso wie die Anbieter von Security-Lösungen für die Zuverlässigkeit ihrer Produkte in die Haftung zu zwingen. Auch diese Forderung erscheint unrealistisch, obwohl dies etwa Sicherheitsguru Bruce Schneier immer wieder öffentlichkeitswirksam einklagt. Der selbstständige Berater hat sich damit längst in die Riege der Fundamentalkritiker eingereiht und wiederholt die „Abschaffung der Security-Industrie“ eingefordert.

Eines der Kernprobleme, das sich die Szene viel eher ankreiden lassen müsste, liegt in dem über Jahre hinweg praktizierten Pathos, der gelegentlich das Ausmaß messianischer Aufklärungszüge annimmt. Im Fachjargon lässt sich das gute Geschäft mit der Angst als „Fear, Uncertainty, and Doubt“ (FUD) charakterisieren, übersetzt etwa mit „das gezielte Streuen von Angst, Unsicherheit und Zweifeln“. Und genau unter dieser Prämisse FUD streut so mancher Protagonist nur allzu gerne gezielt Halbwahrheiten oder gar Fehlinformationen in die Öffentlichkeit.

So wundern sich informierte Kreise immer wieder darüber, dass ein Hersteller vor einem akuten Schädling warnt, während der Konkurrent möglicherweise zur gleichen Zeit gerade Entwarnung gibt. Wie Unternehmen derart kryptische Rätsel dann mit Hilfe ihrer eigenen Bewertungsmatrix auflösen sollen, um den betrieblichen Schutzgürtel richtig zu dimensionieren, bleibt ihnen selbst überlassen.

Das zentrale Problemfeld stellen demzufolge weniger die von Experten wie Bruce Potter oder Bruce Schneier in den Raum gestellten, vermeintlich „schmutzigen Geheimnisse in der Security-Industrie“ dar, sondern die immer größere Kluft zwischen den Möglichkeiten der Angreifer und jenen der Abwehr. Daraus resultiert eine steigende Verunsicherung der Anwender, die der eine oder andere allzu sehr vom Marketing beflissene Protagonist nur bereitwillig ausnutzt.

So stellt sich immer wieder aufs Neue die Frage, ob die Wahrnehmung der Risiken nach Relevanz priorisiert wird. Was eine richtige Krise ist, das weiß zumindest Stephan Schlentrich. Er hat als Auslandsreporter der ARD unzählige politische Krisenherde aus eigener Anschauung erlebt, unter anderem auch während des letzten Irakkrieges, wo er der letzte deutsche Berichterstatter war, der Bagdad schließlich verlassen musste.

Heute leitet Schlentrich das Steinbeis-Transferzentrum „Communication, Safety & Security“ (CSS). Dort berät er deutsche und internationale Unternehmen in Sachen Krisenmanagement und Krisenkommunikation. Auf der diesjährigen IT-Defense versuchte auch er, sich seinen eigenen Reim auf das bunte Treiben in der IT-Industrie zu machen. Der Bereich der IT biete keinerlei Gewähr, um Gefahren wirksam abwehren zu können, so Schlentrich. Denn oftmals lägen die wirklich sensiblen Risiken ganz woanders.

„Der Wissensabfluss durch Mitarbeiter aus den Unternehmen ist das größere Problem als die IT“, so der Experte. Aber auch er muss einräumen, dass selbst die im Fachjargon als Insider-Threats bezeichneten menschlichen Schwachstellen sich kaum mit Hilfe einer einfach gestrickten Aufklärungs- und Sensibilisierungskampagne wirksam eindämmen lassen.

Aufgrund der zahlreich vorhandenen menschlichen Schwachstellen, die dem Social Engineering im interaktiven Web 2.0 den Boden bereiten, verwundert es zudem kaum, dass die Zahl sicherheitskritischer Programmfehler weiter zunimmt – statt abzunehmen, wie dies anhand der zahlreich vorhandenen Handlings und Best Practices eigentlich zu erwarten wäre.

Mit der Veröffentlichung von „Zero-Day“-Bugs nehmen die von finanziellen Motiven angetriebenen Angreifer die Hersteller weiter in den Schwitzkasten. „Während noch diskutiert wird, ob die Veröffentlichung eines sicherheitskritischen Bugs ohne Vorabinformation an den Hersteller vertretbar ist, zwingen einige Cracker die Hersteller in einen Wettlauf mit den Entwicklern von Exploit-Code“, lautet das nüchterne Fazit von Dirk Fox, Geschäftsführer von Secorvo Security Consulting.