Sicherheit kostet, Ignoranz noch mehr

https://blog.wdr.de/digitalistan/sicherheit-kostet-ignoranz-noch-mehr/

Sicherheit kostet, Ignoranz noch mehr

Kommentare zum Artikel: 8

Der Telekom-Hack der vergangenen Woche hat gezeigt, wie fragil das Internet ist. Unzählige gekaperte Router, Rechner und Internetgeräte werden in Botnetzen versammelt und können für Angriffe auf unsere Infrastruktur verwendet werden. Mit unabsehbaren Folgen: Wer schon mal erlebt hat, was los ist, wenn am Flughafen für eine Stunde die EDV ausfällt, der braucht nicht viel Phantasie, was passiert, wenn bundesweit Ampelanlagen, Strom, Wasser und Kommunikationsmittel gleichzeitig wegfallen. Es drohen – ohne Übertreibung – bürgerkriegsähnliche Zustände. Das sind die möglichen Spätfolgen durch unzureichend gesicherte Syteme. Was alles denkbar ist, wenn Hacker ihr ganzes Repertoire nutzen, könnt Ihr in der Sendung Quarks&Co: Cyberwar sehen.

Hacker nutzen jedes Datenleck aus

Hacker nutzen jedes Datenleck aus

Wir sind erheblich gefährdet

Das wohl größte Problem: All jene, die für die Sicherheitslücken verantwortlich sind, kommen immer wieder ungeschoren davon. Das muss unbedingt aufhören. Denn Hacker wird es immer geben. Was es nicht mehr geben darf, sind Sicherheitslücken, die von Hackern fröhlich ausgenutzt werden. Wir kommen ja schließlich auch nicht auf die Idee, dass sich der Straßenverkehr von alleine regelt. Es gibt die Straßenverkehrsordnung, Warnschilder, Leitplanken – und Schlaglöcher werden gestopft. Hoffentlich.

Die beiden Internetaktivisten Constanze Kurz und Frank Rieger, beide sind Sprecher des Chaos Computer Club, haben kürzlich in der FAZ konkrete Forderungen formuliert: Sicherheit muss einen viel größeren Stellenwert bekommen. Weil sich das nicht von heute auf morgen erreichen lässt, schlagen sie drei Phasen vor. In Phase 1 sollen Hersteller verpflichtet werden mitzuteilen, wie häufig und vor allem wie schnell sie Sicherheits-Updates zur Verfügung stellen. Ein unabhängiges Gremium soll festlegen, was Stand der Technik ist – und diese Standards sollen alle einhalten. Nicht Behörden sollen das machen, die sind viel zu träge.

Handel mit Exploits im Darknet; Rechte: WDR/Schieb

Sicherheitslücken (Exploits) zu verkaufen: Der Staat mischt im Markt mit

Haftungsregeln könnten für mehr Sicherheit sorgen

In Phase 2 kommen dann Haftungsregeln zum Einsatz. Wer Schäden verursacht, haftet dafür. Punkt. Das würde den Anreiz erhöhen, für sichere Systeme zu sorgen. Heute kann es einem Hersteller egal sein, ob er Hard- oder Software mit Sicherheitslecks hat. Er muss lediglich mit dem Unmut der Kunden klarkommen. Aber Schäden, die etwa durch Ausnutzen der Sicherheitslücken entstehen, gehen auf Kosten der Allgemeinheit, nicht auf Kosten des Verursachers.

In Phase 3 schließlich sollten nach Sicherheitskriterien entwickelte, geprüfte und gepflegte OpenSource-Software konsequent finanziell gefördert werden. Die könnte dann jeder verwenden. Weil die Software öffentlich einsehbar ist, gibt es ein geringeres Risiko für Sicherheitslücken. Das alles wäre deutlich günstiger als der gesamtgesellschaftliche Schaden, der durch schludrig programmierte Software entsteht, die man nicht oder kaum aktualisieren kann.

Hervorragende Vorschläge. Die aber in der Politik auf taube Ohren stoßen. Warum? Weil Geheimdienste und Behörden Sicherheitslecks lieben! Ohne sie könnten sie keine Schnüffel-Software entwickeln, um andere abzuhören. Dafür wird sogar viel Geld ausgegeben. Ein unhaltbarer Zustand.

 

 

Über den Autor

Jörg Schieb ist Internetexperte und Netzkenner der ARD. Im WDR arbeitet er trimedial: für WDR Fernsehen, WDR Hörfunk und WDR.de. In seiner Sendung "Angeklickt" in der Aktuellen Stunde berichtet er seit 20 Jahren jede Woche über Netzthemen – immer mit Leidenschaft und leicht verständlich.

8 Kommentare

  1. Das Problem ist, dass die Top Manager und CEOs dem Thema wenig Aufmerksamkeit schenken, weil mehr Sicherheit nicht mehr Gewinn bringt. Deshalb ist security für diese Ignoranten unwichtig. Genauso wie ein Bereichsleiter und vice president von mir tatsächlich denkt , ein redesign der Software in wichtigen aber total verfahrenen Geschäftsprozessen würde nichts kosten ???Hallo.
    Erst wenn es richtig brennt , werden solche Flitzpiepen aktiv…

    • Deswegen sind die Vorschläge/Forderungen von Kurz/Rieger so sinnvoll: Wenn es eine Haftung gibt, kann sich niemand mehr um das Thema drücken. Erst recht nicht, wenn der Gesetzgeber bestimmte Standards vorschreibt und Reaktionszeiten bei entdeckten Sicherheitslecks gestopft werden müssen.

  2. DawwKrai am

    Haftungsregeln?
    Hört sich gut an.
    Das könnte den „ganzen Markt“ verschieben. Produkte von Herstellern, die nicht so genau hinschauen, würden bei uns wohl nicht mehr verkauft. Oder erst gar nicht „zum Verkauf zugelassen“.
    Ich habe da schon einen Soft- und Hardware-Tourismus vor meinem geistigen Auge: Die Endnutzer besorgen sich ihren Kram dann eben „schwarz“ und auf eigene Gefahr woanders.

    An den Haftungsregeln hinge ein ganzen Rattenschwanz an Kontroll- und Zulassungsinstanzen, oder nicht?

    „Alle“ Verkäufer wollen doch möglichst aus den Haftungsregeln raus … hier müsste dann schon fast so etwas wie eine unendliche Aufklärungsarbeit, verbunden mit ein wenig Gehirnwäsche, einsetzen … ob das realistisch ist?
    Jedenfalls nicht, bevor nicht wirklich einmal empfindliche Infrastrukturen erfolgreich angegriffen wurden – und die breite Öffentlichkeit das auch mitbekommt.
    Zwischendurch vorgeführte, „liebenswürdige“ Hacks zur Verdeutlichung des Machbaren oder des Gefahrenpotentials gehen bei den meisten Normalverbrauchern im Alltag unter. – Und „Verantwortliche/Entscheidungsträger“ ziehen aus solchen Vorführungen auch schonmal irrwitzige Schlüsse – wie in Digitalistan schon beschrieben wurde.

    Es muss ein Umdenken her.
    Und viiieeel mehr Aufklärungsarbeit.

    Darin sehe ich die größte Herausforderung.
    So, wie sich mir das darstellt, kann ich Parallelen zu unserem Atomausstieg erkennen.
    Ein hartes Stück Arbeit!

  3. Der Ruf nach Gesetzen und Regularien bringt wenig. Solange der Anwender keinen Wert auf Sicherheit legt, wird das Problem nicht gelöst.
    Es gibt ja genug Produkte, die ein sehr gutes Niveau an Sicherheit bieten, einige davon sind sogar anwenderfreundlich – aber sie kosten halt mehr als die günstig zusammengezimmerten Importgeräte, die im Regal nebenan stehen.

  4. heinzb aus nrw am

    Eine Möglichkeit, die Ursachen zu verschieben, vielleicht wollte NSA zu viel wissen und die Technik war überlastet, oder waren es die Terroristen der Ukraine , ins Netz einzubrechen ? Oder Ali Baba und die 40 Räuber sind schuld an der Misere .

Einen Kommentar schicken

Die mit * gekennzeichneten Felder müssen ausgefüllt werden.

Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage: *

Top