IT-Sicherheit wird immer noch häufig unter dem ökonomischen Aspekt betrachtet. Davon müssen wir wegkommen, mahnt Blogger und Cyber-Security-Experte Felix von Leitner im Interview. Außerdem fordert er schon beim Einkauf klare Zusagen an die Sicherheit von Software und möchte die Hersteller stärker in die Pflicht nehmen.
Herr von Leitner, sind IT-Systeme heute gefährdeter als vor 20 Jahren?
Das kommt auf die Perspektive an. Heute wie damals scheitern Systeme wegen sehr ähnlicher Fehler, auch die Auswirkungen sind durchaus vergleichbar. Heute gibt es aber viel mehr Systeme und viel mehr Leute, die sie anzugreifen versuchen.
Die gefühlte Sicherheit ist deutlich gesunken, weil um uns herum so viel mehr Sicherheitstheater veranstaltet wird. Alle möglichen und unmöglichen Dinge werden heutzutage mit der Sicherheit begründet.
Ich würde daher nicht sagen, dass wir heute gefährdeter sind als früher, aber heute haben wir ein stärkeres Bewusstsein, dass wir verwundbar sind. Angriffe über das Internet betreffen heute fast jeden, während vor 20 Jahren ein Internet-Anschluss noch etwas Elitäres war, das nur eine kleine Minderheit hatte.
Lässt sich IT-Sicherheit mit Geld kaufen?
Nein, aber sie kostet (auch) Geld. Wichtiger als Geld sind Prozesse und Strukturen. Für deren Optimierung muss man aber Geld in die Hand nehmen, das stimmt.
Ist es der richtige Weg, immer wieder Sicherheitslücken zu stopfen?
Ja, unbedingt. Das ist der einzige Weg. Es ist mathematisch gesprochen notwendig, aber nicht hinreichend. Das ist der Mechanismus, mit dem der Markt einer Sicherheitslücke Kosten zuweisen kann. Und ohne Kosten, die man einsparen könnte, gibt es im Markt keine Bewegung.
Bisher bleibt der erhoffte Effekt, dass die Hersteller sich dann diese Kosten sparen und bei der Entwicklung besser aufpassen, allerdings weitgehend aus. Stattdessen haben wir eine resignative Grundhaltung eingenommen. Ein Weltbild, in dem Software nun einmal Sicherheitslöcher hat und es Hacker gibt, die diese eben ausnutzen werden. Dieses Weltbild zu durchbrechen, das wird aus meiner Sicht die zentrale Aufgabe von meiner und der nachfolgenenden Generation sein.
Warum nehmen globale Bedrohungen wie WannaCry, Locky oder das Mirai-Botnet zu?
Weil wir Sicherheitslücken heutzutage nicht durch eine technische Linse betrachten, sondern durch eine ökonomische. Das Risiko ist die Eintrittswahrscheinlichkeit mal dem Schaden. Der Schaden ist bisher sehr überschaubar – auch wenn das theatralische Geheule nach WannaCry & Co. groß ist –, und die Eintrittswahrscheinlichkeit schätzen vorher intuitiv alle bei sich immer als sehr gering ein.
Davon müssen wir weg kommen.
Welchen Tipp geben Sie Unternehmen mit auf den Weg, die sich bedroht fühlen?
Sorgen Sie beim Einkauf dafür, dass in den Verträgen ganz klare Zusagen gemacht werden!
Es muss für den Hersteller wirtschaftlich mit hohem Risiko verbunden sein, Software mit Sicherheitslücken zu verkaufen. Das ist im Moment nicht so. Solange wir denen ihren Kram trotzdem abkaufen und uns mit „wir stellen möglicherweise in Zukunft irgendwann einen Patch zur Verfügung“ abspeisen lassen – der Smartphone-Markt gibt hier ein besonders scheußliches Bild ab –, haben Hersteller auch keinen Grund, ihre tragenden Stützpfeiler von Pappe auf Stahlbeton umzustellen.
Das absolut Mindeste muss sein, dass der Hersteller für alle Sicherheitslücken für den gesamten Nutzungszeitraum der Software Patches für Sicherheitslücken zur Verfügung stellen muss. Wenn es nach mir ginge, bekäme der Kunde eine Pauschale pro Arbeitsplatz und Tag ohne Patch ausgezahlt, und zwar nicht seit das Sicherheitsloch öffentlich bekannt wurde, sondern – wenn das vorher war – seit der Hersteller davon wusste.
Ich würde als Einkäufer auch noch eine Versicherung verlangen, die im Fall einer Pleite oder Einstellung des Produktes eine Strafzahlung ausschüttet, damit der Kunde damit den Umstieg auf ein Konkurrenzprodukt finanzieren kann. Diese ganzen Kosten und Risiken trägt im Moment der Kunde. Einige Hersteller stellen gar nur für Kunden mit Support-Vertrag Sicherheitsupdates zur Verfügung. Das ist die Art von Nährboden, auf der landesweite IT-Verwundbarkeit gedeihen kann.
Felix von Leitner hält die Keynote bei den Internet Security Days am 28. September 2017 im Phantasialand Brühl.