Kommentar

IT-Probleme - Ignorieren statt reagieren

Vor der Gründung von EgoSecure im Jahr 2007, war der Diplom-Informatiker Sergej Schlotthauer über 10 Jahre bei großen deutschen Software- und Dienst­leistungs­unternehmen der Medien­branche in führenden Management­positionen tätig. Heute organisiert der Unternehmer und Familienvater als alleiniger Geschäfts­führer den Ausbau der EgoSecure GmbH zum Marktführer im Bereich des Endpoint-Managements.

Schlotthauer schreibt in erster Linie zu den Themen IT-Sicherheit, Datensicherheit und Datenschutz. In den letzten Jahren veröffentliche er zahlreiche Fachbeiträge in verschiedenen Fachmagazinen. Außerdem unterhält er mit „Egosecure Expert“ einen eigenen Blog.
IT-Skandale begleiten uns beinahe täglich. Der Artikel zeigt, wie objektiv die Gefahren eingeschätzt werden und ob Betroffene angemessen auf Sicherheitslücken reagieren.
Bei neu entdeckten Sicherheitslecks oder Angriffsmöglichkeiten ist das die falsche Reaktion.
Bei neu entdeckten Sicherheitslecks oder Angriffsmöglichkeiten ist das die falsche Reaktion.
Foto: ollyy, Shutterstock.com

Beinahe täglich durchziehen neue IT-Skandale die Medien. Egal ob Trojaner, Virus oder ein manipulierter USB-Stick. Sowohl Privatpersonen als auch Unternehmen sorgen sich um ihre Daten. Doch wie objektiv wird die Gefahr tatsächlich eingeschätzt? Und reagieren die Betroffenen angemessen auf Sicherheitslücken?

Beispiel "Bad USB": Hierbei handelt es sich um einen mit Malware bestückten USB-Stick, der sich gegenüber einem Anti-Viren-Programm etwa als Tastatur tarnt. Mit Unterstützung eines so manipulierten Sticks können beliebige Befehle ausgeführt werden. Es lässt sich zum Beispiel der Verbindungsaufbau zu einem externen Rechner aufbauen, um Daten abzuziehen, Screenshots zu erstellen oder Tastatureingaben abzufangen. Letzteres eignet sich, um Passwörter auszuspionieren. Die Angriffsszenarien scheinen unermesslich, USB-Sticks nicht mehr vertrauenswürdig -und damit als Datenträger für Unternehmen de facto ungeeignet.

Die Standardreaktion auf IT-Probleme: PAIN

Wie haben Medien und die öffentlichkeit diese Nachricht aufgenommen? Die Reaktionskette passt genau in das Muster, das ich schon oft beobachtet habe und PAIN nenne: "Panik", "Ausnutzen", "Ignorieren", "Nichtstun". Konkret zeichnet sich folgendes Verhaltensmuster ab:

1.) Panik: Was genau ist eigentlich passiert? Zwei Wissenschaftler haben einen USB-Stick manipuliert. So gelang es ihnen, mit einem Computer, der nur mit einer Antivirus-Software geschützt war, eine Verbindung nach außen aufzubauen und den Rechner darüber zu kontrollieren. Diese Tatsache wurde anschließend kommentiert mit "kein Schutz möglich", "jeder Rechner ist zum Abschuss freigegeben" oder ähnlichem. Bei vielen wird sich angesichts dieser Aussagen ein Gefühl der Ohnmacht breitgemacht haben.

2.) Ignorieren: Verschiedene wesentliche Aspekte wurden im Zusammenhang mit "Bad USBs"jedoch nicht deutlich kommuniziert. Zum einen muss ein derartiger Stick recht aufwändig präpariert werden. Hierbei ist nicht einmal klar, ob jeder USB für eine derartige Manipulation geeignet ist. Hinzu kommt: Am Ende der Kette muss es immer noch einen "Täter"geben, der den Stick einsteckt. Zudem sind heute schon genug Software-Produkte verfügbar, die gegen einen derartigen Angriff schützen -es besteht somit keinerlei Grund zur Panik. Doch statt das Thema sachlich zu betrachten, kommt es zum nächsten Schritt.

3.) Ausnutzen: Sofort nutzen verschiedene Software-Anbieter die Verunsicherung zu ihren Gunsten und vertreiben ihre Produkte frei nach dem Motto: Mit unserer Lösung wäre das nicht passiert. Das Problem wird von ihnen sogar noch weiter dramatisiert -doch nicht um aufzuklären, sondern um den Absatz zu fördern.

Einige Hersteller haben sich bereits als passende Lösungsanbieter dargestellt, noch bevor sie überhaupt wussten, wie "Bad USBs"funktionieren. - Viele meinen offenbar: Wenn es um einen USB-Stick geht und wir etwas mit USB machen, dann müssen wir die Situation ausnutzen.

Viele gängige Schutzmechanismen wie das Blockieren von USB-Sticks greifen hier jedoch nicht: In dem Fall haben sich die Sticks ja als anderes Device, wie etwa als Tastatur, ausgegeben. Den kompletten USB-Port zu sperren ist keine Lösung -schließlich würde dann auch die normale Tastatur nicht mehr funktionieren. Außerdem könnte sich der Stick sonst einfach als Modem, Smartphone oder eine ganz eigene Klasse wie etwa "grünes Pferd mit rosa Flügeln"ausgeben - denn sofern etwas nicht bekannt ist, wird es oft auch nicht kontrolliert.

Eine gute Software sollte hierbei zwei Dinge beherrschen: Erstens, die Möglichkeit eine zweite Tastatur zu sperren - im Fall des Bad-USB-Szenarios hätte dieser Schutzmechanismus schon ausgereicht. Zum zweiten sollte auch eine Klasse "unbekannt" erkannt und gesperrt werden können.

4.) Nichtstun: Aber wen kümmern schon derart langweilige Details, wenn sich mit der aufkommenden Panik viel Geld verdienen lässt? Die Problemlösung selbst rückt dabei in den Hintergrund. Das Schlimmste ist aber: Nach der Aufregung, der Flut an Medienberichten und den Anrufen von Softwareverkäufern bei potentiellen Kunden gewinnt wieder Lethargie die Oberhand.

Aus Fehlern wird selten gelernt

Fazit: Statt sich sachlich und fundiert mit IT-Risiken und deren Bekämpfung auseinanderzusetzen, versuchen die meisten nach einer derartigen Panikattacke Sicherheitslücken kleinzureden oder komplett zu ignorieren, statt sie zu schließen - bis der nächste Datenskandal kommt und die Reaktionskette von vorne beginnt.

Dabei hatte die Berichterstattung zu "Bad USBs" schon eine absolut richtige und ungemein wichtige Botschaft: Antiviren-Lösungen helfen tatsächlich nicht. Um sich wirklich gegen derartige Angriffsszenarien zu schützen, sind ganz andere Lösungen notwendig, die aber nur in 20 bis 30 Prozent der Firmen zum Einsatz kommen. Eine solide Device-Management-Lösung böte hier einen zuverlässigen Schutz. Doch scheinbar warten viele darauf, dass aus dem wissenschaftlichen Experiment "Bad USB" eine richtige Waffe im Informationskrieg entsteht. Dann beginnt die PAIN-Welle von vorn.

Die Anzahl der Personen, die die Ursachen von Security-Problemen verstehen, alle Fakten in Augenschein nehmen und bereits im Vorfeld eine saubere Sicherheitsinfrastruktur aufbauen, sind klar in der Minderheit. Natürlich entgeht denen dann auch der "Spaß", tagtäglich russisches Roulette mit schlecht abgesicherten Daten zu spielen und morgen vielleicht als nächstes Opfer von Datendieben in aller Munde zu sein. (bw)