computerwoche.de

Infrastructure

Softwareanbieter können viele Security-Lücken schließen

Sicherheit - Anbieter in die Pflicht nehmen

19.10.2009
Von 
Christoph Witte arbeitet als Publizist, Sprecher und Berater. 2009 gründete er mit Wittcomm eine Agentur für IT /Publishing/Kommunikation. Dort bündelt er seine Aktivitäten als Autor, Blogger, Sprecher, PR- und Kommunikationsberater. Witte hat zwei Bücher zu strategischen IT-Themen veröffentlicht und schreibt regelmäßig Beiträge für die IT- und Wirtschaftspresse. Davor arbeitete er als Chefredakteur und Herausgeber für die Computerwoche. Außerdem ist Witte Mitbegründer des CIO Magazins, als dessen Herausgeber er bis 2006 ebenfalls fungierte.
Alle Posts des Autors Email: Connect:
Natürlich gibt es keine 100prozentige Sicherheit. Aber, wenn schon zu Beginn einer Softwareentwicklung die Securityseite mitgedacht würde, ließen sich viele Schwierigkeiten vermeiden.

Kein CIO kann es sich leisten, Sicherheitsfragen unbeantwortet zu lassen. Welchem Misstrauen und Druck die IT-Verantwortlichen ausgesetzt sind, wenn Daten verloren gehen (T-Mobile mit Sidekick) oder gestohlen werden (AWD und Schüler VZ), kann sich jeder leicht vorstellen. Es wird die Hölle los sein in diesen Unternehmen, jede Menge unangenehme Fragen wollen beantwortet werden, von denen die fieseste lautet: Wie konnte das passieren? Hat der CIO keine Antwort darauf, ist er unten durch, weil er offenbar sein System und dessen Schutzmechanismen nicht gründlich genug kennt. Weiß er die Antwort, ist es vielleicht noch schlimmer, weil gleich die Frage folgt: Wieso konnte das nicht verhindert werden? Beim Mühlespiel nennt man das eine Zwicklmühle.

Und weil es immer blöde Zufälle, menschliches Versagen und jede Menge kriminelle Energie gibt, kommen solche Fälle auch immer wieder vor. Da helfen keine Appelle an den gesunden Menschenverstand oder den mündigen Internet-Nutzer, der nicht alle seine Geheimnisse auf seine Profilseite im Social Network stellen sollte. Die Nutzer werden es noch lange Zeit tun. Und solange sich mit diesen Daten Geld verdienen lässt, wird es immer Kriminelle geben, die die Lücken der Sicherheitssysteme auszunutzen versuchen.

Also lässt sich nichts tun? Sollten wir uns lieber gleich von unserer Privatsphäre verabschieden, wenn wir online gehen? Die Antwort auf die zweite Frage lautet "ja". Zumindest sollte man sich darauf gefasst machen, dass Dinge die man online stellt genauso wenig geheim bleiben, wie das, was man dem besten Freund/der besten Freundin unter dem Siegel der Verschwiegenheit erzählt.

Die erste Frage lässt sich allerdings mit einem lauten "doch" beantworten. Die meisten Sicherheitsprobleme lassen sich durch zwei relativ simple Vorgehensweisen ausräumen oder zumindest stark reduzieren. Es geht darum, das Bewusstsein für Sicherheit bei Mitarbeitern, Führungskräften und ganz einfach bei Konsumenten zu fördern. Da gibt es bereits richtige Ansätze, die allerdings intensiviert werden und über Jahre hin aufrecht erhalten werden müssen. Das ist eine ähnliche Aufgabe wie Aids-Aufklärung und Anti-Raucherkampagnen.

Der zweite Vorschlag ist noch einfacher, zumindest in der Theorie. Man legt die Verantwortung für die Sicherheit in die Hände der Softwareanbieter. Auf Deutsch: Wer ein E-Mail-System entwickelt, muss dafür sorgen, dass keine Mails verschwinden oder in unautorisierte Hände gelangen. Wer innerhalb seiner Software ein Transaktionssystem anbietet, ist verantwortlich dafür, dass die Transaktionen sicher ausgeführt werden können und ihre Ergebnisse ausschließlich autorisierten Systemen zur Verfügung stehen. Das heißt, Sicherheitsfragen müssen schon am Anfang der Entwicklung eine zentrale Rolle spielen. Nur dann ließe sich das ewige Katz- und Mausspiel zwischen der Security-Branche und den Cyberkriminellen auf ein Minimum reduzieren.

Weitere Meinungsbeiträge und Analysen finden Sie im Blog des Autors unter www.wittes-welt.eu.