computerwoche.de

Security

Bruce Schneier: Wir verlieren den Security-Krieg

20.09.2006
Der Sicherheitsexperte Bruce Schneier befürchtet, dass Unternehmen ihre IT-Systeme nicht mehr gegen Hacker-Angriffe und andere Attacken schützen können.

"Ich glaube insgesamt gesehen nicht, dass wir den Security-Krieg gewinnen; ich fürchte wir verlieren ihn", erklärte der Gründer und Chief Technology Officer (CTO) von Counterpane Internet Security in einem Webcast, der zur Konferenz Hack In The Box (HITB) in Kuala Lumpur übertragen wurde.

Je komplexer die Systeme würden, desto unsicherer würden sie auch, warnte Schneier. Zwar werde auch die Sicherheitstechnik besser, doch sei die Komplexität moderner IT-Systeme schneller gestiegen. "Das Internet ist die komplexeste Maschine, die je gebaut wurde", findet der Experte. "Das erklärt, warum sich die Sicherheit verschlechtert."

Außerdem, so Schneier, habe sich die Natur der Angriffe erheblich verändert, denen Unternehmen ausgesetzt seien. Hacker seien früher technikverliebte Amateure gewesen, heute dagegen seien unter ihnen zunehmend Kriminelle mit wirtschaftlichen Motiven: "Der Hobby-Hacker will Street Credibility, der Kriminelle will Ergebnisse."

Um dem entgegenzuwirken, müsse die Sicherheitsbranche über rein technische Maßnahmen zur Gegenwehr hinausblicken. "Halten Sie Ausschau nach den ökonomischen Hebeln", appellierte Schneier. "Wenn Sie die richtig ansetzen, wird die Technik funktionieren. Wenn Sie es falsch machen, dann klappt die Technik nie."

Externalitäten - ein Begriff aus der Wirtschaftssprache, der die Auswirkungen des Handelns einer Person auf eine anderen beschreibt - seien zentral für den Aufbau effektiver Security, proklamierte der Counterpane-Mann. Banken zum Beispiel investierten nicht viel in den Schutz vor Identitätsdiebstahl, weil sie nicht betroffen seien, wenn dieser auftrete. Er sei für die Bank eine Externalität. Sobald die Banken aber für bestimmte Sicherheitsvorfälle hafteten - etwa nicht autorisierte Abhebungen am Geldautomaten -, tätigten sie die nötigen Investitionen, um sie zu unterbinden.

Dieses Haftungsprinzip sollte man auch auf die Softwarebranche übertragen, findet Schneier. Um die Sicherheit von Software zu erhöhen, sollten Microsoft und andere für den Verkauf von Software geradestehen müssen, die nicht sicher sei. "Wenn Sie fehlerhafte Software verwenden und Daten verlieren, dann haben Sie den Verlust und nicht die Softwarefirma", klagte der Experte. Das müsse anders werden. "Wer die Möglichkeit hat, das Risiko zu verringern, der muss auch die Verantwortung für das Risiko tragen", forderte Schneier. (tc)