"Es empfiehlt sich, den Botschaften der Sicherheitsanbieter mit gesunder Skepsis zu begegnen", riet Joshua Corman in seinem Vortrag "Unsafe at any Speed: 7 Dirty Secrets of the Security Industry" auf der Interop Las Vegas. Der Principal Security Strategist bei IBMs Sicherheitssparte Internet Security Systems (ISS) weiß, wovon er spricht.

Statt in die Entwicklung neuer Sicherheitsfunktionen habe die Security-Industrie zeitweise primär in die Management-Oberflächen ihrer Produkte investiert, kritisiert Corman. Auch tendiere sie dazu, ihre Lösungen erst dann um Security-Features anzureichern, wenn es ihre Klientel explizit fordere. "Ziel des Sicherheitsanbieters ist nicht zu schützen, sondern Geld zu verdienen", verrät der IBM-Sicherheitsstratege das - wie er es nennt - "nullte" schmutzige Geheimnis der Security-Industrie. Hier sind die anderen sieben:

1. AV-Zertifizierungen sind irreführend

Die Zertifizierungsstandards für Antiviren-Lösungen (AV) bestätigen, dass ein Produkt jegliche sich selbst replizierende Malware erkennt und abfängt. Der Haken laut Corman: Als die Standards verabschiedet wurden, machten Schädlinge, die sich nicht selbst replizieren - wie zum Beispiel Trojaner - noch bescheidene fünf Prozent des gesamten Malware-Aufkommens aus. Mittlerweile sei dieser Anteil jedoch auf 75 Prozent gestiegen. "Zertifizierung" bedeute demnach heute, dass ein AV-Produkt 100 Prozent von 25 Prozent des Schadcodes abfangen könne.