Es empfiehlt sich, den Botschaften der Sicherheitsanbieter mit gesunder Skepsis zu begegnen", riet Joshua Corman in seinem Vortrag "Unsafe at any Speed: 7 Dirty Secrets of the Security Industry" auf einer Veranstaltung in Las Vegas. Der Principal Security Strategist bei IBMs Sicherheitssparte Internet Security Systems (ISS) weiß, wovon er spricht.

Statt in die Entwicklung neuer Sicherheitsfunktionen habe die Security-Industrie bisweilen primär in die Management-Oberflächen ihrer Produkte investiert, kritisiert Corman. Auch tendiere sie dazu, ihre Lösungen erst dann um Security-Features anzureichern, wenn es ihre Klientel explizit fordere. "Ziel des Sicherheitsanbieters ist nicht zu schützen, sondern Geld zu verdienen", verrät der IBM-Sicherheitsstratege das - wie er es nennt - "nullte" schmutzige Geheimnis der Security-Industrie. Hier sind die anderen sieben:

AV-Zertifizierungen sind irreführend

Die Zertifizierungsstandards für Antiviren-Lösungen (AV) bestätigen, dass ein Produkt jegliche sich selbst replizierende Malware erkennt und abfängt. Der Haken laut Corman: Als die Standards verabschiedet wurden, machten Schädlinge, die sich nicht selbst replizieren - wie zum Beispiel Trojaner -, noch bescheidene fünf Prozent des gesamten Malware-Aufkommens aus. Mittlerweile sei dieser Anteil jedoch auf 75 Prozent gestiegen. "Zertifizierung" bedeute demnach heute, dass ein AV-Produkt 25 Prozent des Schadcodes abfangen könne.

Es gibt kein Perimeter

Anbieter betonen die Notwendigkeit, das Netzperimeter abzusichern. Das Gros der Daten, die verloren gehen, durchläuft allerdings nicht die Firewall. Vielmehr kommen die Informationen in der Hälfte aller Fälle durch den Verlust von Laptops oder Wechselspeichermedien abhanden, so der Sicherheitsexperte. Unternehmen müssten daher mindestens ebenso zwingend ihre Geschäftsprozesse straffen wie die Schutzwälle am Netzperimeter verstärken, mahnt Corman. "Wer immer noch an Perimeter glaubt, kann gleich an den Nikolaus glauben."

Risikoanalyse bedroht Sicherheitsanbieter

Security-Anbieter wollen, dass Unternehmen kaufen, was sie anbieten. Entsprechend rühren sie die Werbetrommel für bestimmte Produkte gegen bestimmte Bedrohungen, so Corman. So könne beispielsweise NAC (Network Access Control) durchaus ein reales Problem lösen. Wirke sich dieses Problem jedoch nicht nennenswert auf die drei obersten Geschäftsprioritäten eines Unternehmens aus, müsse es vermutlich auch nicht gelöst werden, schlussfolgert der Experte. Ein Risiko-Assessment könne demnach ergeben, dass verbesserte Geschäftsprozesse oder die Härtung von Gerätekonfigurationen bereits hinreichend Schutz bieten. Entscheidend sei demnach, die eigene Umgebung und deren wichtigste Prioritäten zu verstehen.

Software-Bugs

Sicherheitsanbieter forcieren die Absicherung gegen Softwareschwachstellen - allerdings stellen diese Bugs nicht die Hauptquelle für erfolgreiche Exploits dar. Weit größere Probleme bereiten Corman zufolge schwache Passwörter und Gerätekonfigurationen (vor allem Standardeinstellungen) sowie "schwache Menschen" beziehungsweise leichte Social-Engineering-Opfer. "Selbst wenn Software perfekt wäre, sind da immer noch Schädlinge wie Viren und Trojaner, die nicht auf Softwarefehler angewiesen sind, um zu funktionieren."

Compliance offenbart andere Schwachpunkte

Compliance als solche sei nicht schlecht - die Einhaltung von Sicherheitsstandards, wie sie Regierungen oder die Industrie verordnen, reiche aber nicht aus, um Netze dauerhaft zu schützen. Vielmehr erzeugten diese Vorgaben einen Budget- und Ressourcenkonflikt zwischen dem, was die Regeln erforderten, und dem, was Netzverantwortliche zur Absicherung des Geschäfts für tatsächlich notwendig hielten. Darüber hinaus, so Corman, liefert diese Art von Compliance potenziellen Angreifern genaue Anhaltspunkte zu den bestehenden Schutzwällen in Unternehmen - und damit die Möglichkeit, sich andere Bereiche vorzunehmen.

Schutzsoftware hat blinde Flecken

Schutzvorkehrungen in Firmen, die das Verhalten von Netzgeräten überprüfen, sind in der Lage, für ein Botnetz gekaperte Zombie-Geräte zu erkennen - ein Schutz, den es für "Verbrauchernetze" in der Form nicht gibt, so Corman. Verhaltensbasierende Antiviren-Software für Endpoints und Systeme zur Erkennung von Anomalien bieten zwar Vergleichbares - allerdings nur denjenigen, die über diese Sicherheitsmechanismen verfügen, gibt der Security-Stratege zu bedenken. "Der Virus Storm hat die größten blinden Flecken im Virenschutz erkannt und mit großartigem Social Engineering ausgenutzt."

Sicherheits-Tools müssen individuell angepasst werden

Security-Anbieter versuchen Firmen davon zu überzeugen, dass diese das Thema Sicherheit aufgrund seiner Komplexität allein nicht in den Griff bekommen können. Nun sind die Sicherheitsbedürfnisse in Unternehmen aber so individuell, dass es mit der Auswahl eines Produkts nicht getan ist. "Es genügt nicht, das richtige Tool an der Hand zu haben", warnt Corman. Es müsse installiert und der Umgebung entsprechend konfiguriert werden - eine Aufgabe, die immer noch das IT-Personal selbst am besten erledigen könne.