Security-Theater mit Antivirus, Firewall & Co.

Wirkungslose IT-Sicherheitsmaßnahmen

15.06.2016
Von 


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Virenschutz-Software, Firewalls, regelmäßige Passwort-Wechsel - und schon sind die IT-Systeme sicher. Oder? Wir haben uns mit zahlreichen Experten unterhalten und Erstaunliches in Erfahrung gebracht.

Kennen Sie den Begriff "Security Theatre"? Die ausufernden Sicherheitsmaßnahmen an US-Flughäfen haben diesen Begriff geprägt. Sie wissen schon, wenn man mal wieder das Boarding knapp verpasst, weil in der Schlange vor dem Ganzkörperscanner alte Menschen und Kinder einfach nicht wissen, welche Kleidungsstücke abzulegen sind um einen möglichst reibungslosen Ablauf zu gewährleisten.

IT-Security ohne Wirkung?

Der "Erfinder" des Begriffs ist allerdings kein Geringerer als IT-Security-Koryphäe Bruce Schneier. Kein Wunder, denn wie die Kollegen unseres Schwesterportals csoonline.com im Gespräch mit zahlreichen Experten für IT-Sicherheit herausgefunden haben, passt der Begriff "Security Theatre" nicht nur auf den Sicherheits-Enthusiasmus an US-Flughäfen, sondern auch auf einige Maßnahmen der IT-Security - darunter so traditionelle Abwehr-Methoden wie die Antivirus-Software oder die Firewall.

Nur ein Fenster zur Sicherheit

Orlando Scott-Cowley, Security-Stratege bei Mimecast, zeigt sich irritiert davon, wie viele scheinbar normale Online-Transaktionen heutzutage von reißerischen Splash-Screens begleitet werden: "Es gibt einige Websites, die versuchen, ihren Nutzern nach dem Login mit schicken Fenster mit Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' ein Gefühl von gesteigerter Sicherheit zu vermitteln. Das ist ein Grund, sich zu schämen, denn was die Sicherheit angeht, sind solche Meldungen nichts weiter als Theater."

Wenn der Virenschutz verpufft

Für die meisten Menschen ist eine Virenschutz-Software eine grundlegende Voraussetzung für ein sicheres System. Ajit Sancheti, Mitbegründer und CEO von Preempt, ist allerdings davon überzeugt, dass Antivirus-Software größtenteils wirkungslos ist: "Eine solche Software richtet nur wenig gegen Malware und Ransomware aus, sorgt dafür aber bei den Usern für Unannehmlichkeiten - insbesondere was die Performance angeht", so Sancheti.

Barry Shteiman von Exabeam stimmt direkt mit ein: "Jedes Unternehmen gibt Unmengen für Antivirus- und Antimalware-Software aus. Mittlerweile ist es Standard, dass ein schickes Taskbar-Icon jedem Nutzer mitteilt 'Du bist geschützt'. Leider ist das aber einfach nicht wahr. Nahezu jede moderne Malware hat Anti-Antivirus-Tools an Bord, die diese Schutzmaßnahmen einfach umgehen - so als wären sie gar nicht da."

Löchrige Firewalls in Zeiten der Dauer-Attacke

Dass Firewalls und sonstige Maßnahmen zur Absicherung des Netzwerkrands ebenfalls theatralische Qualitäten aufweisen, entspricht der Überzeugung von Garry McCracken, Vice President Technology bei WinMagic: "Jeder hat so etwas in Betrieb, aber um die IT-Systeme von Unternehmen zu schützen reicht das längst nicht mehr aus. Die meisten großen Unternehmen werden nahezu durchgängig angegriffen - es braucht also neue Strategien und Technologien. Unternehmen sollten davon ausgehen, dass in ihr Netzwerk eingedrungen wird, oder bereits wurde, die Bedrohung identifizieren, die Auswirkungen reduzieren und so schnell wieder in den Normalzustand zurückkehren."

Anstatt immer mehr Geld und Ressourcen in Perimeter-Security-Maßnahmen zu investieren, gibt McCracken Unternehmen daher den Tipp, dieAuswirkungen eines Angriffes so klein wie möglich zu halten und/oder alle 10 Minuten ein Backup zu erstellen, um stets auf einen aktuellen Wiederherstellungspunkt zugreifen zu können. Das sei wesentlich effizienter.

Die Nadel im Security-Alert-Haufen

Nathan Burke, Vice President of Marketing beim Incident-Response-Spezialisten Hexadite, weiß, dass zu viele Informationen über potenzielle Bedrohungen schnell zu Überforderung führen kann: "MehrereSecurity-Lösungenzu installieren, die gemeinsam eine Unzahl von Alerts generieren, dann aber nichts gegen die Bedrohungen tun, ist Security-Theater par excellence", so der Spezialist. "Es sind in der Regel einfach viel zu viele Alerts, die einfach nicht manuell bearbeitet werden können. Das führt dazu, dass einigeSecurity-Teams zwar konstant Alarmglocken hören, aber nur allerhöchstens fünf Prozent der Vorfälle, die die Alerts ausgelöst haben, auch genau unter die Lupe nehmen können."

Das sieht auch Philip Lieberman, President von Lieberman Software so: "Die meisten Unternehmen ignorieren die Alarmmeldungen wegen der hohen Fehlalarm-Quote schlicht. Und niemand ergreift sofortige Gegenmaßnahmen, weil er negative Reaktionen der User fürchtet."