Security-Theater mit Antivirus, Firewall & Co.

Wirkungslose IT-Sicherheitsmaßnahmen

15.06.2016
Von 


Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.

Daten- und Analyse-Ignoranz

Laut Cedric Caldwell vom IT-Beratungsunternehmen Adapture ist aus vielen Unternehmen zu vernehmen, dass sie ihre IT-Infrastruktur und -Systeme ausreichend schützen - zum Beispiel mit einem IPS oder einer Firewall. Aber was tut man mit den Daten, die hier erhoben werden und werden diese überhaupt ausgewertet?

Es kann laut dem Experten durchaus dazu kommen, dass eine Firewall implementiert wird, die Angriffe darauf aber gar nicht erst beachtet werden: "Große Unternehmen sind in der Regel geübt darin, große Datenmengen auszuwerten. Aber bei kleineren Unternehmen, die einfach nicht die nötige Manpower haben, um dies zu tun, lässt sich dieses Phänomen oft beobachten. Die machen einen Haken auf ihrer To-Do-List und kaufen das Equipment, aber sehen sich nicht an, welche Daten das Ding eigentlich erfasst."

Passwort-Spielchen, Schulungs-Fails & harte Worte

Für Dimitri Sirota, CEO bei BigID, stellt das Thema Passwörter das Security-Theaterstück schlechthin dar: "Passwörter sind in etwa vergleichbar mit einem Schloss für die Haustür. Wer dieses Schloss knacken kann, kann sich im Inneren völlig frei und ohne weitere Hindernisse bewegen. Die meisten User ziehen aus Bequemlichkeitsgründen einfach gestrickte Passwörter vor." Sirotas Fazit: Ein Passwort sollte immer nur die erste Schicht einer tiefgehenden Schutzmaßnahmen-Strategie darstellen.

Nigel Stanley, Practice Director Cybersecurity bei OpenSky, dem IT-Beratungsarm des TÜV Rheinland, steht insbesondere mit der Praxis auf Kriegsfuß, Passwörter einmal pro Monat ändern zu müssen: "Warum denn alle 30 Tage?", fragt er empört. "Was genau sollte denn am 31. Tag passieren, damit plötzlich ein Security-Risiko entsteht?"

Dass Security bereits auf der Schulungs- und Trainingsebene zum Theater ausarten kann, weiß auch Stu Sjouwerman, CEO von KnowBe4, der von einem Unternehmen erzählt, das "Phishing-Attacken simuliert. Aber nur alle 90 Tage und ohne zuvor eine interaktive, web-basierte Schulung für die Mitarbeiter abzuhalten. Das Ergebnis? Die Mitarbeiter fühlen sich schikaniert und es gibt keinerlei messbaren Erfolg zu vermelden, was die Phishing-Attacken angeht."

Nigel Stanley von OpenSky findet beim Thema Offensiv-PR von Security-Anbietern deutliche Worte: "Ich füge einfach Begriffe wie ‚military-grade encryption‘, ‚flash to bang‘, ‚kill chain‘ oder ‚detonate‘ ein. WTF? Das ist weder deskriptiv, noch in irgendeiner Weise hilfreich oder der Sache dienlich."

Mauerbau, Trug & Lug

Wenn die IT-Abteilung ganz konsequent sämtliche User-Anfragen aus "Gründen der Sicherheit" zurückweist, ist das schon eine Aufführung - findet J. Colin Peterson, CEO bei J Digital Identity und untermauert seine Aussage mit einem Beispiel: "Wenn ein User Zugriff auf eine bestimmte Ressource anfragt und der IT-Spezialist - statt einen sicheren Weg dafür zu suchen - einfach mauert und so etwas sagt wie ‚Tut mir leid, das kann ich aus Sicherheitsgründen nicht erlauben‘.

Der CEO von illusive networks, Shlomo Touboul, ist der Ansicht, dass das Teilen von Daten über erfolgte Angriffe und aufgedeckte Sicherheitslücken ebenfalls in ein trügerisches Sicherheitsgefühl münden kann: "Wenn ein massiver Angriff auf eine bestimmte Branche festgestellt wird, werden andere Unternehmen aus derselben Branche sofort gewarnt. Aber das macht sie nicht sicherer. Denn jedes Unternehmensnetzwerk hat andere Angriffsvektoren und jeder einzelne davon ist solange nicht sichtbar, bis ein Angreifer ihn ausnutzt. Der Austausch von Informationen über spezifische Angriffe mag dabei helfen, manche Systeme zu patchen, hilft aber nicht dabei, versteckte Angriffsvektoren aufzudecken. Das führt dazu, dass Unternehmen sich sicher fühlen, obwohl sie es nicht sind.

Wenn ein Angriff stattgefunden hat, rücken aber nicht nur die IT-Security-Spezialisten in den Fokus, wie Orlando Scott-Cowley anmerkt: "Es gibt kaum ein größeres Unding, als die immer gleichen Statements, mit denen CEOs und PR-Abteilungen die Sache schön zu reden versuchen. ‚Wir nehmen die Sicherheit unserer User sehr ernst‘ ist so ein Satz, der in Pressemitteilungen steht, nachdem offensichtlich unzulänglich gesicherte Systeme angegriffen wurden. Oft ist auch von einer ‚hochprofessionellen und koordinierten Attacke‘ die Rede - in meinen Augen kompletter Stuss. Diese Formulierungen dienen ausschließlich dazu, den Umstand zu verschleiern, dass unzulänglich geschützte Systeme gehackt wurden und die Cyberkriminellen dabei nahezu widerstandslos auf Ressourcen und Daten zugreifen konnten."

Security-Show must go on

Nach all diesen wenig erbaulichen Statements müssen wir natürlich irgendwie zu einem positiven Resümee kommen. Deswegen gehört das Schlusswort Dimitri Sorota von BigID: "Security-Theater ist per se nichts Schlechtes, weil es abschreckend wirkt. Die Polizei verhaftet ja auch nicht rund um die Uhr Leute - ihre bloße Präsenz wirkt oft schon abschreckend genug. Denselben Effekt kann man im militärischen Bereich beobachten: Manchmal reicht ein Säbelrasseln aus, um zu zeigen, dass man könnte, wenn man wollte." Mit anderen Worten: Ein schwaches Passwort und eine instabile Firewall sind immer noch besser als gar keine Schutzmaßnahmen.

Dieser Beitrag basiert auf einem Artikel unserer Schwesterpublikation csoonline.com.