Das größte Sicherheitsrisiko ist Schlamperei
Die IT-Welt, heißt es in einer aktuellen US-Studie, ist gefährdet: Hacker, Cracker, Virenschreiber und Datenspione gehen um. Das größte Sicherheitsrisiko sitzt jedoch in den Firmen selbst: schlampige IT-Experten.
"Kritische Infrastruktur": Schaltzentralen wie das Netmanagement-Zentrum der Deutschen Telekom bedürfen scharfer Sicherheitsmaßnahmen
US-Firmen sind einer Studie zufolge für Sicherheitslöcher in Computersystemen mitverantwortlich, weil sie vorhandene Schutzmechanismen nicht umsetzen. "Auch ohne neue Sicherheitstechnik wäre eine größere Sicherheit möglich, wenn Hersteller, Betreiber wichtiger Systeme und Nutzer die erforderlichen Schritte unternähmen", hieß es in einer am Dienstag veröffentlichten Studie des US-Gremiums für Informatik und Telekommunikation, einer Abteilung des Nationalen Forschungsrats.
Die zehn Jahre alten Empfehlungen des Gremiums zur Verbesserung der Computersicherheit seien noch aktuell, sagte einer der Wissenschaftler, Herbert Lin. Dies zeige, dass es ein großes strukturelles und organisatorisches Problem mit der Computersicherheit gebe. "Wir sind sehr frustriert über unsere Möglichkeiten, die Leute zu Aufmerksamkeit zu bewegen, und stehen damit nicht allein da."
Das Phänomen ist auch von Privatanwendern her bekannt: Seit dem "I Love You"-Virus im Februar 2000 kursierte eine Unzahl von Nachfolgeviren, die auf die gleiche Verbreitungsmethode setzten. Obwohl entsprechende Patches zum Flicken von Sicherheitslöchern in von solchen VBS-Viren besonders häufig betroffenen Programmen seit etwa zwei Jahren existieren, werden diese von Computernutzern viel zu selten eingesetzt. Die Folge: Eine Unzahl völlig überflüssiger Computerschäden.
In der Studie heißt es wörtlich: "Selbst, wenn man völlig auf den Einsatz neuer Sicherheitstechnologien verzichten würde, ließe sich ein weit höheres Maß an IT-Sicherheit erreichen, wenn nur die Entwickler, die Betreiber empfindlicher Systeme und die Computer-Nutzer angemessene Maßnahmen ergriffen".
Sprich: Die Technologien, die bereits existieren, überhaupt anwendeten. Nach Expertenschätzungen mussten US-Unternehmen allein 2001 rund 12,3 Milliarden Dollar aufwenden, um durch Fremdeinwirkung entstandene IT-Schäden zu reparieren. Herbert Lin: "Unser Problem liegt nicht in der Forschung. Wir könnten schon jetzt sehr viel sicherer leben, wenn jeder nur das täte, was heute möglich ist."
Rückenwind für ihre Sicherheits-Kampagne erhoffen sich die Warner durch den Schock der Terrorattacke vom 11. September 2001. Der Massenmord von New York und der Angriff auf das Pentagon hat die amerikanische Öffentlichkeit für Sicherheitsfragen sensibilisiert. In einem politischen Klima, das auch Verordnungen und freiheitseinschränkende Maßnahmen möglich macht, hoffen die IT-Sicherheitsexperten nun darauf, dass die Regierung eingreift und den Stand der IT-Sicherheit verbessert, indem sie am "anderen Ende" ansetzt: Bei den Entwicklern.
Denn der US-Studie zufolge ist eines der Probleme gerade im Unternehmensbereich, dass Firmen kaum Anreize haben, Sicherheitsfragen adäquat anzugehen. Eine Lösungsmöglichkeit sei, das Problem vom anderen Ende her anzugehen und Softwareunternehmen, Verkäufern von Computersystemen und Systemadministratoren eine Haftung für Sicherheitslücken aufzuerlegen. Außerdem könne eine Meldepflicht für Sicherheitsverletzungen eingeführt werden, die für die Gesellschaft wichtige Systeme beträfen.
Auf freiwilliger Basis wird das in Deutschland seit langem praktiziert. Zumindest die "kritischen Infrastrukturen" bei Telekommunikationsanbietern, Strom- und anderen Versorgungsunternehmen gelten in Deutschland als relativ gut gesichert. In der freien Wirtschaft hingegen - das zeigen allein schon die immer wieder gemeldeten "Erfolge" diverser Virenattacken - dürfte es auch hier zu Lande kaum anders aussehen als in den USA.
Quelle: DPA
