Jeden Tag entsteht Unternehmen durch Malware- oder Phishing-Attacken sowie den Klau sensibler Daten ein hoher finanzieller Schaden. Einen effektiver Schutz vor diesen Angriffen gibt es nicht, weil die Sicherheitsanbieter kein Interesse daran haben.
Acht "schmutzige" Geheimnisse hat Joshua Corman, Chef-Strategen des Bereichs Internet-Sicherheit bei IBM, unserer US-Schwesterpublikation CSO anvertraut. Welche das sind, lesen Sie auf den folgenden Seiten.
Geheimnis 1: Anbieter wollen nur Geld verdienen
Laut Corman ist das Kernproblem aller Anbieter von Sicherheitssoftware, dass diese mit ihren Produkten nur Geld verdienen wollen. Zwangsläufig leidet darunter die Sicherheit der Kunden. Würden Anbieter nämlich Software-Produkte entwickeln und anbieten, die wirklich schützen, wäre ihr Geschäftsmodell in Gefahr. Genau hier liegt nach Ansicht des IT-Sicherheits-Experten die Ursache aller weiteren Übel. Deshalb verbreiten Sicherheitsanbieter zahlreiche Märchen und Lügen.
Geheimnis 2: Antiviren-Tools nicht zertifiziert
Antiviren-Software erkennt zwar Malware, die sich repliziert, wie etwa Würmer, aber keine die sich nicht repliziert, wie beispielsweise Trojaner. Laut Corman ist nicht-replizierende Malware in 80 Prozent der Fälle für Sicherheitsverletzungen in Unternehmen verantwortlich. Zudem gibt es bösartigen Code in Form von Trojanern schon seit langem. Dennoch haben es Anbieter bisher versäumt, ihre Antiviren-Tools entsprechend zu zertifizieren. Lieber lullen sie ihre Unternehmenskunden ein und wiegen sie in falscher Sicherheit.
Geheimnis 3: Es gibt keine Netzwerksicherheit
Wer daran glaubt, dass es vollständige Netzwerksicherheit gibt, der glaubt auch an den Weihnachtsmann. Zwar gibt es Netzwerksicherheit, etwa in Form von demilitarisierten Zonen (DMZ = Demilitarized Zone), doch häufig werden die hierfür nötigen Perimeter, d.h. wo die Sicherheit beginnt und wo sie endet, nicht klar definiert. Dadurch laufen Sicherheitsmaßnahmen ins Leere. Corman rät Unternehmen deshalb, Basis-Perimeter zu definieren und daran die Sicherheitsstrategie auszurichten sowie die passenden Produkte zu kaufen.
Geheimnis 4: Risiko-Management bedroht Anbieter
Ein effizientes Risiko-Management unterstützt Firmen dabei, ihr Geschäft und die damit verbundenen Sicherheitsrisiken zu verstehen und ihre Schutzmaßnahmen zu ergreifen und entsprechend zu priorisieren. Dabei kommen die Prioritäten von Firmen mit denen ihrer Sicherheitsanbieter häufig nicht zur Deckung. Letztere fokussieren sich auf einzelne Probleme und verkaufen genau darauf zugeschnittene Produkte - am besten so viele wie möglich. Die Sicherheitsstrategie ihrer Kunden interessiert sie dabei wenig.
Geheimnis 5: Nur so stark wie das schwächste Glied
Die Sicherheit in Unternehmen ist nur so stark wie das schwächste Glied. Im gesamten Sicherheitsmarkt machen Produkte, die Software gegen Angriffe schützen sollen, den Löwenanteil aus. Allerdings ist das nur eine Möglichkeit, Unternehmen zu gefährden und nicht einmal die wichtigste. Die weitaus größere Gefahr geht von unzureichenden Konfigurationen, etwa bei Zugriffsberechtigungen, sowie von Mitarbeitern aus. Doch genau in diesen Bereichen versagen die meisten Anbieter.
Geheimnis 6: Die Compliance-Lüge
Unterschiedliche Compliance-Vorgaben führen dazu, dass Unternehmen mehr Geld für Sicherheit ausgeben müssen als sie es normalerweise tun würden. Dazu gehören unter anderem der Sarbanes-Oxley Act für börsennotierte Unternehmen, die Vorgaben nach PCI DSS (Payment Card Industry Data Security Standard) für Kreditkartenunternehmen oder die HIPAA-Anforderungen für das Gesundheitswesen. Hersteller machen es sich einfach und bieten sogenannte Out-of-the-Box-Lösungen an, die angeblich alle Bereiche und Risiken abdecken. In Wirklichkeit versagen die Lösungen, wenn es darum geht, spezifische Anforderungen des Gesetzgebers abzudecken.
Geheimnis 7: Storm-Bots werden ausgeblendet
Selbst nach dem großen Storm-Botnet von 2007 haben die Anbieter nichts dazugelernt. Damals kaperte der Sturmwurm Millionen von Rechnern. Forscher schätzen, dass er rund zehn Prozent der gesamten Malware ausmacht. Auch heute noch verspeist der Storm-Worm Antiviren-Programme zum Frühstück, und das obwohl die damals verwendeten Techniken den Antiviren-Herstellern bekannt sind.
Geheimnis 8: Do it yourself
Der Einsatz von Sicherheitstechnologie ohne Strategie bedeutet Chaos. Die schiere Masse der derzeit verfügbaren Sicherheitsprodukte übersteigen die Möglichkeiten von Unternehmen, sich umfassend darüber zu informieren. Was die Beratung angeht, werden sie von den Sicherheitsspezialisten allein gelassen. Weil man sich aber irgendwie gegen Angriffe schützen muss, wird dann im Do-it-Yourself-Verfahren eine Lösung aufgespielt und diese anschließend sich selbst überlassen.
Cormans Thesen und Aussagen provozierten heftigen Widerspruch der Anbieter, etwa von der US Sicherheitsfirma Cloakware. Man wolle zwar Geld verdienen, rechtfertigte sich das Unternehmen, aber gleichzeitig würden in Zusammenarbeit mit Unternehmenskunden geeignete Sicherheitskonzepte und -Lösungen entwickelt.