Die schmutzige Wahrheit

Die geheimen Tricks der Security-Anbieter

04.09.2013 von Andreas Schaffry
Anbietern von Sicherheits-Software sind die Anforderungen ihrer Kunden egal. Sie wollen mit Sicherheitslösungen und den dazugehörigen Dienstleistungen lediglich viel Geld verdienen. Dieser Auffassung ist Joshua Corman, Chef-Stratege für IT-Sicherheit bei IBM.

Jeden Tag entsteht Unternehmen durch Malware- oder Phishing-Attacken sowie den Klau sensibler Daten ein hoher finanzieller Schaden. Einen effektiver Schutz vor diesen Angriffen gibt es nicht, weil die Sicherheitsanbieter kein Interesse daran haben.

Einen effektiven Schutz vor Malware- und Phishing-Attacken gibt es nicht, weil Anbieter von Sicherheits-Software nur ans Geld verdienen denken.
Foto:

Acht "schmutzige" Geheimnisse hat Joshua Corman, Chef-Strategen des Bereichs Internet-Sicherheit bei IBM, unserer US-Schwesterpublikation CSO anvertraut. Welche das sind, lesen Sie auf den folgenden Seiten.

Geheimnis 1: Anbieter wollen nur Geld verdienen

Laut Corman ist das Kernproblem aller Anbieter von Sicherheitssoftware, dass diese mit ihren Produkten nur Geld verdienen wollen. Zwangsläufig leidet darunter die Sicherheit der Kunden. Würden Anbieter nämlich Software-Produkte entwickeln und anbieten, die wirklich schützen, wäre ihr Geschäftsmodell in Gefahr. Genau hier liegt nach Ansicht des IT-Sicherheits-Experten die Ursache aller weiteren Übel. Deshalb verbreiten Sicherheitsanbieter zahlreiche Märchen und Lügen.

Geheimnis 2: Antiviren-Tools nicht zertifiziert

Stichwort Trojaner. Wie gut sind sie vor schadhaften Code wirklich geschützt?

Antiviren-Software erkennt zwar Malware, die sich repliziert, wie etwa Würmer, aber keine die sich nicht repliziert, wie beispielsweise Trojaner. Laut Corman ist nicht-replizierende Malware in 80 Prozent der Fälle für Sicherheitsverletzungen in Unternehmen verantwortlich. Zudem gibt es bösartigen Code in Form von Trojanern schon seit langem. Dennoch haben es Anbieter bisher versäumt, ihre Antiviren-Tools entsprechend zu zertifizieren. Lieber lullen sie ihre Unternehmenskunden ein und wiegen sie in falscher Sicherheit.

Geheimnis 3: Es gibt keine Netzwerksicherheit

Wer daran glaubt, dass es vollständige Netzwerksicherheit gibt, der glaubt auch an den Weihnachtsmann. Zwar gibt es Netzwerksicherheit, etwa in Form von demilitarisierten Zonen (DMZ = Demilitarized Zone), doch häufig werden die hierfür nötigen Perimeter, d.h. wo die Sicherheit beginnt und wo sie endet, nicht klar definiert. Dadurch laufen Sicherheitsmaßnahmen ins Leere. Corman rät Unternehmen deshalb, Basis-Perimeter zu definieren und daran die Sicherheitsstrategie auszurichten sowie die passenden Produkte zu kaufen.

Geheimnis 4: Risiko-Management bedroht Anbieter

Wie begegnen Sicherheitsanbieter eigentlich dem Sicherheitsrisiko Mitarbeiter?
Foto:

Ein effizientes Risiko-Management unterstützt Firmen dabei, ihr Geschäft und die damit verbundenen Sicherheitsrisiken zu verstehen und ihre Schutzmaßnahmen zu ergreifen und entsprechend zu priorisieren. Dabei kommen die Prioritäten von Firmen mit denen ihrer Sicherheitsanbieter häufig nicht zur Deckung. Letztere fokussieren sich auf einzelne Probleme und verkaufen genau darauf zugeschnittene Produkte - am besten so viele wie möglich. Die Sicherheitsstrategie ihrer Kunden interessiert sie dabei wenig.

Geheimnis 5: Nur so stark wie das schwächste Glied

Die Sicherheit in Unternehmen ist nur so stark wie das schwächste Glied. Im gesamten Sicherheitsmarkt machen Produkte, die Software gegen Angriffe schützen sollen, den Löwenanteil aus. Allerdings ist das nur eine Möglichkeit, Unternehmen zu gefährden und nicht einmal die wichtigste. Die weitaus größere Gefahr geht von unzureichenden Konfigurationen, etwa bei Zugriffsberechtigungen, sowie von Mitarbeitern aus. Doch genau in diesen Bereichen versagen die meisten Anbieter.

Geheimnis 6: Die Compliance-Lüge

Eine dicke Tür und doch kein Schutz.
Foto: René Schmöl

Unterschiedliche Compliance-Vorgaben führen dazu, dass Unternehmen mehr Geld für Sicherheit ausgeben müssen als sie es normalerweise tun würden. Dazu gehören unter anderem der Sarbanes-Oxley Act für börsennotierte Unternehmen, die Vorgaben nach PCI DSS (Payment Card Industry Data Security Standard) für Kreditkartenunternehmen oder die HIPAA-Anforderungen für das Gesundheitswesen. Hersteller machen es sich einfach und bieten sogenannte Out-of-the-Box-Lösungen an, die angeblich alle Bereiche und Risiken abdecken. In Wirklichkeit versagen die Lösungen, wenn es darum geht, spezifische Anforderungen des Gesetzgebers abzudecken.

Geheimnis 7: Storm-Bots werden ausgeblendet

Das Storm Botnet ist ein ferngesteuertes Netzwerk von Computern (Botnet), die über den Storm Worm - ein Trojanisches Pferd, welches sich über Spam verbreitet - miteinander verknüpft sind.

Selbst nach dem großen Storm-Botnet von 2007 haben die Anbieter nichts dazugelernt. Damals kaperte der Sturmwurm Millionen von Rechnern. Forscher schätzen, dass er rund zehn Prozent der gesamten Malware ausmacht. Auch heute noch verspeist der Storm-Worm Antiviren-Programme zum Frühstück, und das obwohl die damals verwendeten Techniken den Antiviren-Herstellern bekannt sind.

Geheimnis 8: Do it yourself

Der Einsatz von Sicherheitstechnologie ohne Strategie bedeutet Chaos. Die schiere Masse der derzeit verfügbaren Sicherheitsprodukte übersteigen die Möglichkeiten von Unternehmen, sich umfassend darüber zu informieren. Was die Beratung angeht, werden sie von den Sicherheitsspezialisten allein gelassen. Weil man sich aber irgendwie gegen Angriffe schützen muss, wird dann im Do-it-Yourself-Verfahren eine Lösung aufgespielt und diese anschließend sich selbst überlassen.

Cormans Thesen und Aussagen provozierten heftigen Widerspruch der Anbieter, etwa von der US Sicherheitsfirma Cloakware. Man wolle zwar Geld verdienen, rechtfertigte sich das Unternehmen, aber gleichzeitig würden in Zusammenarbeit mit Unternehmenskunden geeignete Sicherheitskonzepte und -Lösungen entwickelt.