Wo Licht ist, ist auch Schatten…

von Raimund Genes, Chief Technology Officer

„Das Unbekannte“ flößt uns Angst ein. Der Grund dafür liegt auf der Hand: Wir wollen unser Leben, unser Schicksal gerne kontrollieren, sei es unsere Karriere, unsere finanzielle Zukunft oder auch „nur“ den nächsten Urlaub. Die Gewissheit, unser Leben unter Kontrolle zu haben, ist ein grundlegendes Bedürfnis der menschlichen Psyche. Sie beruhigt uns.

Wenden wir uns allerdings der technischen Innovation zu, so können wir in den seltensten Fällen voraussehen, was uns als nächstes erwartet oder wie eine Technologie unser Leben oder den Alltag beeinflussen wird. Technologie ist und bleibt voller Überraschungen. Natürlich haben wir alle eine grobe Vorstellung davon, was uns in näherer Zukunft erwarten wird. Und sei es auch nur, weil wir als Konsumenten in gewisser Weise die Entwicklungsrichtungen durch unsere Kaufentscheidungen mit beeinflussen. Aber letztendlich „wissen“ können wir es nicht.

Leider zeigt sich dieser fehlende direkte Einfluss auch darin, wie Hersteller ihre Produkte entwickeln. In den meisten Fällen ist Sicherheit nur Beiwerk und auf der Prioritätsliste ganz unten. Man lässt die Öffentlichkeit über die genaue Funktionsweise, die Implementierung oder den Umgang mit Daten (bewusst?) im Dunkeln. Nur wenn wir als Konsumenten unsere Vorstellungen und Ansprüche an Sicherheit auch klar aussprechen, haben wir eine Chance, uns in Zukunft nicht bei jedem neuen Produkt oder Dienst Sorgen um mögliche Lücken oder Hintertüren machen zu müssen.

Die Schattenseite der Information?

Was passiert, wenn wir dies nicht tun, lässt sich derzeit gut an den immer zahlreicher werdenden Berichten über Sicherheitslücken und darauf aufbauende Angriffe sehen. Natürlich ist einigen bei der öffentlichen Nennung von Details zu solchen Lücken unwohl. Immerhin kann man diese Berichte auch als Blaupause für Angriffe interpretieren. Die Auswirkungen dieser Lücken können dabei ganz unterschiedlich sein. Im geschäftlichen Umfeld können sie eine ganze Bandbreite an Risiken mit sich bringen – angefangen bei einer kurzzeitigen Unterbrechung des Netzzugangs bis hin zum Abfluss großer Datenmengen. Diese abgeflossenen Daten können die Reputation des Unternehmens gefährden, das Vertrauen der Kunden untergraben oder – im schlimmsten Fall – zum Verlust der Gesprächsgrundlage führen.

Die Frage, ob veröffentlichte Informationen über Sicherheitslücken Cyberkriminelle erst zum Angriff „motivieren“, ist angesichts des möglichen Schadens also durchaus gerechtfertigt. Manche gehen sogar so weit zu sagen, dass diese Informationen es den Cyberkriminellen überhaupt erst ermöglichen, ihre Beutezüge durchzuführen. Dennoch lässt sich die Frage weder mit einem klaren „Ja“ noch einem klaren „Nein“ beantworten.

„Ja“, denn immerhin werden auch Cyberkriminelle durch die Veröffentlichung auf mögliche Schwachstellen aufmerksam.

„Nein“, denn wir dürfen nicht den Fehler machen und Cyberkriminelle unterschätzen. Diese suchen auch ohne entsprechende Meldungen aktiv nach Lücken. Es gibt im Untergrund ganze Gruppierungen, deren Geschäftsmodell darin besteht, Sicherheitslücken zu finden und an den Meistbietenden zu verkaufen. Diese Gruppierungen nutzen die gefundenen Lücken gar nicht selbst aus – dies überlassen sie ihren Käufern. Die Veröffentlichung von Sicherheitslücken stellt also vielmehr eine Information für die Öffentlichkeit als für Cyberkriminelle dar. Wie wir in der Vergangenheit lernen mussten, sind Lücken, die vermeintlich „brandneu“ veröffentlicht wurden, häufig im Untergrund schon lange bekannt und auch aktiv ausgenutzt worden.

Mehr Licht ins Dunkel bringen

Wir sollten solche Berichte daher als die positiven Informationen sehen, die sie letztendlich sind. Wenn Lücken oder Verwundbarkeiten bekannt werden, haben die Hersteller oder Anbieter von Software bzw. Diensten auch die Möglichkeit, diese schnellstmöglich zu adressieren. Hinzu kommt, dass Sicherheitshersteller Lösungen bereitstellen können, die diese Lücken schließen. Sei es als temporäre Lösung, bis die Software oder der Dienst gepatcht wurde, oder auch als dauerhafte Lösung, falls aufgrund von fehlendem Support keine Patches mehr veröffentlicht werden können.

Wie so oft im Leben können wir uns die aktuelle Situation nicht aussuchen – wir müssen allerdings versuchen, das Beste daraus zu machen. Mit der sich immer weiter ausbreitenden Technologie im täglichen Leben sind auch Straftaten durch Cyberkriminelle eine Tatsache geworden, mit der wir umzugehen in der Lage sein müssen. Wir müssen unsere Aufmerksamkeit in diesem Bereich weiter schärfen und auf der Hut sein. Genauso wichtig ist es aber auch, Sicherheitsforschern die Möglichkeiten und Mittel zu geben, die ihnen dabei helfen, aktuelle Gefahren erkennen und analysieren zu können. Dies umfasst natürlich auch (Sicherheits-)Hersteller, die dieses Wissen dazu nutzen können, Produkte und Dienste sicherer zu gestalten. Lassen Sie uns Informationen zu Sicherheitslücken effizient nutzen und das Beste daraus machen: sie gegen die Cyberkriminellen verwenden, die es auf unsere Privatsphäre und unsere Geldbörse abgesehen haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.