Lassen sich digitale Sicherheitslücken in Zukunft vermeiden?

Unsere Daten sind bei immer mehr Unternehmen verteilt untergebracht, wodurch auch die Gefahr durch potenzielle Sicherheitslücken steigt. Aber lassen sich derartige Pannen eigentlich verhindern? // von Daniel Kuhn

Security (Bild: pixelcreatures [CC0 Public Domain], via pixabay)

Es ist noch gar nicht lange her, da sind eine Menge Bilder, auch unbekleideter Natur, von iCloud-Profilen Prominenter geleakt worden. Dies war zwar das medial größte Datenleck des vergangenen Jahres, aber bei weitem nicht das einzige oder das schwerwiegendste. Die Sicherheitsrisiken nehmen stetig zu, während sich viele Unternehmen des Ausmaßes der Gefahr oftmals gar nicht bewusst sind. Dabei geraten immer mehr sichergeglaubte Nutzerdaten an die Öffentlichkeit oder gar in kriminelle Hände. Darüber, ob und wenn ja, wie derartige Datenpannen verhindert werden können, gibt es unterschiedliche Ansichten.


Warum ist das wichtig? Unsere teilweise sensiblen Daten sind bei immer mehr Unternehmen untergebracht, was auch die Gefahr erhöht, dass diese durch eine Sicherheitslücke in die falschen Hände geraten. Doch sind diese Szenarien in Zukunft überhaupt zu vermeiden?

  • Rund 90 Prozent der Sicherheitslücken in der ersten Hälfte 2014 hätten verhindert werden können, wenn Unternehmen grundlegende Sicherheitsvorkehrungen getroffen und befolgt hätten.

  • Unternehmen müssen zudem massiv in Bildung investieren, um sicherzustellen, dass der Nachwuchs gut ausgebildet wird.

  • Der Mensch als fehlbares Wesen bleibt allerdings der Faktor, der ein absolut sicheres System wohl immer Utopie bleiben lässt.


Das Problem

Ständig liest man an allen Stellen von neu aufgetauchten Sicherheitslücken, Datenpannen durch die nicht nur Daten von Millionen Nutzern in Gefahr sind, sondern oftmals sogar an die Öffentlichkeit gelangen. Die Meldungen über derartige Situationen haben sich in der letzten Zeit immer stärker gehäuft, so dass es für den Nutzer schon lange nicht mehr möglich ist, einen Überblick über alle Risiken zu haben und realistisch einzuschätzen, ob diese Meldung ein unmittelbares Handeln von Nutzerseite erfordert. Als Reaktion darauf stecken die meisten den Kopf in den Sand und hoffen, dass die Gefahr an einem vorbeigeht und dass die ganzen Unternehmen, die Daten über einen besitzen, diese auch entsprechend gut schützen.

Für Unternehmen ist es heute allerdings auch sehr schwer geworden, im Bezug auf IT-Sicherheit auf dem neuesten Stand zu sein. Die Bedrohungen nehmen nicht nur an Menge und Komplexität zu, sondern auch vom Ausmaß des Schadens, der durch sie entstehen kann. Zum Glück stecken die wenigsten, ähnlich wie die Nutzer, den Kopf in den Sand, aber es erscheint dennoch wie der berühmte Kampf gegen Windmühlen. Aussichtslos? Die einen sagen ja, die anderen nein. Die Situation wird nicht gerade dadurch erleichtert, dass die Sicherheitslücken einerseits durch Angriffe von außen entstehen, oftmals, wenn nicht sogar öfter, aber sogar durch interne Fehler.


Pablos Holman erklärt auf der TEDxMidwest, wie Hacker verwundbare Sicherheitssysteme angreifen:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden


Die Lösung(en)?

Es gibt mehrere Ansätze, wie man die Sicherheitsproblematik in den Griff kriegen könnte. Zum einen müssen Unternehmen sich für deutlich stärkere interne Sicherheitsstandards stark machen. Wie eine Analyse der Non-Profit-Organisation Online Trust Association (OTA) ergeben hat, hätten 90 Prozent aller Sicherheitslücken der ersten Jahreshälfte 2014 vermieden werden können. Dazu hat die OTA eine Reihe von Richtlinien erstellt, die von effektiven Passwort-Management-Regeln, über den am niedrigsten privilegieren Nutzerzugang bis hin zu einem Notfallplan, der regelmäßig überprüft und aktualisiert wird, reichen. Diesen Aufwand sollte es Unternehmen eigentlich wert sein, wenn dadurch die Gefahr deutlich minimiert werden kann. Doch mit ein wenig Abstand betrachtet, löst dies das Problem nur bedingt, denn es fehlt vor allem an einem: an fähigen Fachkräften.

Es ist daher wichtig, dass die Big Player ihr verdientes Vermögen sinnvoll einsetzen. Eine Möglichkeit ist, in die Bildung zu investieren. Wenn talentierte Schüler und Studenten gefördert werden ihre Ausbildung zu beenden und nicht bei dem ersten großen Angebot aus der Wirtschaft den Bildungsweg verlassen.

Aber nicht nur die Bildung ist ein Bereich, der noch stärker finanziell unterstützt werden muss. Auch Open-Source-Projekte brauchen Unterstützung, wie der Heartbleed-Bug gezeigt hat. Nachdem die Sicherheitslücke und der Grund – der Ressourcenmangel bei OpenSSL – bekannt wurden, haben die großen Tech-Unternehmen schnell reagiert und die Core Infrastructure Initiative ins Leben gerufen. Diese Initiative soll essentielle Open-Source-Projekte finanziell und personell unterstützen und fördern, um sicherzustellen, dass derartige Probleme nicht mehr auftreten.

Es wäre zudem sehr förderlich, wenn mehr Software unter Open-Source-Lizenz gestellt und der Quellcode veröffentlicht würde, denn erst so ist es möglich, dass die Community mit Reviews auf die Suche nach Sicherheitslücken geht. Das alles ist zwar schön und auf lange Sicht könnte eine strikte Umsetzung auch zu einer deutlichen Minimierung der Sicherheitslücken führen, wenn da nicht noch der Faktor Mensch wäre. Niemand ist unfehlbar und deshalb ist auch eine fehlerfreie Software nicht möglich, heißt es so schön. Von daher ist es tatsächlich sehr fragwürdig, ob wir jemals in einer absolut sicheren IT-Welt leben werden.


Teaser & Image by pixelcreatures (CC0 Public Domain)


ist Wahl-Berliner mit Leib und Seele und arbeitet von dort aus seit 2010 als Tech-Redakteur. Anfangs noch vollkommen Googles Android OS verfallen, geht der Quereinsteiger und notorische Autodidakt immer stärker den Fragen nach, was wir mit den schicken Mobile-Geräten warum anstellen und wie sicher unsere Daten eigentlich sind. Mitglied des Netzpiloten Blogger Networks.


Artikel per E-Mail verschicken
Schlagwörter: , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert