Die „schmutzigen“ Geschäftsgeheimnisse mancher IT-Sicherheitsfirmen
Vor einiger Zeit berichtete das Manager-Magazin über „die geheimen Tricks der Security-Anbieter"[1] und nahm dabei die Geschäftspraktiken der etablierten Anbieter von IT-Sicherheitsprodukten kritisch unter die Lupe. Denn gerade Unternehmen, die die steigenden Kosten der reinen Aufrechterhaltung eines definierten Sicherheitsniveaus ihrer IT-Infrastruktur im Auge behalten, fragen sich zunehmend „Wofür bezahlen wir da eigentlich – Warum muss es überhaupt Schadsoftware geben, für deren Abwehr wir da Schutzgeld löhnen?".
Ein Stück weit ist diese Frage naiv. Schließlich kosten uns als Steuerzahler auch Polizei und Rechtspflege nur deshalb Geld, weil es Menschen gibt, welche einen eher lockeren Umgang mit Recht und Gesetz pflegen. Oder weil rechtliche Probleme so verwickelt sein können, dass die daraus resultierenden Konflikte vor einem Gericht landen. Aber es steckt auch ein wahres Element darin. Viele IT-Sicherheitsrisiken müssten eigentlich gar nicht sein. Und dann würden sich auch die Kosten ihrer Abwehr erübrigen.
Joshua Corman, Chefstratege für IT-Sicherheit bei IBM, hat acht „schmutzige" Geheimnisse der IT-Sicherheitsdienstleister identifiziert und in einem Interview[2] mit der US-Fachblatt CSO thematisiert. Die acht Kritikpunkte lassen sich wie folgt zusammenfassen:
These 1: Anbieter wollen nur Geld verdienen
Aus Sicht eines Softwarehauses, das z.B. Antivirenprogramme entwickelt, ist es nicht erforderlich, der Bedrohung einen Schritt voraus zu sein. Es reicht, wenn man dem Kunden eine Nasenlänge voraus ist. Würden Anbieter nämlich Software-Produkte entwickeln und anbieten, die wirklich schützen, wäre ihr Geschäftsmodell in Gefahr. Genau hier liegt nach Ansicht von Corman die Ursache aller weiteren Übel. Er rät dazu, die Studien, Expertisen und Marketing-Aussagen der Anbieter mit einer gehörigen Portion Skepsis zu lesen.
These 2: Antiviren-Tools nicht zertifiziert
Antiviren-Produkte sind inzwischen recht gut darin, Viren, Trojaner und andere Formen von sich selbst replizierenden Programmcode zu entdecken und unschädlich zu machen. Doch die Formen von Bedrohungen – Rootkits, Bots, Dropper etc. – werden vielfältiger. Und zahlreiche Angriffsarten, wie etwa Social Engineering, Code-Injection oder Phishing zielen auf ganz andere Art und Weise auf die wertvollen Datenschätze der Unternehmen ab. Gegen sie sind viele Antivirenprodukte kaum oder gar nicht wirksam. Zudem gibt es bis heute keinen Standard, gegen den man ein Antivirenprodukt zertifizieren könnte, um generische Aussagen über seine Qualität machen zu können. Entweder man glaubt der Marketing-Abteilung des Herstellers oder nicht.
These 3: Es gibt keine Netzwerksicherheit
Absolute Netzwerksicherheit gibt es nicht. Aber auch bei der relativen Sicherheit eines Firmennetzwerkes hängt sehr viel davon ab, wie es zu Beginn konzeptionell geplant und strukturiert wird. Gerade bei Netzwerken, die zur Realisierung einer mehrstufigen Sicherheitsstrategie eine demilitarisierte Zone (DMZ) enthalten, wird gerne einiges falsch gemacht, so dass deren Perimetersicherheit deutlich schwächer ausfällt als geplant.
Corman rät Unternehmen deshalb, Basis-Perimeter zu definieren und daran die Sicherheitsstrategie auszurichten sowie die passenden Produkte zu kaufen. Ein Schelm, wer dabei an die umfangreiche Netzwerk-Produktpalette von IBM denkt…
These 4: Risiko-Management bedroht Anbieter
Viele Risiken lassen sich durch ein ganzheitliches Risikomanagement im Unternehmen in den Griff bekommen. Risiken kann man dabei grundsätzlich mit Hilfe von sechs Vorgehensweisen begegnen: Vermeidung, Verminderung, Abwälzung auf andere, Eigenfinanzierung, Notfallpläne und Nichtstun. Diese systematische Herangehensweise an Risiken im Bereich der IT-Sicherheit ist dabei jedoch nicht unbedingt im Interesse der Anbieter. Denn sie bieten oft nur ein bestimmtes Produkt (Virenschild, Firewall, Spamfilter …) für ein bestimmtes Problemfeld an. Eine Integration solcher Produkte in eine übergeordnete Strategie erfordert jedoch Know-how, über das viele Unternehmen nicht verfügen und das sie bei den Produkteanbietern auch nicht extern einkaufen können.
These 5: Nur so stark wie das schwächste Glied
Ist die IT-Sicherheit im Unternehmen jedoch eher fragmentarisch und unsystematisch aus diversen Kaufprodukten zusammengesetzt (IT-Fachleute sprechen gerne auch von „historisch gewachsen"), so nimmt die Wahrscheinlichkeit von ausnutzbaren Lücken darin rapide zu. Was den fachlichen Rat nahelegt, die Sicherheit der eigenen IT-Infrastruktur regelmäßig, z.B. durch dynamische Sicherheitstests prüfen zu lassen und die Verbesserungsvorschläge in den Prüfergebnissen zeitnah umzusetzen.
Eine oftmals größere und zudem gern unterschätzte Gefahr geht zudem von unzureichenden Systemkonfigurationen, etwa bei Zugriffsberechtigungen, sowie von Beschäftigten aus. Beispiel: Das beste Passwort zum Schutz des Geheimarchivs ist sinnlos, wenn es als Post-it-Notiz unter der Tastatur klebt. Doch genau in diesen Bereichen versagen die meisten Anbieter. Schließlich verkaufen sie Produkte und bieten keine umfänglichen Beratungsleistungen an.
These 6: Die Compliance-Lüge
Von Land zu Land unterschiedliche regulatorische Vorgaben führen oftmals dazu, dass Unternehmen mehr Geld für Sicherheit ausgeben müssen als sie es normalerweise tun würden. Dazu zählen in Deutschland das Bundesdatenschutzgesetz, das Telekommunikationsgesetz, Auflagen der Sozialversicherungsträger aber auch Auswirkungen von Branchenregulierungen wie EuroSOX oder als Folge von Wirtschaftsskandalen verschärfte Sorgfalts- und Kontrollpflichten des Gesellschaftsrechts.
Oft machen Hersteller von IT-Sicherheitsprodukten es sich einfach und bieten Out-of-the-Box-Lösungen an, die angeblich alle Bereiche und Risiken abdecken und dem Kunden das Nachdenken über komplizierte juristische Zusammenhänge abnehmen sollen. Fragt man dann aber etwas detaillierter nach, gehen den (oft nur oberflächlich geschulten und in juristischen Feinheiten ungeübten) Produktberatern rasch die Argumente aus.
In Wirklichkeit versagen die Lösungen oft, wenn es darum geht, spezifische Anforderungen des Gesetzgebers abzudecken. Die Probleme hat dann der Kunde. Für Softwareprodukte gibt es keine „Straßenverkehrszulassung" wie für Autos, welche diese erfüllen müssen, bevor sie in den Handel kommen.
These 7: Botnetze werden ausgeblendet
Eine nicht mehr ganz neue aber nichtsdestotrotz bedeutende Gefahr für Unternehmen sind Botnetze. In ihnen werden große Zahlen (meist privater) PCs zu einer Art Superrechner zusammengeschaltet und von einem zentralen Rechner („Command & Control-Server) aus gesteuert. Botnetze lassen sich in der Internet-Schattenwirtschaft mieten wie Autos und man kann mit ihnen z.B. Werbemails (Spam), Mailbetrugsversuche (Phishing), schadsoftwareverseuchte Mailanhänge in Millionenstückzahl verschicken oder auch Überlastungsangriffe auf kommerzielle Websites der Konkurrenz (DDos-Attacken) starten.
Dagegen helfen Fertigprodukte der Softwareanbieter für sich betrachtet praktisch gar nicht, überlegte, fachlich fundierte und ordentlich umgesetzte Sicherheitsstrategien in den Unternehmen jedoch durchaus.
These 8: Do it yourself ist keine Lösung
Der Einsatz von Sicherheitstechnologie ohne Überlegung und Strategie bedeutet oftmals teures Chaos. Masse und Vielfalt der derzeit verfügbaren Sicherheitsprodukte übersteigen die Möglichkeiten von Firmen, sich umfassend darüber zu informieren und deren sinnvolle Verwendbarkeit einordnen zu können. Und Produkteanbieter können vielleicht ihr Produkt vor Ort installieren, konfigurieren und den lokalen EDV-Beauftragten einweisen. Sie können jedoch keine produktübergreifende Beratung zur richtigen generellen Vorgehensweise bei der IT-Sicherheit im Unternehmen bieten (und wollen das auch gar nicht).
Weil man sich aber irgendwie gegen Angriffe schützen will, wird dann im Do-it-Yourself-Verfahren irgendeine Lösung aufgespielt und diese anschließend sich selbst überlassen.
Es ist ein Stück weit ähnlich wie bei der (kostenlosen) Produktberatung in einer Bank. Da erfährt man auch nur was die Bank anbietet und welche Eigenschaften die Finanzprodukte haben. Eine vernünftige, produktübergreifende Vermögensberatung kann der Bankangestellte nicht bieten. Das ist Job eines Vermögensberaters, der statt Verkaufsprovisionen Beraterhonorare abrechnet.
Und so macht sich ein weiterer Teilnehmer des IT-Sicherheitsmarktes zunehmend bemerkbar: Der kompetente, in IT-Sicherheits-, Datenschutz- und Compliancefragen bewanderte, unternehmensstrategisch denkende IT-Sicherheitsberater. Wahlweise als Angestellter oder als externer Berater.
[1]: http://www.manager-magazin.de/it/artikel/0,2828,655061,00.html
[2]: http://www.csoonline.com/article/499815/8_Dirty_Secrets_of_the_IT_Security_Industry
Verfasst von Guido Strunck, Betreiber des Fachblogs http://itsicherheit.wordpress.com/, beruflich tätig als IT-Koordinator und Spezialist für Softwarequalität.
Kontakt: http://www.guidostrunck.de/oder per Mail: Guido.Strunck@gmx.net
Keine Kommentare vorhanden