Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)

anfällig die Systeme sind, sieht man an der Zahl der Nachbesserungen, die jeden Monat herausgegeben werden.
    In der Welt der IT gibt es Hotfixes oder Patches (von engl.
to fix
= reparieren oder engl.
to patch
= flicken). Das sind meist kleine Programme, die eingespielt werden, um ein Problem zu beheben. Mittlerweile vergehen kaum Tage, an denen nicht irgendein Patch an Kunden verteilt wird oder Probleme schnell gefixt werden müssen, so komplex und unübersichtlich sind Programme inzwischen geworden. Das Gravierendste – wir tolerieren diesen Umstand. Man kauft ein Stück Hardware, beispielsweise einen neuen Computer, stellt ihn zu Hause auf und ist gezwungen, zunächst mehrere GB -Daten aus dem Internet zu laden, um vorhandene Sicherheitslücken zu stopfen. Wie bei Mensch-ärgere-Dich-nicht ist jedes Gerät, das ins Spiel kommt, gefährdet. Diese Fehlertoleranz gestatten wir ausschließlich der IT -Industrie. Nebenbei bemerkt ist auch Software so ziemlich das Einzige, was ohne Produkthaftung verkauft wird.
    Nach dem Patch ist vor dem Patch. Sepp Herberger, wäre er denn Computerexperte gewesen, hätte sicher seine helle Freude an diesem Umstand gehabt. Im Umkehrschluss bedeutet das aber auch, dass Computersysteme nicht nur zum Zeitpunkt der Auslieferung unsicher sind, sondern es bleiben, weil sie zu komplex sind. Flickschusterei ist eigentlich ein Schimpfwort, trifft es hinsichtlich der Sicherheit allerdings ziemlich genau, denn nur nach und nach werden erkannte Sicherheitslücken gestopft. Kostenlose Updates oder den Funktionsumfang erhöhende Serviceleistungen nennen es manche Hersteller, in Wahrheit aber sind Programme löchrig wie ein Schweizer Käse. Diese Tatsache trifft alle Anwender gleichermaßen. Behörden wie Unternehmen, staatliche Betreiber von IT -Strukturen genauso wie Privatanwender. Patchwork als gesellschaftliches Problem einmal ganz anders betrachtet.
    Neben den Programmen übersteigt häufig auch die Infrastruktur der Unternehmen die Grenze der Übersichtlichkeit. Der Sicherheitsexperte der EU , der hinter vorgehaltener Hand von
«too big to be protected»
gesprochen hatte, resignierte im Grunde genau vor der zu hohen Komplexität. Als im Frühjahr 2012 ein Konzern mit einem der größten IT -Vorfälle der Firmengeschichte zur Spionageabwehr des Verfassungsschutzes kam, teilte mir der dortige Informationstechnik-Chef mit, man könne das infizierte Teilnetz nicht abschalten, weil man nicht wisse, was dann geschehen würde. Einen eventuellen Ausfall der Produktion könne man auf keinen Fall riskieren. Auch
«too big to be protected»
? Ist gar die gesamte Gesellschaft schon zu vernetzt und damit
«too big to be protected»
?
    Bei großen Unternehmen handelt es sich häufig um über Jahrzehnte gewachsene IT -Strukturen oder um einen bunten Strauß hinzugekaufter Einzelfirmen, in denen jeweils eigene IT -Fürsten «regieren». Jeder Betrieb mit einer eigenen IT -Infrastruktur und unterschiedlicher Softwareausstattung. Hinzu kommen neue gesellschaftliche Entwicklungen wie die Nutzung privater IT am Arbeitsplatz (Bring Your Own Device; BYOD ) oder der Wunsch von Chefs, neue Produkte wie iPads oder Smartphones unbedingt nutzen zu wollen, obwohl sie nur mangelhaft in die bestehenden Strukturen integriert werden können. Dank günstiger Adapter vom IT -Discounter werden Geräte für 69  Euro an das Internet angeschlossen und miteinander vernetzt, die nie dafür gedacht waren. Dass das an sich schon ein Sicherheitsproblem darstellt, möchte ich gar nicht weiter betonen. Insgesamt führt dies aber zu einer äußerst komplexen IT -Infrastruktur mit diversen Verantwortlichkeiten und unterschiedlichsten Geräten. Was wiederum der blanke Horror für ein ganzheitliches Sicherheitskonzept ist. Konzernweites Konsolidieren und Ausrollen einheitlicher Produkte ist zeit- und kostenintensiv. Hier haben kleinere Firmen einen eindeutigen Vorteil.
    Neben den Produkten und der Infrastruktur ist es die Datenhaltung selbst, die im Unterschied zu vergangenen Zeiten sehr viel unübersichtlicher geworden ist. Da Daten rasch kopiert, per E-Mail verschickt und an allen Orten der Welt ausgedruckt werden können, ist es schwierig, eine Übersicht darüber zu behalten, wo sich welche gerade befinden. Ihren Fluss zu beobachten ist schier unmöglich. Daten sind inzwischen mindestens ebenso mobil wie Mitarbeiter geworden.
    Im Sommer 2012 traf ich mich mit dem Verantwortlichen für IT -Sicherheitsmanagement eines Automobilkonzerns