Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)

und Kunden erwerben unsichere Geräte, die dann nachträglich – mit enormem Aufwand – sicher gemacht werden müssen. Milliarden Geräte werden letztlich miteinander vernetzt, um im Anschluss andere Geräte zu installieren, die die Netzwerksicherheit erhöhen. Dieser Fehler im System vereinfacht die Sache für die Angreifer enorm.
     
    Sicherheit wird auch deshalb kleingeschrieben, weil sie in erster Linie einen Kostenfaktor darstellt. Sie ist nicht unmittelbarer Bestandteil der Wertschöpfungskette. Denjenigen, die für die Budgets verantwortlich sind, ist es schwer zu vermitteln, dass Investitionen in IT -Sicherheit um 30  Prozent steigen müssten, obwohl im Vorjahr doch gar nichts Schlimmes passiert ist. Spätestens in Zeiten konjunktureller Abwärtstrends wird von den IT -Abteilungen verlangt, dass IT -Sicherheit auch mit der Hälfte des Geldes zu funktionieren hat. Ein Dilemma, denn gerade in Phasen hohen Wettbewerbs steigen die Angriffe auf das Firmen-Know-how, auf Kunden- und Finanzdaten, auf Preislisten und Strategien. Die Gelder für IT -Sicherheit sollten also gerade in schlechten Zeiten besser nicht gekürzt werden.
    Kostengetriebene Entscheidungen spielten auch im folgenden Beispiel die Hauptrolle. Betroffen waren Nachtsichtgeräte, Raketenabwehr, Transportflugzeuge, Hubschrauber, Panzer und Artillerie des US -Militärs. Nach einem Bericht des amerikanischen Senats im Mai 2012 ermittelten Fahnder in rund 1800 Fällen, in denen minderwertige Chips aus China in Militärgeräten verbaut wurden. Der eigentliche Skandal bestand aber darin, dass die Billigchips in Originalgehäusen montiert worden waren. Na gut, könnte man denken, passiert eben, wenn man das billigste Produkt aussucht.
    Unternehmen setzen sowohl bei Zulieferern als auch bei Computerausstattern häufig auf den günstigsten Anbieter. So entstehen zum Teil erhebliche Sicherheitslücken. Bei manchen Unternehmen, insbesondere bei staatlichen Stellen, gibt es sogar Richtlinien, die eine Vergabe an den günstigsten Anbieter zwingend vorschreiben.
    Zähneknirschend nehmen Firmen dennoch Geld für Sicherheit in die Hand. Zwar verkaufen sie nicht ein Produkt mehr, weil man einen Zaun um das jeweilige Gelände gebaut hat, aber darauf verzichten will auch niemand. Ähnliches gilt für die IT -Sicherheit. Allerdings sind Unternehmen in aller Regel noch weit davon entfernt, Sicherheit als zusätzliches Unternehmensziel zu definieren und in die jährlichen Zielvereinbarungen zu integrieren. Mit dem Rüstungs-, Luft- und Raumfahrtkonzern EADS ist mir nur ein Betrieb bekannt, der einen entsprechenden Aufwand betreibt.
    Zu guter Letzt öffnen schlechte Umsetzungen bestehender Lösungen den Angreifern häufig die Tore in die Computersysteme. Das fängt mit Kennwörtern und Sicherheitsabfragen an, geht weiter über den Einsatz ungeeigneter Geräte und endet bei Konfigurationen von Sicherheitsprodukten.
    Ein Beispiel, wie falsch eingesetzte Geräte zu Sicherheitsrisiken führen, lieferte das US -Marinekorps, das vor einiger Zeit damit begonnen hatte, Helikopter mit iPads auszustatten. Die Piloten waren begeistert. Endlich mussten sie nicht mehr kiloschweres Kartenmaterial in die Hubschrauber schleppen, sondern hatten plötzlich alles auf ihren iPads parat. Im
Spiegel
hieß es dazu: «Inzwischen hat der 3 rd Aircraft Wing des Marinekorps  32 iPads für Helikopter der Typen Bell UH - 1 und AH - 1 ‹Cobra› sowie für F- 18 -Kampfjets beschafft. Kostenpunkt: 20 000 Dollar, ein verschwindend kleiner Betrag im US -Militäretat.» [22]
    Doch Sicherheitsexperten schüttelten nur mit dem Kopf. Das iPad war ihrer Meinung nach für Stadtmenschen gemacht und nicht für den Kriegseinsatz. Christopher Soghoian vom Center for Applied Cybersecurity Research an der Indiana University sprach sogar von einer «drohenden Katastrophe», sollte das Militär Tablets und Smartphones auf breiter Front einsetzen. «Es erscheint verrückt, eine Plattform zu benutzen, die Tausende Menschen zu knacken versuchen», sagte Soghoian der
Los Angeles Times
. Das Speichern von Daten auf Smartphones werde unweigerlich dazu führen, dass der Feind am Ende genau wisse, wo sich welche Truppen befinden. [23]
     
    Bei den schlechten Umsetzungen bestehender Lösungen führen mangelhafte Kennwörter und Sicherheitsabfragen allerdings unangefochten die Liste der Top-Ten an. Hacker benötigen zum Teil weder ausgebuffte Tricks noch ausgefeilte Werkzeuge, oft müssen sie nur richtig raten, um zum