Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)

überleben, weil die Innovationskraft der Fachchinesen ausreicht, um den Laden trotzdem am Laufen zu halten. Aber soziale Netzwerke sind ein aktuelles Thema, über das jeder spricht und das jeder zweite nutzt – und trotzdem weiß jedes dritte Vorstandsmitglied darüber so gut wie nichts?
    Noch nie lagen Kompetenz und Verantwortung so weit auseinander.
    Das Problem ist offensichtlich. Obwohl wir das Internet erfunden haben, werden wir selbst Opfer der totalen Vernetzung und mit neuen Technologien überrannt. Doch wie viele Arbeitskräfte, die eine Technologie nicht verstehen, verträgt eine Gesellschaft? Eine gemeinsame Wissensgrundlage zwischen Berufsanfängern und den alten Hasen gibt es heute nicht mehr. Im Gegenteil: Noch nie war der Altersunterschied zwischen Wissens- und Entscheidungsträgern größer als heute. Denn die aktuelle Situation ist, dass die Unwissenden entscheiden. Das gilt für die Politik, für Unternehmen und setzt sich fort bis zur Kindererziehung im privaten Bereich.
    Bei der alle gesellschaftlichen Bereiche durchdringenden Vernetzung und Verwendung von Computern ist ein Mindestmaß an Kompetenz zwingend erforderlich, um richtig handeln zu können. Im Gegensatz zu den Opfern sind die Angreifer nämlich meist extrem kompetent, zumindest im Vergleich.
    An Verantwortlichkeit mangelt es aber auch hier: Zum Ärger vieler IT -Sicherheitsspezialisten reagieren Softwarehersteller oft überhaupt nicht auf einen Hinweis auf einen Fehler in ihrem System. Oder die Hersteller erklären, dass die beschriebene Konstellation nicht existieren würde beziehungsweise einfach zu umgehen sei. Mit der Folge, dass die Lücke nicht repariert wird. Viele Administratoren ärgerte das derart, dass sie anfingen, Sicherheitslücken zu veröffentlichen, um den nötigen Druck zu erzeugen, damit Hersteller letztlich doch die Fehler behoben. Mittlerweile bieten zwar einige Anbieter von Soft- und Hardware Geld und Anerkennung für erkannte Sicherheitslücken, andere aber lassen Schlupflöcher nach wie vor monatelang weiterbestehen.
    Gunnar Porada, Geschäftsführer einer Schweizer IT -Sicherheitsfirma, berichtete mir von dem Hersteller einer Web Application Firewall ( WAF ). Monatelang versuchte Porada sowohl aufseiten der Produzenten als auch bei den Kunden das Bewusstsein für eine kritische Sicherheitslücke zu schärfen – ohne Erfolg. Betroffen waren in mehreren deutschsprachigen Ländern neben verschiedenen Banken und Rüstungskonzernen auch Behörden, die Steuerdaten von Bürgern speichern und verarbeiten. Über die Sicherheitslücke konnte die Schutzfunktion der WAF umgangen werden – und das ermöglichte den Zugang zu sensiblen Daten. Die Mehrheit der angesprochenen Kunden ignorierte das Problem komplett. Einige verwiesen auf den Hersteller; der Hersteller wiederum verlangte einen kostenlosen Beweis. Doch selbst nach einem Video, auf dem zu sehen war, wie die Lücke ausgenutzt wird, geschah nichts. Erst nach zwei Jahren hatte der Hersteller endlich die Lücke selbst gefunden und geschlossen. Bis dahin waren die Kunden der WAF einem sehr hohen und vor allem unnötigen Risiko ausgesetzt.
    Ein anderes großes Problem ist, dass Untergrundforen extrem hohe Summen für diese Sicherheitslücken bezahlen. IT -Spezialisten, die im Grunde für die gute Seite arbeiten wollen, werden, durch die Ignoranz der Opfer frustriert, auf die dunkle Seite des Internets gelockt.

13 Ausspähung? Nein danke!
    Edward Snowdens Enthüllungen erweckten den Anschein, als stünde man dem Szenario grenzenloser Ausspähung hoffnungslos gegenüber. Ganz so ist es nicht. Aber: Die breite Debatte über IT -Sicherheit war längst überfällig gewesen. Notwendigerweise muss man dabei zwischen ausgespähten Daten und gehackten Computern unterscheiden. Eine Regel, die in der gesamten Diskussion um die Abhöraffäre der NSA viel zu wenig beachtet wird. Es macht durchaus einen Unterschied, ob Kommunikation und Daten auf ihrem Transportweg abgefischt werden, oder Geräte und Server gehackt werden, um an die entsprechenden Informationen zu gelangen. Dennoch kann man gegen beides etwas tun. In privater Hinsicht ebenso wie in unternehmerischer, aber auch durch politische Entscheidungen.
    Private Nutzer können, wie gesagt, am meisten mit dem Einspielen aktueller Sicherheitsupdates bewirken. Ist das System nicht auf dem neuesten Stand, ist das perfekt für Angreifer. Warum anstrengend ein Fenster aushebeln, wenn die Tür sperrangelweit offen steht?
    Im