Fehlende Security in neuen Produkten
Software lässt Nutzer einfach im Regen stehen

Security-Strategien von Regierungen versagen

Fehlende Security in neuen Produkten

Anlässlich der Veröffentlichung der jährlichen Top-20 Liste mit den häufigsten Schwachstellen, die von dem Sicherheits- experten SANS Institute herausgegeben wird, sagte dessen Chef, Allen Palmer, dass die Sicherheitsstrategie der amerikanischen Regierung für den Computerbereich “vollständig versagt” hat, weil den Anbietern freie Hand gegeben war, diese Debatte zu dominieren.

“Wir sind in einer Situation, wo wir uns auf den guten Willen der Software-Anbieter verlassen, um die Sicherheit von Nationen zu gewährleisten aber die Anbieter sind noch anderem Druck ausgesetzt, der über den Wunsch, die Sicherheit zu gewährleisten, hinausgeht”, meinte er. Die Verantwortung, für die Sicherheit zu sorgen, fällt größtenteils den Endnutzern zu, aber das ist keine machbare Lösung für “Omas und acht- bis zehnjährige Kids”, die heutzutage die Anwender von Computern sind. Und damit erhöht sich die Zahl der Angriffe auf das Internet, fügte Paller hinzu.

“Wenn Sie wollen, dass 200 Millionen Menschen auf der sicheren Seite sind, dann fordern Sie sie nicht auf, sich selbst zu schützen, sondern erledigen das für sie – es ist für die Anbieter einfacher, Sicherheit in der Aufbauphase des Produkts zu entwickeln als für die Nutzer, die Sicherheitseinrichtungen im Nachhinein hinzuzufügen”.

Security steht am Anfang der Entwicklung

Fehlende Security in neuen Produkten

Auf der gleichen Veranstaltung verwies Rohit Dhamankar, leitender Sicherheitsarchitekt beim Sicherheitsspezialisten TippingPoint darauf, dass aufgrund des “höheren Wissenstandes der Leute” bei der Absicherung von Servern, die Hacker ihre Anstrengungen jetzt auf Desktop-Anwendungen und Netzwerkprodukte richten. Dhamakar meinte, dass weit verbreitete Backup-Software sowie Router und Switche von namhaften Anbietern wie Cisco, Symantec und CA gefährdet sind. “Bei den Backup-Anwendungen besteht nicht nur die Gefahr, dass die Daten gestohlen werden. Es kann auch die Kontrolle über den Backup-Server gewonnen werden, was den Hackern ermöglicht, festen Fuß im Netzwerk zu fassen”, sagte er.

Dhamakar fügte hinzu: “Einige Schwachstellen sind sehr simple Fehler, die hätten vermieden werden können, wenn die Anbieter bei der Software ein paar einfache Sicherheitstests vorgenommen hätten”.

Sicherheit muss also am Anfang der Produktentwicklung berücksichtigt werden. Zu wenige Software-Hersteller tun dies auch. Kein Wunder: Für mehr Umsatz braucht es neue Versionen und damit auch neue Features. Der Anwender denkt nicht daran, dass Security auch ein Feature ist und bekommt es im Nachhinein als Patch.