Rechnen mit dem Unbekannten
Auch für die beste Sicherheit muss es einen Plan B geben
Klischees und Ausnahmen davon
Rechnen mit dem Unbekannten
Japanische Züge sind unbrauchbar, absolut unbrauchbar. Man schenke dem Klischee von geschmeidigen, eleganten Zügen, die mühelos bei mehreren Hundert Meilen pro Stunde durch die Landschaft gleiten mit dem majestätischen schneebedeckten Fujimama im Hintergrund um Gottes Willen keinen Glauben. In Wirklichkeit sind sie hoffnungslos ineffizient und unzuverlässig.
Das aber ist in der Tat kompletter Unsinn. Ich bin die ganze Inselgruppe der Länge und der Breite nach abgefahren, eingebettet in diese perfekt konstruierten Züge und hatte nur einmal Grund zur Klage, als ein Automat an Bord getrockneten Tintenfisch statt Bier ausspuckte.
Dennoch ist dies genau die Art von bösartigen Bemerkungen ausschließlich der Obszönitäten, die man von dem Mann im Tokioter Omnibus zu hören bekommen könnte, wenn es um das Versagen der Verkehrsinfrastruktur geht, die bei 0,001 Prozent pro Jahr liegt. Denn genau das ist es, was die Leute gern machen. Wir investieren unser Vertrauen in die Technologie und gewöhnen uns daran, uns darauf zu verlassen. Deshalb sind wir geradewegs aus dem Häuschen, wenn sie mal versagt: Wie in Gottes Namen konnte sie es nur wagen, uns ihren Dienst zu versagen? Und dann stehen wir nackt und bloß da, ohne einen Plan, gestrandet auf dem Bahnsteig mit heruntergelassenen Hosen sozusagen.
Auch Software ist menschlich
Rechnen mit dem Unbekannten
Diese Metapher kann man auch auf die Software- programmierung übertragen – ja, es ist wirklich so. Wie Marc Maiffret, Ex-Hacker und Mitbegründer der Sicherheitsfirma eEye mir erzählt hat, braucht es nur vier oder fünf Programmierfehler in 26 Millionen Zeilen Windows-Code und man kann sich darauf einstellen, dass alle vier oder fünf Monate eine wesentliche Bedrohung ausgelöst werden kann.
Im Dezember vorigen Jahres ist das Windows Metafile Monster mit seinem hässlichen Kopf zutage getreten und es wird zweifellos nicht allzu lange dauern, bis wir von einer anderen Bedrohung der Unternehmenskunden hören. Jedes mal, wenn eine Schwachstelle wie diese bekannt wird, kriegen die Entwickler eins auf Dach – wenn nur die Software gut geschrieben und von vornherein sorgfältig getestet worden wäre, hätten wir bei weitem nicht so viele Sicherheitsfehler bei den Anwendungen. Aber es ist unvermeidlich, dass Fehler gemacht werden. Wie gut diese menschlichen Wesen auch immer sind, die die Code-Analyse durchführen – aber auch ihnen können Fehler unterlaufen und automatisierte Tools zum Testen können bislang nur so gut arbeiten wie ihre Entwickler und ihre Nutzer.
Für die IT-Manager heißt das: Wenn auch alle Anwendungen, die auf ihren Netzwerken laufen, auf dem bestmöglichen Niveau abgesichert sind, stellt ein proaktives Herangehen an die Sicherheit noch immer eine Notwendigkeit und nicht nur eine Option dar. Denn jedes Mal, wenn es zu einem Vorfall ähnlich dem des Windows Metafile kommt, sind Opfer zu beklagen: Diejenigen, die dachten, dass ihre Verteidigungsmaßnahmen angemessen sind und die, die es unterlassen haben, eine umfangreiche End-to-End Sicherheit zu installieren.
Für Alles gewappnet sein
Rechnen mit dem Unbekannten
Für viele ist es schwer, hinsichtlich der immer größer werdenden Auswahl an Sicherheitsprodukten auf dem Markt auf dem Laufenden zu bleiben. Wie siebt man den Schrott aus und entlarvt die übertriebenen Behauptungen und übermäßig hochgespielten Eigenschaften, die viele Anbieter ihren Produkten zuschreiben, um an das wirklich gute Zeug heranzukommen?
Das Gütesiegel CCT (CSIA Claims Tested Mark) des britischen, regierungsamtlichen Central Sponsor for Information Assurance, wird von den IT-Käufern sicher als eine Möglichkeit begrüßt, die Spreu vom Weizen zu trennen. In anderen europäischen Ländern gibt es noch kauf vergleichbare Gütesiegel – selbst die ISO-Zertifizierung hat sich oft diesem Aspekt nicht gewidmet. Und vielen Nutzern fehlt einfach noch immer das Wissen, ob das von ihnen gewählte Produkt tatsächlich für ihre spezifischen Bedürfnisse in Sachen Sicherheit geeignet ist.
Wenn nicht bereits geschehen, müssen die IT-Abteilungen jetzt daran gehen, sich sowohl die Ressourcen als auch das Wissen zu verschaffen, um sich im Dschungel der angebotenen Produkte zurecht zu finden und deren Grenzen zu erkennen, damit ihre System so gut wie nur irgend möglich auf das noch Unbekannte vorbereitet sind.