Security-Zwang für Hersteller?
Wird Sicherheit bei den Anbietern je berücksichtigt?

Angriffe, Viren und andere Störfaktoren

Security-Zwang für Hersteller?

In den letzten paar Tagen hatte ich unter zwei der modernen Plagen der Informationstechnologie zu leiden: einen Denial of Service-Angriff gegen meinen E-Mail-Provider und einen Virus, der den Computer meiner Tochter befallen hatte. Beides hat mich einen unersetzlichen Zeitaufwand gekostet.

Zum einen musste ich eine Möglichkeit finden, wichtige E-Mails zu empfangen und zu versenden, während ich mich außer Landes befand, und zum anderen musste ich den Computer meiner Tochter von dem Virus befreien und verbesserte Antiviren-Software installieren.

Es scheint so, dass wir sowohl im Beruf aber auch im sonstigen Leben die Informationssicherheit immer stärker im Hinterkopf haben müssen. Jeder von uns bekommt täglich eine Sturzflut von unerbetenen E-Mails; jeder von uns muss irgendeine Form von Sicherheits-Einrichtungen für das Internet kaufen und pflegen, und jeder von uns muss äußerst wachsam sein, wenn es darum geht, wo und wie unsere Kreditkartendaten im Web verwendet werden.

Analogien zum Autofahren

Security-Zwang für Hersteller?

Natürlich gibt es Analogien zu anderen Lebensbereichen. Autofahrer müssen sich ihres Risikos bewusst sein, und sie reagieren mit entsprechenden Maßnahmen. Diese reichen von der simplen Einsicht, Sicherheitsgurte anzulegen bis hin zu der permanenten Anforderung, sich aufmerksam und umsichtig im Straßenverkehr zu verhalten. Und es ist ganz klar – Unfälle passieren trotzdem.

Aber es gibt auch Dinge, die für die Informationssicherheit getan werden können, um die Wachsamkeit der Nutzer zu unterstützen – in gleicher Weise wie Airbags und Knautschzonen dies für den aufmerksamen Fahrer tun. Betriebssysteme können besser konfiguriert werden, damit die Voreinstellungen eben eher sicher als unsicher sind. Auch Webserver können besser konfiguriert werden, wie auch die E-Mail-Server. Eine Verbesserung der Infrastruktur kann ebenfalls erreicht werden, wenn die Hersteller der Server-Software davon überzeugt werden können, dass dies in ihrem ureigensten Interesse liegt – wie auch die Autohersteller überzeugt wurden, Airbags und Knautschzonen einzurichten.

Wodurch wurden die Veränderungen bei der Auto-Industrie hervorgerufen? Bis zu einem gewissen Grad gab es hierfür staatliche Vorschriften. Aber in viel stärkerem Ausmaß waren die Versicherungsgesellschaften der Auslöser, die es einfach leid waren, Zahlungen für vermeidbare verletzungsbedingte Ansprüche zu leisten.

Versicherungen sind nötig!

Security-Zwang für Hersteller?

Wie könnte dieses Modell auf die IT-Industrie übertragen werden? Nun, wenn Webseiten und Service Provider gegen Verlust versichert werden müssten – und aus diesem Grunde Zwischenfälle melden müssten, sie außerdem gezwungen würden, Optimierungen durchzuführen und Nutzer für Verluste zu entschädigen – dann gäbe es einen Druck, Verbesserungen vorzunehmen. Natürlich ist so etwas nicht global realisierbar: Es wird immer Webseiten geben, die aus der Normalität einer geregelten Umgebung herausfallen. Aber für diejenigen unter uns, die nur auf “normale” Webseiten in gut überwachten und sicheren Ländern zugreifen, wäre dies schon eine große Hilfe.

Wir sind alle dermaßen abhängig von diesen Webseiten und der Infrastruktur, auf der sie beruhen, dass uns wirklich ein besserer Schutz zusteht. Wir sollten alle selbst die Entscheidung treffen, welchen Grad an Informationssicherheit wir benötigen und von den Verantwortlichen verlangen, dass sie diesen Forderungen auch nachkommen.

Dann wird sich meine Tochter hoffentlich keinen Virus mehr von einer Webseite einfangen und ich werde mit einem kontinuierlichen E-Mail-Service rechnen können. Und ich kann mich dann darauf konzentrieren, das Geld zu verdienen, mit dem ich solche Sachen bezahlen kann.