IT-Sicherheit Die geheimen Tricks der Security-Anbieter

Anbietern von Sicherheitssoftware sind die Anforderungen ihrer Kunden egal. Sie wollen mit Sicherheitslösungen und den dazugehörigen Dienstleistungen lediglich viel Geld verdienen. Joshua Corman, Chefstratege für IT-Sicherheit bei IBM, hat acht "schmutzige" Geheimnisse der Softwareunternehmen ausgemacht.
Von Andreas Schaffry

Jeden Tag entsteht Unternehmen durch Malware- oder Phishing-Attacken sowie den Klau sensibler Daten ein hoher finanzieller Schaden. Einen effektiver Schutz vor diesen Angriffen gibt es nicht, weil die Sicherheitsanbieter kein Interesse daran haben.

Acht "schmutzige" Geheimnisse hat Joshua Corman, Chef-Strategen des Bereichs Internetsicherheit bei IBM, dem US-Fachblatt CSO anvertraut. Welche das sind, lesen Sie auf den folgenden Seiten:

Anbieter wollen nur Geld verdienen

Geheimnis 1: Anbieter wollen nur Geld verdienen

BU Laut Corman ist das Kernproblem aller Anbieter von Sicherheits-Software, dass diese mit ihren Produkten nur Geld verdienen wollen. Zwangsläufig leidet darunter die Sicherheit der Kunden. Würden Anbieter nämlich Software-Produkte entwickeln und anbieten, die wirklich schützen, wäre ihr Geschäftsmodell in Gefahr. Genau hier liegt nach Ansicht des IT-Sicherheits-Experten die Ursache aller weiteren Übel. Deshalb verbreiten Sicherheitsanbieter zahlreiche Märchen und Lügen.

Geheimnis 2: Antiviren-Tools nicht zertifiziert

Antivirensoftware erkennt zwar Malware, die sich repliziert, wie etwa Würmer, aber keine die sich nicht repliziert, wie beispielsweise Trojaner. Laut Corman ist nicht-replizierende Malware in 80 Prozent der Fälle für Sicherheitsverletzungen in Unternehmen verantwortlich. Zudem gibt es bösartige Codes in Form von Trojanern schon seit langem. Dennoch haben es Anbieter bisher versäumt, ihre Antiviren-Tools entsprechend zu zertifizieren. Lieber lullen sie ihre Unternehmenskunden ein und wiegen sie in falscher Sicherheit.

Es gibt keine Netzwerksicherheit

Geheimnis 3: Es gibt keine Netzwerksicherheit

Wer daran glaubt, dass es vollständige Netzwerksicherheit gibt, der glaubt auch an den Weihnachtsmann. Zwar gibt es Netzwerksicherheit, etwa in Form von demilitarisierten Zonen (DMZ = Demilitarized Zone), doch häufig werden die hierfür nötigen Perimeter, das heißt wo die Sicherheit beginnt und wo sie endet, nicht klar definiert. Dadurch laufen Sicherheitsmaßnahmen ins Leere.

Corman rät Unternehmen deshalb, Basis-Perimeter zu definieren und daran die Sicherheitsstrategie auszurichten sowie die passenden Produkte zu kaufen.

Geheimnis 4: Risiko-Management bedroht Anbieter

Ein effizientes Risiko-Management unterstützt Firmen dabei, ihr Geschäft und die damit verbundenen Sicherheitsrisiken zu verstehen und ihre Schutzmaßnahmen zu ergreifen und entsprechend zu priorisieren. Dabei kommen die Prioritäten von Firmen mit denen ihrer Sicherheits-Anbieter häufig nicht zur Deckung. Letztere fokussieren sich auf einzelne Probleme und verkaufen genau darauf zugeschnittene Produkte - am besten so viele wie möglich. Die Sicherheitsstrategie ihrer Kunden interessiert sie dabei wenig.

Die Compliance-Lüge

Geheimnis 5: Nur so stark wie das schwächste Glied

Die Sicherheit in Unternehmen ist nur so stark wie das schwächste Glied. Im gesamten Sicherheitsmarkt machen Produkte, die Software gegen Angriffe schützen sollen, den Löwenanteil aus. Allerdings ist das nur eine Möglichkeit, Firmen zu gefährden und nicht einmal die wichtigste. Die weitaus größere Gefahr geht von unzureichenden Konfigurationen, etwa bei Zugriffsberechtigungen, sowie von Mitarbeitern aus. Doch genau in diesen Bereichen versagen die meisten Anbieter.

Geheimnis 6: Die Compliance-Lüge

Unterschiedliche Compliance-Vorgaben führen dazu, dass Unternehmen mehr Geld für Sicherheit ausgeben müssen als sie es normalerweise tun würden. Dazu gehören unter anderem der Sarbanes-Oxley Act für börsennotierte Firmen, die Vorgaben nach PCI DSS (Payment Card Industry Data Security Standard) für Kreditkartenunternehmen oder die HIPAA-Anforderungen für das Gesundheitswesen. Hersteller machen es sich einfach und bieten sogenannte Out-of-the-Box-Lösungen an, die angeblich alle Bereiche und Risiken abdecken. In Wirklichkeit versagen die Lösungen, wenn es darum geht, spezifische Anforderungen des Gesetzgebers abzudecken.

Keine Strategie bedeutet Chaos

Geheimnis 7: Stormbots werden ausgeblendet

Selbst nach dem großen Stormbotnet von 2007 haben die Anbieter nichts dazugelernt. Damals kaperte der Sturmwurm Millionen von Rechnern. Forscher schätzen, dass er rund zehn Prozent der gesamten Malware ausmacht. Auch heute noch verspeist der Storm-Worm Antiviren-Programme zum Frühstück, und das obwohl die damals verwendeten Techniken den Antiviren-Herstellern bekannt sind.

Geheimnis 8: Do it yourself

Der Einsatz von Sicherheitstechnologie ohne Strategie bedeutet Chaos. Die schiere Masse der derzeit verfügbaren Sicherheitsprodukte übersteigen die Möglichkeiten von Firmen, sich umfassend darüber zu informieren. Was die Beratung angeht, werden sie von den Sicherheitsspezialisten allein gelassen. Weil man sich aber irgendwie gegen Angriffe schützen muss, wird dann im Do-it-Yourself-Verfahren eine Lösung aufgespielt und diese anschließend sich selbst überlassen.

Cormans Thesen und Aussagen provozierten heftigen Widerspruch der Anbieter, etwa von der US Sicherheits-Firma Cloakware. Man wolle zwar Geld verdienen, rechtfertigte sich das Unternehmen, aber gleichzeitig würden in Zusammenarbeit mit Unternehmenskunden geeignete Sicherheitskonzepte und -Lösungen entwickelt.

Ratgeber in Bildern: 16 Tipps für Internetsicherheit Internetsicherheit: Virenwärter im Test McAfee-Interview: "Wir stehen erst am Beginn der Cyberkriminalität"

Verwandte Artikel

Die Wiedergabe wurde unterbrochen.