Fehler in der IT-Sicherheit: Warum wir seit Jahrzehnten IT-Sicherheit falsch angehen
Das Fundament bröckelt – also kommt schnell noch ein Stockwerk oben drauf. So sieht derzeit IT-Sicherheit in vielen Bereichen aus, ob in Wirtschaft oder Verwaltung. Und das Problem ist nicht erst in den letzten zwei oder drei Jahren entstanden. Einer Massenkarambolage in Zeitlupe gleich hat sich hier ein Szenario gebildet, aus dem es keinen schnellen Ausweg gibt. Dafür spielen zu viele Faktoren eine Rolle: Vom Prozessmanagement bis hin zu Entwicklungszyklen, Bildungsreformen und dem fehlenden Willen zur Veränderung. Aber wie sind wir überhaupt in diese Misere geraten? Wir werfen hier einen Blick auf die Entwicklung auf Seiten der IT und auf den Wandel auf Angreiferseite. Fest steht allerdings eins: Manche Dinge werden einfach durch ihren eigenen Erfolg überholt.
Die Anfänge
Die Kinderzeit des Computerzeitalters ist in historischen Maßstäben betrachtet noch nicht lange her. Die ersten Computer waren praktisch Maßanfertigungen, die nur auf Bestellung gebaut wurden. Wer einen Computer nutzte, gehörte zu einem Kreis von Fachleuten, die über ihre Materie sehr genau Bescheid wussten. Keine zwei Computer waren exakt baugleich und jeder kannte "seinen" Computer bis ins kleinste Detail, mit allen Macken und digitalen Wehwehchen. Computer waren deutlich mehr "hands on" als heute. Alles hatte eine physische Komponente, selbst die auf Lochkarten gespeicherte Software. Anders als heute, wo physische Datenträger für die meisten eher ein Sammlerobjekt für die Vitrine sind, waren Downloads undenkbar. Ältere Semester bezeichnen den Computer auch heute noch als "Rechner", denn nichts anderes war seine ursprüngliche Aufgabe. Selbst das Wort "Computer" bezeichnete in grauer Vorzeit eine lebende Person, die Dinge berechnete. Viele Begriffe, die wir heute noch mehr oder minder selbstverständlich nutzen, gehen teilweise ein Jahrhundert und mehr zurück. Der heute noch immer geläufige (und immer wieder gebetsmühlenartig gepredigte) "Patch" war am Anfang ein kleiner Papier-Aufkleber, mit dem Löcher auf einer Lochkarte verdeckt wurden.
Datenübertragung zwischen Computersystemen gab es mittels Lochkarten beziehungsweise Lochstreifen, später auch mit Hilfe von Magnetbändern. In der Regel fand jedoch alle Datenverarbeitung lokal statt, oder wie wir heute sagen "on premise". Ein Programm wurde auf einem Lochkartenstapel – dem "batch" – in den Maschinensaal gebracht, wo es dann zur Ausführung kam. Techniker in weißen Laborkitteln bedienten die Maschinen. Den Output des Programms bekam man dann Tage oder Stunden später in einem anderen Raum zurück – auf Endlospapier gedruckt.
Computer waren reine Arbeitstiere für alles – von Balistikberechnungen bis Buchführung. Das änderte sich bis in die späten 60er Jahre nicht wesentlich. Wer auf Computer Zugriff hatte oder ihn bediente, gehörte zu einem praktisch handverlesenen Kreis von Fachleuten. Die Mehrheit der Bevölkerung war eher skeptisch: "Was sollen wir damit?" war eine oft geäußerte Meinung zu Computern.
Der Umbruch und die ersten "Hacker"
Mit Beginn der 70er Jahre traten Computer ihren Siegeszug auch außerhalb von Maschinensälen in Universitäten, Firmen, Forschungseinrichtungen und militärischen Anlagen an. Zu dieser Zeit erlangten auch die ersten Hacker Bekanntheit, wie etwa der inzwischen mancherorts aufgrund von Missbrauchs-Anschuldigungen zur Persona non grata gewordene John Draper, alias Captain Crunch. Dieser trickste Anfang der 70er mit einer kleinen Plastikpfeife die Abrechnungssysteme des Telefongiganten AT&T aus.
Computerviren waren bis in die 80er hinein überhaupt kein Thema. Einer der frühesten Vertreter von 1982 war ein Programm namens "Elk Cloner". Geschrieben für Apple II-Systeme von einem 15-jährigen Schüler namens Richard Skrenta, war Elk Cloner als Scherz-Software gedacht. Elk Cloner war der erste Bootsektor-Virus. Er verbreitete sich von infizierten Systemen aus per Diskette und blendete nach dem 50. Neustart eines infizierten Systems ein kleines Gedicht ein. Auch andere Plattformen hatten ihre eigenen Viren, wie etwa der aus Deutschland stammende BHP-Virus auf dem weit verbreiteten Commodore 64.
Es ging darum, durch "respektlosen Umgang mit Technik" die Grenzen des Machbaren auszuloten.
In Deutschland gab es seit jeher eine aktive Hackerszene. Einer der prominentesten deutschen Hacker und Mitgründer des Chaos Computer Club (CCC), der 2001 verstorbene Wau Holland, gelangte 1984 zusammen mit Steffen Wernery zu einiger Berühmtheit mit dem BTX-Hack gegen die Hamburger Sparkasse. Auch der sogenannte "KGB-Hack" sorgte für internationale Berühmtheit – die Spur der Spione im Namen des KGB führte zu einer Gruppe deutscher Hacker, die in Hamburg und Hannover ansässig waren – und die sich anfangs nur aus reiner Neugier auf US-Servern herumgetrieben hatten.
Ziel der "Ur-Hacker" war jedoch nie das Verursachen von Schäden und das Anhäufen von Reichtümern, sondern der Wunsch, Aufmerksamkeit für technische Probleme zu generieren, Technologien zu verbessern und Informationen zu sammeln. Eine gewisse sportliche Komponente spielte hier ebenfalls eine große Rolle. Es ging darum, durch "respektlosen Umgang mit Technik" die Grenzen des Machbaren auszuloten, das Finden von Informationen und um die Befriedigung einer unstillbaren Neugier. Und viele wollten auch einfach nur einer staatlichen Organisation eine lange Nase machen und eins auswischen: Ihnen zeigen, dass sie nicht so gut sind, wie sie meinen. Dies ist der eigentliche Kern dessen, was einen Hacker im eigentlichen Sinne ausmacht. Die Assoziation des Begriffs "Hacker" mit rein kriminellen Aktivitäten kam erst später und auch durch die tatkräftige Hilfe der Medien zustande.
Vorkommnisse dieser Art brachten erstmals den Gedanken an Sicherheit in den Fokus der Verantwortlichen und der Öffentlichkeit. Gesetze, die etwa die Sicherheit regelten, existierten vielerorts einfach nicht. Daher blieb der BTX-Hack für Holland und Wernery auch ohne rechtliche Folgen. Die Reaktionen auf spätere Aktivitäten derer, die eigentlich nur Dinge verbessern wollten, lassen sich zusammenfassen unter "verbieten, verhaften, bestrafen" – ein fatales Schema, das sich teilweise bis heute in den Köpfen einiger Politiker:innen hält und in über 40 Jahren nichts von seiner Schädlichkeit verloren hat. Der "Hackerparagraph" lässt grüßen.
Das Aufgabenportfolio wächst
Zu diesem Zeitpunkt waren die Zuständigkeiten von EDV-Abteilungen bereits mehrfach gründlich durchmischt worden. Zwar mussten mittlerweile keine Vakuumröhren mehr getauscht, Insekten aus elektrischen Kontakten gepuhlt oder Papierschnitzel aus dem Lochkartenstanzer gefegt werden – nun waren die IT-Abteilungen dafür zuständig, nicht nur die Aktivitäten auf dem System zu überwachen und gelegentlich die Treibriemen an Bandlaufwerken nachzujustieren, sondern auch dafür, mit Nutzenden zu interagieren. Benutzerkonten anlegen, neue Computer aufstellen und anschließen, Passwörter zurücksetzen sowie Ressourcen und Speicherplatz zuweisen, gehörten nun ebenfalls zum Repertoire der EDV-Fachleute. Und als "Kollege Computer" in den Büros Einzug hielt, gab es mit einem Mal noch mehr zu tun – auch bedingt dadurch, dass Mitarbeitende zuvor keine Berührung mit Computern hatten und daher nicht über nennenswerte Erfahrungen verfügten.
Zu dieser Zeit wurde übrigens die Saat gelegt, deren Ernte wir bis heute einfahren: Der bisweilen in Klischees abgleitende Konflikt zwischen der ahnungslosen Anwenderschaft und dem ewig gestressten IT-Personal. Anekdoten, die dieses Klischee bedienen, gibt es zuhauf.
Die Trennung zwischen Benutzer:innen und IT-Systemen begann hier bereits aufzubrechen. Statt eines kleinen und handverlesenen Personenkreises hatten nun auch unerfahrene Nutzer:innen mit einem rein operationalen Wissen Zugang zu und Umgang mit immer komplexeren IT-Systemen.
Viren, Würmer und Ransomware – anno 1988
Das Internet begann sich langsam zu entwickeln. 1988 waren einige zehntausend Rechner weltweit miteinander vernetzt. Mailboxen und Mailinglisten waren groß in Mode. Und im November dieses Jahres schlug einer der ersten Würmer in das noch junge Internet ein. Der Morris-Wurm infizierte sehr wahrscheinlich einige tausend davon – also einen durchaus nennenswerten Anteil des gesamten Internets. Die Schätzungen zu Schäden gehen weit auseinander und reichen von 100.000 bis hin zu zehn Millionen US-Dollar. Dabei war hier nicht einmal eine Bande krimineller Superhirne am Werk, sondern ein Student an der Cornell University, der "einfach nur mal sehen wollte, ob so etwas geht".
Dass Computerkenntnisse sich auch für kriminelle Zwecke einsetzen lassen, dürfte nicht weiter überraschen. Das vermeintlich so moderne Phänomen "Ransomware" nahm etwa bereits 1989 seinen Anfang – und zwar in Form einer 5.25“-Diskette mit einem Programm, das nach einer festgelegten Anzahl von Systemneustarts Teile der Festplatte unzugänglich machte. Für die Entsperrung des Systems sollten Betroffene Bargeld an eine Postfachadresse in Panama senden. Zu diesem Zeitpunkt waren sogar bereits die ersten Antivirenprogramme auf dem Markt – etwa für die populären Atari ST-Rechner.
Viren waren immer wieder einmal ein Thema – sie fanden etwa durch den Tausch von Disketten den Weg auf andere Computer, oder auch über Mailbox-Systeme – die Vorläufer von Onlineforen. Viele Viren gab es aber nicht und zu diesem Zeitpunkt reichten für den Virenscanner zwei Updates pro Jahr aus – verschickt per Post auf Diskette.
Die ersten Viren machten auch bereits Anfang der 90er Jahre in einer breiteren Öffentlichkeit von sich Reden – wie etwa der Michelangelo-Virus. Der Medienhype um diese Malware heizte eine regelrechte Michelangelo-Panik an. Viel ist daraus allerdings nicht geworden, denn die damals gebräuchlichen Antivirenprogramme erkannten den Schädling bereits und viele Nutzer hatten Vorsichtsmaßnahmen getroffen.
Internet als Beschleuniger
Als zur Mitte der Neunzigerjahre hin das Internet auf breiter Front Einzug in die Haushalte hielt, nahm auch die Anzahl derer zu, die sich gezielt nach Sicherheitslücken abseits von Großrechnersystemen umschauten. Schadsoftware konnte sich nun wesentlich rasanter verbreiten, denn Datenübertragung fand nicht mehr ausschließlich per Diskette statt.
Automatische Updates waren noch kein Thema – wer für sein Microsoft Windows ein Update benötigte, musste es sich selbst auf der Internetseite von Microsoft suchen, herunterladen und installieren. Nachdem Lovesan, Sasser, SQL Slammer und Co. für Ausfälle auf globaler Ebene gesorgt hatten, begannen Hersteller wie Microsoft nun damit, Updates automatisiert anzubieten. Viren, Würmer und Trojaner wurden zu einem Thema, das nun viel mehr Menschen erreichte und beschäftigte – natürlich auch in Unternehmen.
Parallel dazu entwickelte sich das Internet stetig zu einer immer bunteren und vielfältigeren Welt, mit allen dazugehörigen Risiken und Gefahren. Das Motto war "Alles geht". Eine Mischung aus Wildwest-Feeling und Goldgräberstimmung bestimmte die Atmosphäre. Die "alten Hasen" rümpften währenddessen oft die Nase über all die neuen "Klicki-Bunti"–Benutzeroberflächen und hielten an ihren geliebten Kommandozeilenterminals fest. Ihr Motto: "Geht schneller und ist übersichtlicher".
Immer mehr Unternehmen unterhielten eigene Netzwerke. Jeder Arbeitsplatz verfügte über einen PC. Und alle diese Geräte wollten verwaltet werden. Benutzerkonten, Zugriffsberechtigungen, Verschlüsselung – alles, was in irgendeiner Art und Weise mit dem Computer zusammenhängt (und -hing), war plötzlich Aufgabe der IT-Abteilung. Wo es früher reichte, zu beaufsichtigen und gelegentlich Wartungsarbeiten durchzuführen, kam nun immer mehr Verwaltungsarbeit dazu. Asset-Management und Anwenderbetreuung waren ebenfalls Teil der IT-Aufgaben.
Schluss mit lustig: Malware bekommt Zähne und Cybercrime entwickelt sich
Von (teils kruden) Scherzprogrammen haben sich digitale Schädlinge immer mehr zu wahren Gelddruckmaschinen entwickelt. Anfang der 90er waren Benutzerkonten für Internetprovider das Ziel von Kriminellen, denn der Internetzugang war an das Telefonnetz gekoppelt. Ergo: Jede Minute Online-Zeit kostete bares Geld. Es gab in vielen Haushalten mit Internetzugang oftmals unerfreuliche Diskussionen über die Höhe der monatlichen Telefonrechnung. Das musste auch der Autor dieses Artikels am eigenen Leib erfahren. Wohl dem, der sich nicht um die Kosten sorgen muss, weil er einen fremden Zugang benutzt. Phishing war also schon damals ein Thema.
Um das Jahr 2000 erschienen dann die ersten Botnetze und fluteten digitale Posteingänge mit Spam-Mails. DSL-Technologie machte es möglich, praktisch rund um die Uhr online zu sein. Dass Klicks bares Geld bedeuten, machten sich ab 2005 Kriminelle zunutze, um Onlinesuchergebnisse im Browser zu manipulieren. Ahnungslose Nutzer:innen wurden so auf betrügerische Webseiten gelockt – selbst gefälschte Online-Auktionen waren nicht unüblich und kosteten so manchen Menschen Tausende Euro. Mit Stuxnet war Malware im Jahr 2010 auch in den Arsenalen von Nationalstaaten angekommen. Kurze Zeit später erlebte Ransomware eine erneute und bis heute andauernde und ungebrochene Renaissance.
Und einige Dinge sollten vielleicht auch einfach gar nicht in der Cloud sein.
Parallel zu diesen Entwicklungen mussten dann in Betrieben die EDV-Abteilungen gegensteuern. Zum Einsatz kamen dabei oftmals Automatismen, die dem Nutzer so viele Entscheidungen abnahmen wie möglich. Die Früchte dieser Saat fahren wir noch heute im Überfluss ein – Verunsicherung und Angst, gepaart mit mangelnder Erfahrung hat zum Heranwachsen einer Anwenderschaft geführt, die nur wenig Sicherheitsbewusstsein hat. Wo Anwender:innen früher noch eine hohe Sachkenntnis hatten und bestimmte Probleme selbst lösen konnten, ist der PC heute zu einer Art Blackbox geworden, und "Geht nicht" ist die am häufigsten gegebene Fehlerbeschreibung.
Und heute?
Moderne Netzwerk-Infrastrukturen wären vermutlich der ultimative Albtraum für Administratoren aus den 60er und 70er Jahren. Viel von dem, was immer in den Kellern von Firmengebäuden beheimatet war, steht heute unerreichbar am anderen Ende der Welt. Der Cloud-Hype der 2010er Jahre, der die Mär vom "Rechenzentrum aus der Steckdose" predigte, und der in schillernden Farben eine Welt mit schier unendlicher Skalierbarkeit mit nur einem Mausklick zeichnete, ist mittlerweile einer gewissen Ernüchterung gewichen. Vielerorts hat sich die Erkenntnis durchgesetzt, dass Cloud-Plattformen zwar ihre unbestreitbaren Vorzüge besitzen, aber dass man sich nicht nur ausschließlich auf sie verlassen sollte. Und einige Dinge sollten vielleicht auch einfach gar nicht in der Cloud sein.
Additive Sicherheit
Diese vernetzte Welt ist Fluch und Segen zugleich. Für jedes Problem gibt es irgendwo eine Lösung. Und jedes Problem lässt sich letztendlich lösen. Das resultiert allerdings in einer paradox anmutenden Situation. All die verschiedenen Lösungen ergeben einen Technologie-Stack, der so hoch ist, dass er droht, umzukippen. Aber auch dafür gibt es Lösungen: nämlich Stützen, die den Stapel vor dem Einsturz bewahren.
Fakt ist: Der Mensch neigt eher dazu, Veränderungen und Verbesserungen durch Hinzufügen zu realisieren. Subtraktive Veränderungen, bei denen Dinge entfernt werden, um sie zu verbessern, sind eher die Ausnahme.
Beispiel Sicherheits-Updates: Diese werden zumeist automatisiert bereitgestellt. In einem größeren Netzwerk muss aber gerade bei kritischen Systemen zunächst getestet werden, ob es mit dem Update irgendwelche Probleme gibt. Wie ein Microsoft-Mitarbeiter am Rande einer Sicherheitskonferenz augenzwinkernd anmerkte: "Es gibt den Patch-Tuesday und danach den Nothing-Works-Wednesday." Um diese Aufgabe zu automatisieren, gibt es entsprechende Patchmanagement-Programme. Diese sind wiederum vergleichsweise komplex in der Bedienung, wenngleich sie die ihnen gestellten Aufgaben im Großen und Ganzen zuverlässig verrichten. Da die Einrichtung und Konfiguration jedoch – abhängig von der Netzwerkgröße – ebenfalls eine Mammutaufgabe darstellen, scheuen viele Unternehmen den personellen und zeitlichen Mehraufwand. Mit dem Ergebnis, dass zwar eine Lösung existiert, die ihr volles Potenzial aber nicht ausspielen kann. Währenddessen gehen viele Anwender:innen her und machen sich ihre eigenen Regeln – in Form von Programmen, von denen niemand in der IT-Abteilung etwas weiß oder "inoffizieller" Cloudspeicher, den ein internes Team angelegt hat, um Daten miteinander zu teilen, der aus dem Internet erreichbar ist und in dem schlimmstenfalls vertrauliche Firmendaten liegen.
Vom Erfolg überholt
Ein weiteres Beispiel: Auch in der Welt der Skript- und Programmiersprachen gibt es ständige Neuentwicklungen. Vom altehrwürdigen C über Java bis Rust, von Ruby on Rails bis Python – die Auswahl ist groß. Und vielfach gibt es dort Altlasten, die auf historische Begebenheiten zurückgehen. So berichtete der JavaScript-Experte Douglas Crockford in einem Interview: "Das Problematische an der Sicherheit im Netz ist, dass am Anfang niemand wusste, was er tat. Heute, Jahrzehnte später, "schlagen (wir) uns die ganze Zeit mit den Auswirkungen von Fehlern herum, die vor 20, 30 oder 40 Jahren gemacht wurden." [1] So sind laut Crockford auch einige Eigenheiten der Programmiersprache C so wie sie sind, weil die Rechner, auf denen seinerzeit die Entwicklung stattfand, nur 16 Kilobyte Speicher hatten und für bestimmte Funktionen schlicht kein Platz war. Das bedeutet im Klartext: Selbst modernste Anwendungen unterliegen einigen Beschränkungen, die in den 1970er Jahren relevant waren.
Schneller, höher, unsicherer
Die Geschwindigkeit, mit der die Entwicklung in allen anderen Bereichen voranschreitet, kann man getrost als "halsbrecherisch" bezeichnen. Updates und Patches im Wochenrhythmus und bis zu zweimal im Jahr ein großes Betriebssystemupgrade – da rebellieren mitunter selbst die routiniertesten Administratorenteams. Die gesamte Softwarebranche krankt an zwei Problemen. Eines davon ist die "Featuritis". Findige Marketingleute entdecken (und wecken) immer neue Bedürfnisse bei der Kundschaft. Und um diese schnellstmöglich zu bedienen, legen Entwicklungsteams einen Sprint hin. Und noch einen. Und dann den nächsten. Funktion steht im Vordergrund. Ist das Programm funktional, muss es vor die Tür. Dabei gerät allerdings die Sicherheit immer wieder ins Hintertreffen, womit wir beim zweiten Punkt angelangt sind. Immer wieder weisen Expert:innen darauf hin, dass Sicherheit sich nicht im Nachhinein in ein Produkt integrieren lässt – und sie werden immer noch zu oft einfach konsequent ignoriert. Mit Sicherheit lässt sich eben kein Geld verdienen.
Und eingesetzt wird die unter dieser Maxime entwickelte Software in Unternehmen, deren Administratorenteams darauf vertrauen müssen, dass das, was sie einsetzen, sicher genug ist, um nicht zu einem Problem zu werden. Diese "Schatten-IT" kann im schlimmsten Fall auch zur Achillesferse eines Unternehmensnetzwerkes werden, wenn eine Sicherheitslücke in einem nicht offiziell sanktionierten Programm zu einem sicherheitsrelevanten Zwischenfall führt. Und selbst Infrastrukturen, die vollkommen legitim sind, nutzen oft genug Programmbibliotheken, die nicht gerade von einem großen Team gewartet werden. Tritt also dort eine Sicherheitslücke auf, kann das zu einem weltweiten Problem werden. Das bekannteste Beispiel aus der jüngsten Vergangenheit hierfür: log4j.
Nutzer:innen oder "der Markt" erwarten immer neue Funktionen, immer einfachere Bedienung und so wenig Hindernisse wie möglich. Das bedeutet, Sicherheit darf nicht nur den Hersteller idealerweise nichts kosten, sondern sie muss auch für die späteren Kund:innen unsichtbar sein. Nichts soll den Anwender "belasten". Hersteller werden manchmal in Vergleichstests sogar abgestraft, wenn sie den Anwender behelligen und um eine Entscheidung bitten. Wo es früher hieß "Das Programm macht nur das, was du ihm sagst und nicht das, was du willst", heißt es heute: "Das Programm hätte wissen müssen, was du willst, und wenn es das nicht tut, dann stimmt mit dem Programm etwas nicht".
Die wichtigste Komponente vernachlässigt
Auf diese Weise haben wir uns selbst eine Generation unmündiger Anwender:innen herangezogen, die es nicht nur nicht gewohnt ist, mit einbezogen zu werden, sondern die auch teilweise gar kein Interesse mehr daran hat. "Soll einfach nur funktionieren" ist der oft geäußerte Wunsch. Und so sind manche Anwender:innen tatsächlich der Meinung, es gebe irgendwo einen Mach-alles-wieder-heile-Knopf, den man nur drücken muss, um jegliche Probleme sofort zu beheben. An Sicherheit verschwenden sie nur ungern einen Gedanken.
Auch hier fehlt es an den elementarsten Bestandteilen. Es muss alles schnell und einfach sein – so kommen auch immer wieder Passwörter wie 12345 vor. Klingt wie ein Klischee, ist aber keines. Selbst erfahrene Security-Profis sind davon zuweilen frustriert. So äußerte ein dem Autor bekannter Spezialist für Incident Response einmal den Satz "Eigentlich erzählen wir alle seit über 20 Jahren immer wieder dasselbe". Und trotzdem ist nicht zu erwarten, dass IT-Sicherheitsfachleute auf absehbare Zeit arbeitslos werden.
Genau diese unmündigen Anwender:innen sind es aber, die nun von Kriminellen ins Visier genommen werden. Die Akteure hoffen, an Informationen – und damit an Geld – heranzukommen, indem sie mit den ältesten Tricks der Welt arbeiten: Angst und Verunsicherung, Autoritätshörigkeit, Neugier, Hilfsbereitschaft. Doch auch hier zeigt die Erfahrung, dass diese Techniken ganz ausgezeichnet funktionieren. Die meisten Anwender:innen sind jedoch auf diese Angriffe absolut nicht vorbereitet. Das liegt auch daran, dass die Gefahr wesentlich weniger greifbar ist. Das ist absolut nichts Neues – die berühmte Geschichte vom "nigerianischen Prinzen" ist so alt, dass sie selbst per Fax schon Verbreitung fand. Aber sie funktioniert noch immer gut genug, dass Kriminelle willens sind, den Aufwand weiter zu betreiben.
Und bei all dem haben wir noch nicht einmal eines der größten Themen der vergangenen Jahre angeschnitten: Den Bereich IoT und Industrie. Gerade bei letzterem wurden Systeme ins Netz gebracht, die nie dafür gedacht waren und deren Designprinzipien aus den 70ern stammten. Und die Schnelllebigkeit des IoT-Marktes ist nicht nur unter Sicherheitsgesichtspunkten bedenklich, sondern auch alles andere als nachhaltig.
Kontrollverlust in mehreren Akten
Doch die Nutzer:innen sind hier nicht allein – dadurch, dass immer mehr IT auch "as a Service" verfügbar ist, geben IT-Abteilungen immer mehr Verantwortung und Zuständigkeiten ab. Langfristig begeben Unternehmen sich allerdings in eine Abhängigkeit, aus der sie nicht so einfach wieder herauskommen. Sie bauen eigene personelle Kapazitäten ab und haben oftmals keinen "Plan B" für den Fall, dass ein Anbieterwechsel ansteht. Sie sind auf Gedeih und Verderb ihren Providern ausgeliefert. Entschließt dieser sich, die Preise um ein Mehrfaches zu erhöhen, muss ein Unternehmen diese bittere Pille erst einmal schlucken. Denn ein Wechsel ist nicht nur langwierig, aufwändig und teuer, er bringt auch technische Herausforderungen mit sich, von (datenschutz-)rechtlichen Fragen einmal ganz abgesehen.
Für die Nutzung von Dienstleistungen gibt es durchaus gute und triftige Gründe. Einige sind wirtschaftlicher, andere sind technischer Natur. So kann sich kaum ein kleines oder mittleres Unternehmen eine eigene große IT-Abteilung leisten, geschweige denn eine eigene Abteilung für IT-Sicherheit. Hier ist eine Investition in externe Dienstleister also absolut sinnvoll. Doch je höher Unternehmens-IT auf dem OSI-Layer-Modell ausgelagert wird, desto weniger Kontrollmöglichkeiten hat das Unternehmen. Ein eigens gemietetes Stück Server-Hardware in einem lokalen Rechenzentrum ist physisch erreichbar und zu hundert Prozent verwaltbar. Ein bisschen Kontrolle gibt ab, wer etwa einen virtuellen Server gemietet hat. Dort kann das Unternehmen zwar nach eigenem Gutdünken verfahren, aber die Kontrolle über die Hardware und das zugrundeliegende System liegt beim Dienstleister. Und so geht es weiter bei der "Platform as a Service" – hier stellt ein Anbieter eine fertige und betriebsbereite Umgebung zur Verfügung, bei der der Kunde nicht mehr an irgendetwas außerhalb der Lösung herankommt. Innerhalb des Programms gibt es alle Konfigurationsmöglichkeiten, aber nicht darüber hinaus. Und bei einer SaaS (Software as a Service) bekommen Kunden nur noch die Zugangsdaten für eine Plattform, aber alle Kontrolle liegt beim jeweiligen Anbieter. Und Kunden müssen darauf vertrauen, dass der Anbieter alle erforderlichen Sicherungsmaßnahmen ergreift und auf Sicherheitsprobleme zeitnah reagiert.
IT hat sich in den vergangenen Jahrzehnten derart rasant entwickelt, dass es der Mensch einfach nicht mehr geschafft hat, mit ihr Schritt zu halten. Das fällt uns nun sprichwörtlich auf die Füße. Einige Dinge, die damals aus bestimmten Gründen so geregelt worden sind, gehören heute auf den Prüfstand. Sicherheit darf dabei nicht zum Hemmschuh für Innovation werden – aber der umgekehrte Fall darf auch nicht eintreten. Ist das problemlos leistbar? Die Erfahrung sagt "nein". Doch bevor wir immer weiter in die Höhe bauen, sollten wir sicherstellen, dass das Fundament stark genug ist. Das geht bei der Ertüchtigung für Nutzer:innen in Sicherheitsfragen los und endet in einem der wichtigsten Bausteine überhaupt, nämlich der Lieferkette. Die Entwicklungen rund um das Internet werden weitergehen – ob wir wollen oder nicht. Aber wir sollten besser darauf vorbereitet sein, als wir es im Moment sind. Um es mit den Worten von Crockford zu sagen: "Es ist zum Erfolg verdammt. Wir werden es nicht los."
