Falsche Sichtweise auf die IT-Sicherheit: Zukunftsvorhersage!

8 Dez 2014

Mit diesem Beitrag beginne ich eine Artikelserie, in der ich einige falsche Sichtweisen auf die IT-Sicherheit betrachten will – und glauben Sie mir, davon gibt es viele. Man kann nicht auf alle davon eingehen, aber ich werde versuchen, so viele wie möglich darzulegen – je nach verfügbarer Zeit und Energie.

Sicurezza IT - falsi miti

Ich wurde Anfang der 1980er Jahre geboren und bin mit großartigen Filmen wie „Terminator“, „Robocop“, „War Games“, „Hackers“, „Minority Report“, „Blade Runner“ und „Matrix“ aufgewachsen. All diese Geschichten spielen mit der Vorstellung, dass Technologie außer Kontrolle gerät – aber das ist Fiktion und nicht Realität, und wir wissen das. Aber wenn wir über IT-Sicherheit sprechen, haben wir immer noch die Vorstellung, dass der Schutz vor zukünftigen Bedrohungen die größte Aufgabe ist.

Das gleiche passiert, wenn man auf Sichehreitskonferenzen geht oder Artikel und Blogbeiträge liest… Jeder scheint sich darauf zu konzentrieren, das Unbekannte aufzudecken und uns vor dem Unbekannten zu schützen. Fast alle Sicherheitsfirmen und -forscher sprechen über APTs (Advanced Persistent Threats – fortgeschrittene, andauernde Bedrohung) und zielgerichtete Attacken. Verstehen Sie mich nicht falsch, das ist natürlich sehr wichtig, aber wenn man sich die Einbrüche und Sicherheitslücken ansieht, die wir aktuell in Firmen finden, erhält man ein anderes Bild.

Doch das Problem sitzt tiefer als die Tatsache, dass wir nach wie vor für alte, bekannte Sicherheitsbedrohungen anfällig sind. Wenn ich mit anderen Forschern spreche, scheint es mir, als würden wichtige Diskussionsthemen sogar bei Sicherheitskonferenzen unterdrückt werden – und das einfach nur, weil es dabei nicht um brandneues, nie gesehenes Material geht.

Das hat dazu geführt, dass Sicherheitsforscher und Computerprofis nicht länger interessante Tools, Ideen, Tips, Tricks und Erfahrungen austauschen.

Als Sicherheitsforscher müssen wir anfangen, mehr Verantwortung für das zu übernehmen, über das wir sprechen. Es ist enorm wichtig, was wir in unseren Blogs schreiben und was wir den Menschen sagen. Aber natürlich ist es auch wichtig, weiterhin neue Bedrohungen zu erforschen.

Aber wenn wir öffentlich nur über die neuesten Schadprogramme oder Sicherheitslücken sprechen, werden sich zu viele Menschen darauf konzentrieren, sich nur vor den neuesten Gefahren zu schützen und gleichzeitig grundlegende Probleme wie unsichere Computer, schwache Passwörter, schlechtes Patch-Management, fehlende Netzwerk-Segmentierung, unverschlüsselte Datenbanken und Standardeinstellungen vernachlässigen.

Dabei möchte ich auch unterstreichen, dass ich, wenn ich „wir“ als Sicherheitsbranche sage, nicht nur Sicherheitsforscher, sondern auch Administratoren, Entwickler, Berater und jeden anderen, der im IT-Bereich arbeitet, meine. Unsere Entwickler müssen mehr Verantwortung und Stolz für Ihren Code entwickeln, System-Administratoren und -Integratoren müssen sicherstellen, dass sie ihre Programme und Betriebssysteme wirklich verstehen und gut kennen, bevor sie auf den Installieren-Knopf drücken.

Und auch wenn Sie nur Endanwender sind, müssen Sie das Thema ernst nehmen. IT-Sicherheit geht auch Sie an. IT-Sicherheit geht jeden an! Sie müssen die Verantwortung für Ihre eigene IT-Sicherheit übernehmen und nicht anderen die Schuld geben, wenn etwas schief läuft. Denn immerhin kann es ja vielleicht nur Ihr schwaches Passwort sein, das Ihre IT-Sicherheit kompromittiert hat.

Wir können Zukünftiges nicht bekämpfen, wenn wir die Vergangenheit nicht verstehen… Wir leben vielleicht in einer Zeit, in der sich Technologie schneller entwickelt, als wir sie kontrollieren können, aber anstatt zu versuchen, immer weiter in die Zukunft zu schauen, müssen wir einen Schritt zurückgehen und mit dem arbeiten, das wir bereits kennen.