Das "blutende Herz" des Internetusers

BERLIN. (hpd) Wieder so ein ach so schlimmes Sicherheitsloch. Wieder die nervigen Predigten von IT-Gurus. Wie oft soll Otto Normalbürger noch seine Passwörter ändern? Und dann für jeden Web-Dienst ein individuelles Passwort. Möglichst kompliziert mit Buchstaben, Zahlen und Sonderzeichen. Wer soll sich das merken können? Und dann soll man diese Passwörter auch noch regelmäßig ändern.

Permanent wird “geupdatet” und der Virenscanner verlangsamt als Spaßbremse das System. Dazu immer diese penetranten Sicherheitswarnungen im Webbrowser. Jeder soll IT-Kauderwelsch verstehen und sein E-Mailprogramm auf “TLS” und “Port” XXX umstellen. Wann kommt endlich das sichere und einfach zu bedienende Internet für den Otto Normalbürger?

Berechtigte Fragen. Erst einmal kann man natürlich ausführen, dass es keine zu 100 Prozent sicheren Systeme gibt. Das sieht man bei Flugzeugabstürzen und Problemen mit Satelliten im Weltraum. Die alles entscheidende Frage ist, wie viel Geld ist uns die Sicherheit wert? In Analogie zur Annäherung an die Lichtgeschwindigkeit erhöht sich der finanzielle Aufwand exponentiell, je näher man der 100-Prozent-Marke kommt.

Es lohnt sich für Firmen schlicht und ergreifend nicht, sichere Produkte auf den Markt zu bringen. Das kostet viel zu viel Geld und wird am Markt nicht honoriert. Der 0815-Kunde liebt gefühlte Sicherheit.

Exemplarisch sieht man das am Erfolg der Placebo Software “Virus Shield”. Wie Spiegel Online berichtete, hat diese Android App nur die einzige Funktion: “Das Programmsymbol von einem Kreuz auf einen Haken umzustellen, wenn man auf den Bildschirm tippt”. Das schafft offenbar Vertrauen, eine Illusion von Sicherheit. Vermutlich war “gefühlte Sicherheit” in der Steinzeit ein evolutionärer Vorteil. Aber heute im IT-Zeitalter?

Beispielbild

Auch “Entscheider” in Unternehmen verhalten sich ähnlich. Sie fokussieren sich auf “Grün” und “Rot” in Excel Sheets. Alles soll natürlich dort “Grün” werden. Dabei ist ihnen egal, ob Rot oder Grün überhaupt irgendwie mit der realen IT-Sicherheit kongruent sind. Hauptsache die potemkinsche IT-Sicherheit wird via Audit abgesegnet und man ist “compliant”. Wichtig, diese “compliance” kostet möglichst wenig Geld! Falls etwas passiert war man “compliant” und ist als “Entscheider”/Unternehmen unschuldig. Beispiel Kredit- und EC-Karten. Warum hat es wohl so lange gedauert, vom unsicheren Magnetstreifen auf die relativ sichere Chip-Technologie zu wechseln? Eine Technologie, die es ja schon eine gefühlte Ewigkeit gibt. Es hat sich schlicht und ergreifend ökonomisch für die Finanzdienstleister nicht gelohnt. Zumal, wenn man das Risiko bequem auf den Kunden abwälzen kann.

Bei “Heartbleed” handelt es sich um ein Problem mit Software aus dem OpenSource Bereich. Software von den “Guten”, nicht vom schnöden Profit abhängigen Softwareentwicklern. Ändert es das zuvor Gesagte? Nein, denn profitorientierte Unternehmen setzen OpenSource Produkte nicht aus Altruismus ein, sondern schlicht und ergreifend, um Entwicklungskosten zu sparen und praxixerprobte Lösungen zu nutzen. Das ist an sich nicht verwerflich, im Gegenteil. Dennoch gibt es auch beim Einsatz von OpenSource Komponenten wie OpenSSL eine Sorgfaltspflicht. Viele Burgen hatten im Mittelalter mehrere Verteidigungswälle. Warum steht und fällt alles bei “Heartbleed” mit einer einzigen Softwarekomponente?

Wie kann man diese Situation ändern? Es muss sich für Unternehmen ökonomisch lohnen, sichere Produkte auf den Markt zu bringen. Der Staat muss hier regulierend eingreifen. Firmen, die bewusst unsichere Produkte in Umlauf bringen, müssen bei Schäden dafür finanziell zur Verantwortung gezogen werden. Gerichte sollten sich vom Anscheinbeweis trennen, wenn diese von der zugrundeliegende Technologie in keiner Weise eine Ahnung haben. Im Zweifel sollte für den Kunden und nicht gegen ihn entschieden werden.

Gerade die Abwälzung des Risikos auf die Kunden durch einschlägige Gerichtsentscheidungen in der Vergangenheit ist ein Skandal. In Medienberichten wird oft der Eindruck erweckt, der Kunde sei verantwortlich, wenn Schutzmechanismen durch Kriminelle überwunden werden. Dabei hat der Kunde keinen Einfluss darauf, welche Sicherheitssysteme die Firmen den Kunden anbieten. Und natürlich sollten wir auch technologisch weiterkommen.

Eine Authentisierung via einfachem Passwort ist IT-Steinzeit. Es gibt seit langem sicherere Alternativen wie z.B. die OTP-Token (“One Time Password”), die ein nur einmal gültiges Passwort auf Knopfdruck generieren. Das ist im Vergleich zum normalen Passwort ein Riesensprung an Sicherheit und schützt effektiv gegen Sicherheitslücken wie beim aktuellen “Heartbleed” Bug.

Die Bedienung, das Drücken einen Knopfes und das Ablesen einer 6-stelligen Zahl, sollte für den Otto Normalbürger keine unüberwindbare Hürde darstellen. Aber hier scheuen Unternehmen wieder die Kosten.

Was wird gemacht? Man kastriert eine an sich gute Idee wie z. B. im Fall von OTP, indem man eine dedizierte Hardwarelösung (OTP-Token) durch eine Softwarelösung auf grundsätzlich als unsicher anzusehenden Smartphones ersetzt. Und wieder wurde reale Sicherheit durch gefühlte Sicherheit - eine Illusion von Sicherheit - ersetzt. Heise Online berichtet davon, dass derzeit immer noch 95 Prozent aller Geldautomaten unter Windows XP laufen. Einem Betriebsystem, dessen Support abgelaufen ist und vor dessen Einsatz auf dem PC gewarnt wird.

Es stellt sich auch die Frage, warum ein sicherheitskritisches Gerät wie ein Bankautomat unter einem Desktop-Betriebsystem läuft. Nun, es ist halt billig. Und das ist auch der einzige Grund. Es muss sich für Unternehmen lohnen, sichere Technologien einzusetzen, anstatt ausschließlich auf gefühlte Sicherheit und “Compliance” & Marketing zu setzen.

Trotz “Heartbleed” bleibt der Einsatz von OpenSource die weit bessere Option als der Einsatz von Software, dessen Quellcode nicht öffentlich zur Überprüfung zugänglich ist. Denn Security by Obscurity schafft nur gefühlte Sicherheit.