Bei Programmierern und IT-Sicherheitsleuten werde ich mich jetzt unbeliebt machen. Aber ich behaupte: Sicherheitslücken sind sehr oft vermeidbar und tauchen auf, weil sich die Unternehmen nicht um Fehler im eigenen System kümmern.
Für Computer – und auch Handys sind im Prinzip kleine Computer – gibt es vereinfacht dargestellt zwei Arten von Bedrohungen. Zum einen sind es Viren und Trojaner. Dahinter stehen sogenannte Schadprogramme, die von außen in das jeweilige System eindringen und sich dabei tarnen. Oft geben sie sich einfach als etwas anderes aus.
Das ist im analogen Leben vergleichbar mit Menschen, die mit einem gefälschten Ausweis in den Sicherheitsbereich eines internationalen Flughafens eindringen. Sie nutzen eine falsche Identität.
Und dann gibt es im digitalen Bereich sogenannte Sicherheitslücken. Das sind Löcher im Schutzsystem des Computers, des Handys oder des jeweiligen Programms.
Vergleichbar wären diese Sicherheitslücken mit offenen und unbewachten Pforten oder Türen auf dem internationalen Flughafen, durch die jeder hineinkommen könnte, ohne seine Identität zu verändern.
Genau. So etwas gibt es nicht auf einem internationalen Verkehrsflughafen. Es werden nicht nur alle Passagiere am Check in genau untersucht, sondern es gibt auch regelmäßige Kontrollen des Zaunes und der Hintertüren rundherum um den Flughafen.
Doch bei den digitalen Betriebssystemen vieler großer und kleiner Firmen ist das anders. Hier werden ein- und selbst ausgehende Daten auf Viren und Trojaner untersucht. Das ist exzellent. Doch niemand kümmert sich um die Hintertüren oder Löcher im Zaun – darum, ob denn das eigene System wirklich dichthält. Im Gegenteil: Sehr oft gibt es eine „Hier-ist-alles-sicher“-Haltung, die sogar Warnungen von außen ignoriert. Selbst erlebt habe ich das bei so namhaften Unternehmen und Organisationen wie der Telekom, Microsoft, der NSA, bei der NASA und selbst beim Anti-Viren-Programm-Hersteller AVAST. Sie alle waren durch Hacker vor Sicherheitslücken gewarnt worden und reagierten als Medien darüber berichteten.
Und hier komme ich zurück zu meiner Kritik: Die Suche nach den Lücken im eigenen Computer-System findet in den meisten Betrieben nicht statt. Selbst konkrete Warnungen von außen werden häufig ignoriert. Und reagiert wird dann erst, wenn die Medien berichten – meist ist es dann aber schon zu eigentlich abwendbaren Schäden gekommen.
Es wird Zeit, dass es zum Umdenken kommt: So, wie es heute selbstverständlich ist, eine gute Virenabwehr im Computernetz zu haben, so selbstverständlich muss es auch werden, die Netze nach Sicherheitslücken abzusuchen.