Nach Hackerangriff auf IT-Firma Kaseya: Alles offline ist nicht die Lösung

Die Kunden (Supermarktketten, Energieunternehmen, Krankenhäuser, Industriebetriebe usw.) sparen gerne bei der hauseigenen IT-Abteilung. Kostet nur und trägt nichts zum Shareholder Value bei. Also werden Dienstleister beauftragt, die müssen ihre Konkurrenten unterbieten, also wird der Service One-Fits-All gestaltet, Fernwartung erledigt irgendein unterbezahlter ITler von Rumänien oder Indien aus, und alles liegt in der (Ge-)Klaut.



Dezentrale Speicherung der Datenbanken und ein Backup-Management, das auch vom Dienstleister eingerichtet werden könnte, wäre das Minimum an Vorsorge. Dann könnte immer noch im Ernstfall das System platt gemacht und ein alter Zustand wieder aufgespielt werden. Lücken müssten durch Schätzwerte provisorisch geflickt werden und dann sukzessive (z.B. durch Inventur) bereinigt werden. Aber das kostet ja Geld und Hirnschmalz.

Finanzielle Schulden: Man verschafft sich Ressourcen, indem man sich Kapital leiht. Später muss man dieses zurückzahlen, zuzüglich Zinsen.

Technische Schulden: Man verschafft sich Ressourcen, indem man notwendige technische Investitionen unterlässt. Später muss man i.d.R. nachbessern, zu wesentlich höheren Kosten (Zinsen). Je länger man wartet, um so teurer wird es. Müssten diese Schulden in den Bilanzen geführt werden, sähe es mit der IT-Sicherheit vermutlich besser aus.

99,9% aller gelungenen Hackerzugriffe sind auf schlampiges IT-Management der Firewall, der Aktualisierung der Serversysteme und falsch designter Netzwerke zurück zu führen. Wenn ich bei meinen Kunden oft erlebe, wie jeder Arbeitsplatz einen direkten Zugang zum Internet und dem Intranet hat, wundert es mich nicht, dass die Hacker so leichtes Spiel haben. Ein falscher Klick eines Lagerarbeiters in einer Mail und schon sind die Serverdaten verschlüsselt.

Um dies zu vermeiden benötigt es aber qualifizierter IT-Spezialisten und keine "Umschüler". Diese sind rar und teuer. Und so lange der Vertrieb oder das Marketing sich durchsetzt, weil sie lieber eine weitere Statistik programmieren lassen wollen, statt dass man in Sicherheit investiert, so lange bleiben unsere Unternehmen für Hacker ein Schweizer Käse, überall Löcher.



Das Problem ist meist Hausgemacht, weil man für IT-Sicherheit kein Geld ausgeben will, nach dem Motto "Das bringt uns ja keine Marktvorteile".



Ich arbeite in IT-Sicherheit und weiß von was ich hier berichte.

Mehr Sicherheit ist machbar , kostet aber (wen wunderts) auch Geld.

Und da geht es schon los. Ein Anbieter will erstmal "billig" sein, daher macht er sicherheitsmäßig nur das notwendigste. Das betrachte ich aber als grob fahrlässig.

Was meiner Meinung hier not tut wäre, solche Anbieter zum Schadensersatz heranzuziehen, und dies in Größenordnungen, die so hoch sind, dass der Anbieter in Zukunft alles tun wird, um Sicherheitslücken zu vermeiden.

PS:



Klar wird damit das Produkt teuerer, was er verkauft. Aber Airbags kosten auch Geld und trotzdem verkauft keiner mehr einen Neuwagen ohne.

digitales und www-offline funktioniert.

Wie (u.a.) Linus Neumann vom CCC sagt: "Alle praktisch relevanten Probleme [der IT-Sicherheit] sind theoretisch gelöst. Es gibt zurzeit keine essentiellen praktisch relevanten Herausforderungen, deren theoretische Lösung unbekannt wäre. Trotzdem ist der Zustand der IT-Sicherheit in der Praxis desaströs."



(www.ccc.de/system/...2_CCC_Neumann.pdf)

Jetzt bräuchte man halt bloß noch entsprechende Anreize, das auch umzusetzen. Stattdessen haben wir aber Regierungen, die lieber Lücken offenhalten lassen (jüngstes Geheimdienstegesetz), aktiv Lücken einbauen lassen wollen (kurz vor der Abstimmung im EuParl stehende Regelungen zur angebl. "KiPo-Bekämpfung"), keine Produkthaftungsregeln für Software einführen, explizit Horror-Software wie Luca bewerben, bei der Netzwerktechnik unbewiesene Huawei-Popanze aufbauen und gleichzeitig bewiesene(!) Lücken bei den Amerikanern mit aller Macht ignorieren, den Datenschutz (ja, der gehört da auch dazu) bei jeder dummen Gelegenheit als Sündenbock vorschieben, ... wie lange soll ich noch weitermachen?

> Um einen echten Wandel zu schaffen, muss sich bei sämtlichen Akteur:innen, politischen wie wirtschaftlichen, eine Erkenntnis durchsetzen: IT-Sicherheit ist keine Kür, sondern Pflicht.

Informationsnetzwerke sind halt nur so lange nützlich, wie man der Integrität der übertragenen Daten vertrauen kann, diese verfügbar sind, und ihre Vertraulichkeit z.B. im Fall von sensiblen medizinischen Informationen (wie z.B. "Dieser Mensch hatte eine Corona-Infektion und könnte an Long Covid leiden") geschützt sind.

Denn, letztlich kommunizieren wir mittels Symbolen. Können wir nicht darauf vertrauen, dass die Symbole der Realität entsprechen, so bricht das System zusammen. Das ist so beim analogen Lügen, wie auch bei Geldscheinen die nur so aussehen, als wären sie echt, bis hin zu per Mail verschickten Rechnungen mit gefälschten IBANs.

Leider lässt sich diese Anforderung nach Integrität nicht damit vereinbaren, wenn Regierungsbehörden in derartige Systeme einbrechen oder sie manipulieren. Das ist halt einfach so, wie wenn die Notenbank auch mal Falschgeld druckt.

Allerdings denke ich mit leichtem Bauchgrimmen an die nicht mehr ferne Zukunft, in der Fahrzeuge nicht mehr von menschlicher, sondern von künstlicher Intelligenz gelenkt werden. Was da alles möglich sein wird, mittels fahrlässig oder vorsätzlich eingebauten Programmierfehlern . . .