Security: Situation wird kaum besser

Hacker und Sicherheitsexperten haben bei der Cansecwest-Konferenz ein gemeinsames Fazit gezogen: Das Sicherheitsbewusstsein in den Unternehmen ist zwar stärker als früher, doch der Gesamtzustand der Vorkehrungen und Maßnahmen ist noch immer schlecht. Bei der Konferenz führten eher die Praktiker als die Theoretiker das Wort. „Das Bewusstsein wird größer“, sagte der Gründer des Honeynet-Projekts und Sicherheitsmitarbeiter bei Sun (Börse Frankfurt: SSY), Lance Spitzner. „Aber im Internet wird so viel Zeug veröffentlicht, dass wir kaum noch mit der Beobachtung nachkommen.“

Spitzner dürfte es wohl wissen. Denn beim Honeynet-Projekt hat er gemeinsam mit Sicherheitsexperten und Hackern präparierte Server ins Netz gestellt, anhand derer das Einbruchs-Verhalten von Hackern beobachtet wird. Allerdings zeigten sie auch zahlreiche Lücken in der Default-Installation der Systeme. Ein durchschnittlich gesicherter Rechner im Internet wird innerhalb von acht Stunden gehackt, so Spitzner. „Die bösen Jungs sind uns immer voraus“, sagte er. „Die Daten tröpfeln einfach überall aus dem Netzwerk.“

Der Sysadmin eines universitären Supercomputer-Zentrums sagte, in seinem Arbeitsbereich sei es sogar noch schlimmer. Es würde um die 45 Minuten dauern, bis Studenten oder Einbrecher über das Internet die Kontrolle über einen ungesicherten Rechner übernommen hätten. Und das trotz der immer weiteren Verbreitung von Firewalls auch auf Privatrechnern und mehr Intrusion Detection Systemen im Unternehmensbereich.

Sicherheitsexperte „Rain Forest Puppy“, kurz RFP, bekannt für sein Gespür für Schwächen in der Microsoft-Software, sagte: „Die Tools und die Technologie um sein System zu sichern werden immer einfacher, aber immer mehr Leute brauchen Schutz und den können wir nur einem Bruchteil anbieten.“

Versuche, die User und Sysadmins zu erziehen, waren nur teilweise erfolgreich. „Ich bin da pessimistisch“, sagte der President von Sourcefire, Martin Roesch. „Die User haben eine immer bessere Vorbildung, aber sie lernen nicht dazu.“ Vor allem das Management würde Sicherheitsbelange oft hintenan stellen. Obwohl die Verluste von 186 gehackten Firmen im Jahr 2001 bisher auf 378 Millionen Dollar geschätzt werden, sei die Lage weiter prekär: „Nur wenn wir noch ein paar Super-Crashes, noch ein paar Kournikovas und nakedwifes haben, nehmen die Leute das Problem vielleicht ernst“, so RFP.