IT-Sicherheit: Es muss etwas passieren

MyDoom bewies, dass es mit etwas Social Engineering immer möglich ist, Benutzer dazu zu bringen, einen Dateianhang zu öffnen. Sobald dieser erst einmal gestartet war, löste MyDoom eine Flut von E-Mails aus, die Netzwerke und Server verstopfte und so Geschäftsaktivitäten zum Erliegen brachte. Dann startete er Denial-of-Service-Attacken auf SCO und Microsoft. Und als ob das noch nicht genug wäre, richtete er Hintertüren ein, wodurch eine weltweite Armee von Zombie-Rechnern geschaffen wurde, die nur darauf wartet, zum Versenden von Spam missbraucht zu werden oder den nächsten Denial-of-Service-Angriff zu starten.

Offenbar wird MyDoom mit hoher Wahrscheinlichkeit den Anbietern von Sicherheitslösungen ein weiteres lukratives Quartal bescheren. Eingeschüchterte Manager, die tagelang keine E-Mails verschicken oder empfangen konnten, dürften ihren IT- und Sicherheitsleuten gehörig die Leviten lesen, damit diese sich um eine Lösung dieses Problems kümmern. Im Gegenzug werden die IT-Manager einen neuen Schwung einzelner Sicherheitslösungen zum Stopfen der Löcher kaufen, um dann stolz zu behaupten, das „Problem gelöst“ zu haben. Natürlich können sie keine künftigen Probleme vorhersehen, so dass sich dieses Spielchen endlos wiederholen dürfte.

Man dürfte das Muster erkennen: Problem erkannt – punktuelle Lösung implementiert – Problem gelöst – neues Problem aufgetaucht usw. Dieser eine Satz fasst den gesamten Zustand der IT-Sicherheit zusammen.

Warum ist das so? Die Entwickler der unterschiedlichen Internetprotokolle und Softwaresysteme haben keinen Gedanken an die Sicherheit verschwendet. Denn das war kein Problem, als das Internet noch eine exklusive Tummelwiese von Akademikern und Militärs war, aber mit ein paar 100 Millionen Benutzern mehr wird der Mangel an systematischen Sicherheitslösungen zunehmend zu einem echten Problem.

Als Reaktion darauf wurden Sicherheitstechniken entwickelt, bei denen immer nur ein Flicken auf den anderen gesetzt wurde. Heutzutage besitzen Unternehmen für ihren Schutz ein umfangreiches Arsenal an Firewalls, Intrusion Detection-Systemen, Gateways und Antiviren-Programmen. Und trotzdem haben sie immer wieder mit neuen Sicherheitsproblemen zu kämpfen. Offensichtlich ist dieses Modell unzulänglich. Es wird sich etwas ändern müssen.

Das fängt schon auf der Vorstandsebene an. Nach so vielen uneingelösten Versprechungen der Technologie wollen abgestumpfte Manager heute genau wissen, wie sich jeder einzelne für IT ausgegebene Dollar rentiert. Da sich die Rentabilität von Investitionen in die Sicherheit so gut wie gar nicht in Zahlen ausdrücken lässt, werden für viele Maßnahmen keine Mittel bereitgestellt und die Unternehmen stehen schutzlos da.