Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

25.09.2006

Bruce Schneier: "Wir verlieren den Security-Krieg"

Der Sicherheitsexperte befürchtet, dass Unternehmen ihre IT-Systeme nicht mehr gegen Hacker-Angriffe schützen können.

Der Gründer und Chief Technology Officer (CTO) von Counterpane Internet Security erklärte in einem Webcast, der zur Konferenz Hack In The Box (HITB) in Kuala Lumpur übertragen wurde: "Ich glaube insgesamt gesehen nicht, dass wir den Security-Krieg gewinnen; ich fürchte wir verlieren ihn."

Je komplexer die Systeme würden, desto unsicherer würden sie auch, warnte Schneier. Zwar werde auch die Sicherheitstechnik besser, doch sei die Komplexität moderner IT-Systeme schneller gestiegen. "Das Internet ist die komplexeste Maschine, die je gebaut wurde", findet der Experte. "Das erklärt, warum sich die Sicherheit verschlechtert."

Neue Angreifer

Außerdem, so Schneier, habe sich die Natur der Angriffe erheblich verändert, denen Unternehmen ausgesetzt seien. Hacker seien früher technikverliebte Amateure gewesen, heute dagegen seien unter ihnen zunehmend Kriminelle mit wirtschaftlichen Motiven: "Der Hobby-Hacker will Street Credibility, der Kriminelle will Ergebnisse."

Um dem entgegenzuwirken, müsse die Sicherheitsbranche über rein technische Maßnahmen zur Gegenwehr hinausblicken. "Halten Sie Ausschau nach den ökonomischen Hebeln", appellierte Schneier. "Wenn Sie die richtig ansetzen, wird die Technik funktionieren. Wenn Sie es falsch machen, dann klappt die Technik nie."

Externalitäten - ein Begriff aus der Wirtschaftssprache, der die Auswirkungen des Handelns einer Person auf eine andere beschreibt - seien zentral für den Aufbau effektiver Security, proklamierte der Counterpane-Mann. Banken zum Beispiel investierten nicht viel in den Schutz vor Identitätsdiebstahl, weil sie nicht betroffen seien, wenn dieser auftrete. Er sei für die Bank eine Externalität. Sobald die Banken aber für bestimmte Sicherheitsvorfälle hafteten - etwa nicht autorisierte Abhebungen am Geldautomaten - , tätigten sie die nötigen Investitionen, um sie zu unterbinden.

Hersteller in der Pflicht

Dieses Haftungsprinzip sollte man auch auf die Softwarebranche übertragen, findet Schneier. Um die Sicherheit von Software zu erhöhen, sollten Microsoft und andere für nicht sichere Software geradestehen müssen. "Wenn Sie fehlerhafte Software verwenden und Daten verlieren, dann haben Sie den Verlust und nicht die Softwarefirma", klagte der Experte. Das müsse anders werden. "Wer die Möglichkeit hat, das Risiko zu verringern, der muss auch die Verantwortung für das Risiko tragen", forderte Schneier. (tc)