Hadmut Danisch

Ansichten eines Informatikers

IT-Sicherheit zum Heulen

Hadmut
13.5.2017 12:40

Müsste ja inzwischen jeder mitgekriegt haben, dass da gerade eine Ransomware-Welle (WannaCry) umgeht. Zeit zum Nachdenken.

In England haben sie Krankenhäuse lahmgelegt, bei uns angeblich die Bahn beeinträchtigt, und so weiter und so weiter. Angeblich über 70 Länder betroffen.

Zwar hat Microsoft die Lücke kürzlich geschlossen (heißt es), das aber auch nur, weil sie sie kannten. Da wird es noch jede Menge unbekannter, ungepatchter Lücken geben. Es heißt, das Zeug hätte sich über eine Lücke ausgebreitet, die die NSA schon lange kannte (oder vielleicht sogar selbst hat einbauen lassen, das ist ja bekannt, dass die Softwarefirmen von Geheimdienstlern unterwandert sind). Der Glaube an Patches hat so eine gewisse Ähnlichkeit zum Glauben an Virenscanner. Man klammert sich da an ein Prinzip Hoffnung und meint, wenn man doch nur irgendwas fleißig macht und für irgendwas Geld abdrückt, dann muss es doch halten.

Von wegen.

Unsere gesamte IT-Infrastruktur ist in der Gesamtsicht nicht stabiler als ein Kartenhaus. Der Aberglaube IT-Sicherheit ist enorm.

Strukturelle Sicherheit wird bei uns kaum betrieben, stattdessen werden die Firmen immer stärker mit Pseudo-Experten vollgepumpt und der Irrglaube angetrieben, dass das doch alles ganz toll sein müsse, wenn man sich für teuer Geld zertifizieren lässt und nach Grundschutz, ISO oder sowas Listen abnudelt. Wir haben eine riesige Sicherheits- – nein, nicht Sicherheits-, sondern Sicherheitsdienstleistungs – infrastruktur, der Fluss von Geld in die eine und von Zertifizierungen in die andere Richtung ist gewährleistet.

Aber wenn’s zur Sache geht, bleibt nicht mehr übrig als das allgemeine Hoffen, dass es von Microsoft einen Patch gibt und der eingespielt ist.

Und dann kommt Panzer-Uschi mit ihrer Cyber-Krieger-Truppe, die Angreifer gegenangreifen will.

Da kann man jetzt am praktischen Beispiel mal die Frage stellen, was das hier jetzt eigentlich genutzt hätte und was sie da eigentlich getan hätten. Meiner Einschätzung nach: nichts

Reines Security-Voodoo. Als würde man Stricknadeln in eine Puppe stecken, die man mit Haaren des Angreifers gemacht hat.

Die Realität ist, dass IT-Security seit 25 Jahren vor allem ein Gebiet der Geschäftemacher, Schwätzer und Wichtigtuer ist, und per Politik von Laien vereinnahmt wurde. Schaut einfach mal, wen die Parteien und Medien uns immer so als „Internet-Experten“ vorstellen. Leute, deren „Kompetenz“ daraus besteht, über Hate Speech in Social Media zu maulen.

Vergleicht mal, was unsere Bundesregierung zur allgemeinen Netzwerksicherheit tatsächlich tut mit dem, was sie in dieser Hate-Speech-Heißluft-Pusterei macht.

Für das Ergebnis reicht es ausnahmsweise doch mal, die Medien und das öffentlich-rechtliche Fernsehen anzuschalten. Solange Eure Fernseher noch funktionieren und nicht auch gekapert sind und Bitcoins dafür haben wollen, dass sie weiter funktionieren.

Es wäre übrigens empfehlenswert, sich wichtige Webseiten vorsorglich auszudrucken…