IT-Sicherheit: Sehenden Auges ins Unglück

Sicherheitsindex 2016Es ist eine erstaunliche Erkenntnis: obwohl das Wissen über IT-Sicherheit permanent steigt, tun Verbraucher zu wenig, um ihre eigene Sicherheit im Netz tatsächlich zu verbessern. Das ist eines der zentralen Ergebnisse des DsiN Sicherheitsindex 2016, der im Juni von der Initiative „Deutschland sicher im Netz“ vorgestellt wurde. Die Umfrage untersucht die digitale Sicherheitslage der Internet-Nutzer in Deutschland.

Auf den ersten Blick sind die Ergebnisse der diesjährigen Erhebung durchaus positiv: mit 65,4 Punkten erreicht der Sicherheitsindex im dritten Jahr seiner Erhebung seinen bislang höchsten Wert (2014: 60, Punkte; 2015: 63,0 Punkte). Demnach hätte sich die Sicherheitslage auch in diesem Jahr weiter verbessert.

Auch das Sicherheitswissen der Verbraucher ist weiter gestiegen und erreicht mit 84,2 Punkten einen erfreulich hohen Wert. Ganz anders hingegen das Sicherheitsverhalten. Zwar hat sich auch die Bereitschaft zur Anwendung von Schutzmaßnahmen grundsätzlich positiv entwickelt (52,9 Punkte), die Diskrepanz zum eigentlichen Wissen ist jedoch enorm.

So wissen beispielsweise 98,2 Prozent um die Bedeutung von Antiviren-Software, aber nur 82,1 Prozent nutzen ein entsprechendes Programm. Größer noch sind die Unterschiede im Bereich der Passwörter. Während sich 96,8 Prozent der User laut DsiN Sicherheitsindex dessen bewusst sind, dass es sinnvoll ist, verschiedene Passwörter für unterschiedliche Anwendungen zu nutzen, setzen dies laut einer repräsentativen Umfrage im Auftrag des E-Mail-Anbieters GMX tatsächlich jedoch nur 26 Prozent der Deutschen konsequent um. Viele Internet-Nutzer scheinen also sehenden Auges ins Unglück zu rennen.

Unternehmen sind schlecht geschützt

Bliebe zu hoffen, dass es bei den Unternehmen anders aussieht. Schließlich steht gerade hier viel auf dem Spiel. Doch auch diese Hoffnung erscheint unbegründet. Das zumindest legt die Security Bilanz Deutschland nahe, die das Analystenhaus techconsult im Mai 2016 ebenfalls zum dritten Mal vorstellte. Für die Studie befragten die Analysten 500 Unternehmen zu ihren Sicherheitsmaßnahmen und zu den Gefährdungen, denen sie sich ausgesetzt sehen.

Während jedoch die gefühlte Gefährdungslage im dritten Jahr in Folge steigt (2014: 46 Punkte; 2015: 48 Punkte; 2016: 49 Punkte), sinkt die Einschätzung des eigenen Schutzniveaus deutlich (2014: 57 Punkte; 2015: 54 Punkte; 2016: 50 Punkte). Besonders bei der Umsetzung technischer Maßnahmen gibt es laut Studie deutliche Schwächen.

SBD Sicherheits- und Gefaerdungsindex (techconsult)

SBD Sicherheits- und Gefährdungsindex 2014 – 2016 

Nichtstun ist fatal

Offenbar werden wir alle – Internet-Nutzer wie Unternehmen –  uns der Cyber-Risiken also immer bewusster und bauen unser Wissen um mögliche Schutzmaßnahmen aus. Das große Manko liegt auf der Umsetzungsseite. Wie dramatisch die Folgen diese Nichtstuns sein können, zeigen nicht zuletzt die zahlreichen Medienberichte über offene Industriesteuerungen im Netz. Trotz des Wissens um die Gefahr – und des Vorhandenseins simpler Absicherungsmechanismen – sind viele dieser Anlagen auch heute noch für jeden halbwegs ambitionierten Hobby-Hacker im Netz erreichbar. Die größten Probleme: veraltete Software, unsichere oder gänzlich fehlende Passwörter. So berichtete Spiegel Online erst im Juli über die Angreifbarkeit der Steuerungssysteme vieler deutscher Wasserwerke, die auch das Bundesamt für Sicherheit in der Informationstechnik auf den Plan rief. Im schlimmsten Fall, hieß es, ließen sich die Systeme mit „Standardmethoden“ so manipulieren, dass die Versorgung der Bevölkerung mit sauberem Trinkwasser nicht mehr gewährleistet wäre.

Dabei wäre es in vielen Fällen so einfach, das Sicherheitsniveau zumindest ein gutes Stück voranzubringen: Software und Firmware aktuell halten, sichere, regelmäßig geänderte Passwörter oder besser noch Zertifikate oder 2-Faktor-Authentifizierung nutzen und Fernzugänge konsequent verschlüsseln.

Zumindest die Wasserwerke haben ihre löchrigen Systeme offenbar mittlerweile geschlossen. Es wäre an der Zeit, dass andere es ihnen nachmachen und die Sorglosigkeit von Internet-Nutzern und Unternehmen ein Ende hat – auch ohne Einschreiten des BSI.

 

Veröffentlicht in Engagement, Netzpolitik Getagged mit: , , , , , , , ,
2 Kommentare zu “IT-Sicherheit: Sehenden Auges ins Unglück
  1. Wolfgang Jäger sagt:

    Brauchen wir hier eine Nachweispflicht / Prüfung ?

    Für Autos gibt es den TÜV. Obwohl es Markenwerkstätten und freie Werkstätten mit KfZ-Meistern gibt und herstellerseitig vorgegebene regelmäßige Inspektionen. In der IT gibt es Systemhäuser und IT-Service-Firmen mit Dipl.-Informatikern und FiSi’s und herstellerseitige Updates zum Installieren. Wo aber ist der „Computer-TÜV“?

    Je nach Art des Gewerbes gibt es Kontrollen durch Berufsgenossenschaften, Gewerbeaufsicht, Veterinärämter, Dopingkontrollen, BAG, Bauämter, Prüfingenieure, Zoll, usw. usf.. Und die IT?

    Nutzungsänderungen bei gewerblich genutzten Gebäuden bedürfen einer Änderungsanzeige/Genehmigung beim Bauamt und eine Änderung der Anzahl der Mitarbeiter führt ggf. bis hin zu einer Prüfung, ob die Anzahl der Toiletten der Arbeitsstättenverordnung (ArbStättV) entspricht. Jeder private Bauherr muss seine privaten Helfer (außer nahe Verwandte) bei der Berufsgenossenschaft melden…

    Es gibt also in Deutschland ein – teilweise sehr kleinkariertes – Kontrollsystem für alle möglichen Gefahrenpotentiale. Nur scheinbar nicht für IT-Sicherheit. Na gut, früher gab es die „Bundespost-Aufkleber“ auf Modems und BTX-Geräten. Nur dass es die nicht mehr gibt. Genausowenig wie die Glaubwürdigkeit der AU-Prüfungen beim TÜV. Warum wird neben der Wasserqualität nicht auch die IT-Sicherheit bei Stadtwerken geprüft???

    Nicht dass ich dafür bin, die Kontrollen und Überwachungen von Privatpersonen und Gewerbetreibenden zu intensivieren, aber über eine sinnvolle Umgestaltung bin ich bereit, nachzudenken.

    Möglich wären Kontrollen/Prüfungen/schriftliche Nachweisvorlagen beim BSI/BMI. Kostet aber Geld, Personal und stört betriebliche Abläufe.

    Möglich wäre die Unterrichtung von Jugendlichen in der Schule. Ähnlich wie früher die Verkehrserziehung – nur eben als Pflichtfach mit Benotung. Jeder darf Fahrrad fahren ohne Führerschein und ohne TÜV. Die meisten halten sich an die StVO und es gibt Kontrollen durch Polizei und Ordnungsämter. E-Mail und Internet darf auch jeder ohne Nachweis einer Befähigung benutzen. Wer aber kennt das NIE-Gesetz (Netzwerk-, Internet- und Email- Gesetz)?

    Eine andere – sicherlich kontroverse – Idee:
    Es wird der Besitz und die Nutzung von Computerviren und Trojanern per Gesetz unter Strafe gestellt. Analog zu Drogen- und Waffenbesitz. Beginnend als kleine Ordnungswidrigkeit und dann abgestuft weiter. Allein die gesetzliche Regelung würde schon viel Nutzer dazu bewegen, etwas für die Sicherheit zu tun. Auch wenn es nur um die Eigene geht. Ausnahmen sind möglich für spezialisierte IT-Unternehmen zu Forschungszwecken (z.B. AV-Test.org) ähnlich wie bei Betäubungsmitteln für Ärzte und Apotheker.

    Eine weitere – radikale – Lösung:
    Computerviren, Trojaner & Co werden behandelt wie Geschützte Tierarten, Historisches Kulturgut, Verfassungswidrige Medien, Waffen und Munition. Sprich: generelles Einfuhrverbot; Grenzkontrollen und Beschlagnahmung durch den Zoll, Bundesgrenzschutz und die Polizei. Dafür werden an den deutschen Internetknoten Scanner installiert, die Locky und Co. bereits beim Versuch der Einreise abfangen. An Flughäfen gibt es schon immer Kontrollen für die erstgenannten Einfuhreinschränkungen und eine sofortige Beschlagnahmung durch den Zoll noch vor der Einreise. Und weil Computerviren und Trojaner die deutsche Wirtschaft mindestens genau so schädigen wie gefälschte Markenprodukte könnte doch von staatlicher Seite auch ähnlich dagegen vorgegangen werden. Es sind Handlungen, welche die Wirtschaft schädigen und die Sicherheit und die Gesundheit gefährden (Trinkwasser, Kraftwerke…). Durchaus ein Fall für das Verteidigungsministerium. Fragezeichen?

    Und nein, ich möchte keine Chinesischen Verhältnisse und kein eingeschränktes Internet.
    Andererseits lassen die meisten Nutzer von Ihren Maiprovidern (T-Online, GMX, WEB.de, Freenet, usw. usf.) ihre Mails freiwillig beim Provider auf Viren & Co. prüfen. Große Firmen scannen sämtliche Mails und den Internetverkehr ihrer Mitarbeiter bereits am Gateway und durch clientseitige Sicherheitssoftware. Warum das ganze nicht auch schon an den „Zollgrenzen“ vorprüfen lassen?

    Die Zeit der Zwangsrouter ist vorbei. Jetzt ist es Zeit für Mindestanforderungen an Router und Zugangsdaten. Routerfreiheit heißt auch, dass vermehrt Billigartikel aus China zum Einsatz kommen und dass möglicherweise Firmware mit eingebauten Hintertüren zum Einsatz kommen kann.

    Aber solange einige Politiker auch 2016 und 2017 das Internet noch als Neuland entdecken und sich lieber von den Lobbyisten börsennotierter ISP’s beraten lassen, anstatt von deutschen IT-Fachkräften, werden auch Sicherheitslösungen und Ansätze dazu unentdeckt bleiben.

    Also legen wir los und kümmern uns selber !

    Ach, und das NIE-Gesetz habe ich auch noch nie gesehen oder davon gehört. Vielleicht kommt es ja irgendwann.

  2. Oliver sagt:

    Früher hätte ich wohl ähnliches geschrieben wie hier zu lesen – heute nicht mehr. Die IT-Welt ist viel zu komplex geworden, als das ein nicht Technikaffiner Nutzer da überhaupt noch irgendetwas durchblicken könnte.

    Von den Anwendern richtiges Verhalten einzufordern ist der falsche Weg! Es muss von den IT-Technik-Herstellern eingefordert werden auch wenn Technik für die Anwender dann unbequemer zu benutzen sein wird. Und damit ein Hersteller auch das Interesse dafür aufbringt es zu tun, muss das Unterlassen richtig heftige Strafen nach sich ziehen – kein Kleingeld – es müssen Strafen sein, die nicht mehr aus der Portokasse gezahlt werden können. (Fahrlässig) vernachlässigte IT-Sicherheit seitens eines Herstellers muss Strafen zur Folge haben, die seine Aktionäre und Investoren zur Weißglut bringen. Bei einem Router wird als erste! Konfigurationshandlung nicht das Setzen eines harten Passwortes erzwungen – Strafe – Bumm!

    Wenn ein Programmierfehler (Tippfehler) zu eine Lücke führt ist das eine Sache – das muss ein Hersteller beheben sobald bekannt und gut. Wenn aber systematische Fehler vorhanden sind – wie Weboberflächen zur Konfiguration die man nicht schützen kann – ja so etwas gibt es – dann ist das inakzeptabel und wohl kaum den Anwendern anzulasten. Derzeit kommt ein Hersteller damit durch – das darf nicht sein – selbst dann wenn das Produkt schon 20 Jahre alt ist.

    Das mag Innovationen abwürgen? Gut – die Menschheit wird das eher überstehen, als noch mehr fahrlässige IT-Innovationen.

    Und letztlich muss es weltweit – ähnlich wie bei Streumunition – geächtet werden, wenn staatliche Einrichtungen – also insbesondere die diversen Drei-Buchstaben-Behörden – Schwachstellen finden und lieber selbst ausnutzen anstatt zu Melden. Gut solange die USA im UN-Sicherheitsrat ein Veto-Recht haben bringt die Ächtung nichts – aber das ist ein anderes Thema…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.