RSA-Sicherheitskonferenz: „Irgendwann machen sie alle einen Fehler“

RSA-Sicherheitskonferenz
„Open Source wird ein ernstes Problem“

„Irgendwann machen sie alle einen Fehler“

Viele Manager haben noch immer eine unbegründete Angst vor dem FBI, sagt Taddeo, der als FBI-Spezialist „fast täglich“ mit Firmenvorständen zu tun gehabt hat. „Wir durchsuchen oder beschlagnahmen in solchen Fällen keine Daten", stellt er klar. „Wir ermitteln ja nicht gegen die Firma. Wir wollen Hacker aufspüren. Das ist ganz etwas anderes als beispielsweise die Ermittlung gegen VW derzeit.“

Auch Justin Somaini kann nicht mehr viel schocken. Der neue Chief Security Officer bei SAP sieht solche Fälle nicht erst seit ein paar Jahren. „Ich erinnere mich noch an Banken in den 90er Jahren, deren Daten von Fremden verschlüsselt wurden“, erinnert sich der langjährige Security-Spezialist. Aber damals redete halt niemand drüber. Das waren interne Diskussionen unter Spezialisten.

Heute ist das anders. Heute kommen Kunden und löchern Lieferanten mit unangenehmen Fragen zur Sicherheit, weiß Somaini. Die Unsicherheit sei enorm: Aufsichtsräte sagen: „Ich habe Angst, aber weiß nicht genau wovor.“ Denn die Bedrohungslage ist extrem komplex geworden. „Früher war alles auf einen Großcomputer in einem abgeschlossenen Raum. Heute sind die Daten rund um die Welt verteilt.“

Die Sicherheitsindustrie kommt selbst kaum noch mit. Vor 20 Jahren war eine „Firewall“ die Lösung schlechthin. Heute ist es nur noch ein kleiner Teil einer Sicherheitsstrategie. Firmen wie Cryptzone setzen jetzt auf Lösungen im Inneren. Wichtige Bereiche der Netzwerke werden „unsichtbar“ gemacht. Ein Eindringling findet dann kaum noch etwas Interessantes vor.

Die Herausforderungen wachsen dabei überproportional. Besonders die Zunahme von „Open Source“-Software ist ein Problem. Durch sie wird die Erstellung von Apps schneller und preisgünstiger, aber „man weiß nie, wer wirklich was programmiert hat und wo Lücken sein könnten.“ Die korrekte Behandlung und Kontrolle von Open Source-Software wird „eine der größten Herausforderungen für die Wirtschaft“, warnt Somaini.

Gerade erst wurde eine neue, schwere Datenlücke namens DROWN (Decrypting RSA using Obsolete and Weakened eNcryption) aufgespürt, die es Hackern ermöglicht, sich in Minutenschnelle in Server einzuschleichen und unbemerkt verschlüsselte Kommunikation wie Passwörter abzugreifen und zu lesen. Die angegriffene Software ist Open Source, sie steht also offen jedem kostenlos und frei zur Verfügung – und wird in tausenden Unternehmen eingesetzt.

Aber Open Source bedeutet auch, dass niemand wirklich verantwortlich ist, Fehler zu finden oder zu beheben. Das wird Folgen haben. „Ich bin sicher“, so der Sicherheitschef von SAP, „dass wir große Unternehmen scheitern sehen werden, weil sie es versäumen, Sicherheit für sich als wichtiges Unterscheidungsmerkmal in ihrer Branche herauszuarbeiten.“ Unternehmen müssten schnell Wege finden, um verwendete Open Source-Software, in manchen Firmen bis zu 60 Prozent der Software, zu prüfen, zu managen und zu überwachen.

Doch so professionell das alles auch gehandhabt wird, am Ende wird immer auch ein Quäntchen Glück dazugehören, um die „bösen Jungs“ zu schnappen. Der Silk Road-Gründer etwa wurde nur durch einen dummen Fehler gefasst.

Der Mann hinter der Plattform für den Handel von Drogen und Kreditkartennummern hatte sich in das W-LAN-Netz der Stadtbücherei von San Francisco eingeloggt und seine Seite gepflegt. So konnten die herbeieilenden Ermittler ihn auf frischer Tat mit eingeschaltetem Laptop ertappen und festnehmen.

„Irgendwann“, so Taddeo, „machen sie alle Fehler. Alle.“

Seite 1:

„Open Source wird ein ernstes Problem“

Seite 2:

„Irgendwann machen sie alle einen Fehler“

Handelsblatt-Korrespondent Axel Postinett
Axel Postinett
Handelsblatt / Korrespondent
Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%