Sarah Schierack führt aus, es würde "schon jetzt eine große Menge Geld in IT-Sicherheit investiert", Firmen und Einrichtungen müssten sich aber "noch besser aufstellen". Es seien Profis nötig. Das ist richtig und auch wieder nicht.
Nicht nur Profis sind für die Sicherheit von Computersystemen zuständig. Es sind alle, die an und mit Computern arbeiten. Es lässt sich nicht oft genug wiederholen: Sichere Passwörter verwenden, verschiedene Passwörter für verschiedene Dienste verwenden, Vorsicht, wenn Mails locken, man solle auf einen Link klicken oder einen Dateianhang öffnen, Vorsicht, wenn Datenträger eingelegt oder angeschlossen werden wollen. Diese und weitere Hinweise sind zuhauf verbreitet worden.
Vieles im Zusammenhang mit Sicherheit von Computersystemen erfordert Profis. Das trifft die Seite der Anwender und die Seite der Produzenten. Auf der Seite der Anwender müssen Systeme so konfiguriert werden, dass sie möglichst sicher sind. Betriebssysteme, Anwendungen und Sicherheitsanwendungen müssen aktuell sein und gehalten werden. Wer ein Uralt-Betriebssystem einsetzt in einem vermeintlich wenig wichtigen Teilbereich eines Unternehmens muss sich im Klaren sein, dass dies ein Einfallstor bedeuten kann.
Allerdings sind auch die Hersteller von Software gefordert: Anwender sagen, sie können kein aktuelles Betriebssystem verwenden, weil eine Spezialanwendung nur auf einem alten Betriebssystem läuft. Hier sind die Hersteller der Anwendungen gefordert. Es ist inakzeptabel, wenn eine Software über Jahre hinweg nicht aktualisiert wird. Ja, Zulassungsverfahren dauern z.B. im Medizinbereich lange und sind teuer. Noch teurer ist es, wenn wegen einer veralteten Anwendung ein altes Betriebssystem eingesetzt werden muss und über dieses Schadsoftware in ein Unternehmen eindringen kann. Der Gesetzgeber sollte überlegen, wie er hier zu einem moderneren Haftungsrecht kommt.
Apropos Gesetzgeber: Sarah Schierack schreibt weiter:
Nicht nur Profis sind für die Sicherheit von Computersystemen zuständig. Es sind alle, die an und mit Computern arbeiten. Es lässt sich nicht oft genug wiederholen: Sichere Passwörter verwenden, verschiedene Passwörter für verschiedene Dienste verwenden, Vorsicht, wenn Mails locken, man solle auf einen Link klicken oder einen Dateianhang öffnen, Vorsicht, wenn Datenträger eingelegt oder angeschlossen werden wollen. Diese und weitere Hinweise sind zuhauf verbreitet worden.
Vieles im Zusammenhang mit Sicherheit von Computersystemen erfordert Profis. Das trifft die Seite der Anwender und die Seite der Produzenten. Auf der Seite der Anwender müssen Systeme so konfiguriert werden, dass sie möglichst sicher sind. Betriebssysteme, Anwendungen und Sicherheitsanwendungen müssen aktuell sein und gehalten werden. Wer ein Uralt-Betriebssystem einsetzt in einem vermeintlich wenig wichtigen Teilbereich eines Unternehmens muss sich im Klaren sein, dass dies ein Einfallstor bedeuten kann.
Allerdings sind auch die Hersteller von Software gefordert: Anwender sagen, sie können kein aktuelles Betriebssystem verwenden, weil eine Spezialanwendung nur auf einem alten Betriebssystem läuft. Hier sind die Hersteller der Anwendungen gefordert. Es ist inakzeptabel, wenn eine Software über Jahre hinweg nicht aktualisiert wird. Ja, Zulassungsverfahren dauern z.B. im Medizinbereich lange und sind teuer. Noch teurer ist es, wenn wegen einer veralteten Anwendung ein altes Betriebssystem eingesetzt werden muss und über dieses Schadsoftware in ein Unternehmen eindringen kann. Der Gesetzgeber sollte überlegen, wie er hier zu einem moderneren Haftungsrecht kommt.
Apropos Gesetzgeber: Sarah Schierack schreibt weiter:
"Vor allem aber darf es nicht sein, dass Geheimdienste ihr Wissen über Sicherheitslücken für sich behalten, um sie für ihre eigenen Zwecke zu nutzen. Eine Organisation, die so handelt, gefährdet Menschen auf der ganzen Welt."Das ist dick zu unterstreichen. Es muss aber weitergedacht werden. In Abwandlung des Gesetzes von Murphy steht zu befürchten:
"Alle Sicherheitslücken werden auch ausgenutzt."Das sollten sich all diejenigen zu Herzen nehmen, die Staatstrojanern, staatlich initiierten Hintertüren etc. mit dem Argument der Sicherheitspolitik das Wort reden. Es wird sich nicht garantieren lassen, dass solche Sicherheitslücken nur von vertrauenswürdigen staatlichen Stellen genutzt werden. Dann sind es nicht nur Geheimdienste, die "Menschen auf der ganzen Welt" gefährden, sondern dann ist es die Politik. Deshalb: Nein, keine staatlich verordneten Sicherheitslücken in Software. Der behauptete Sicherheitsgewinn rechtfertigt nicht das einhergehende Risiko.
Keine Kommentare:
Kommentar veröffentlichen