Sicherheitspraxis statt Sicherheitssoftware

Noch erschreckender ist aber, dass die beiden Sicherheitssoftware-Hersteller sowie alle anderen Betroffenen mit Orion eine Software einsetzen, die offensichtlich eine desaströse Sicherheitspraxis fährt. Und der sie dann auch noch weitreichende Kontrolle gaben.

Was bringt eine Sicherheitssoftware, wenn ich einem Hersteller Vollzugriff gebe, der das Passwort "solarwinds123" für seine Update-Server verwendet, dieses unterirdisch schlechte Passwort dann auch noch auf Github leakt und erst nach einem Hinweis eineinhalb Jahre später ändert?

Das macht fassungslos und zeigt, dass Sicherheitsexperten recht haben, wenn in ihren Top-5-Sicherheitspraktiken Antivirensoftware nicht auftaucht, während sichere Passwörter und Software-Updates ganz vorne dabei sind. Da ist man schon fast geneigt hinzuzufügen: Lasst doch einfach beides weg, die unsichere Managementsoftware und die AV-Software.

Der Solarwinds-Hack illustriert, dass die Sicherheitssoftware vor vielen Angriffen schlicht nicht schützen und vor allem nicht von einer guten Sicherheitspraxis befreien kann.

Ein weiteres Beispiel hierfür könnte auch Emotet sein. Der Trick hinter Emotet wird bereits seit 20 Jahren von Schadsoftware genutzt: Office-Makros. Diese dürfte die am meisten ausgenutzte Sicherheitslücke der vergangenen Jahre sein.

Statt sie zu beheben, gibt der Office-Hersteller jedoch mit Microsoft Defender eine Sicherheitssoftware heraus, die offensichtlich weitgehend wirkungslos ist.

Nicht selten schafft die Sicherheitssoftware aber nicht nur keine Sicherheit, sondern ist selbst die Sicherheitslücke. Auch das belegen etliche Vorfälle im vergangenen Jahr.