Bruce Schneier: Auch das Wirtschaftssystem trägt Schuld am Solarwinds-Hack

Mit schlechter IT-Sicherheit würden Gewinne gemacht, während Verbraucher und Gesellschaft die Risiken trügen. Das muss sich laut Schneier ändern.

Artikel veröffentlicht am ,
Sicherheitsexperte und Kryptograph Bruce Schneier
Sicherheitsexperte und Kryptograph Bruce Schneier (Bild: Terry Robinson/CC-BY-SA 2.0)

Im vergangenen Jahr wurden etliche Behörden und Firmen über Softwareprodukte von Solarwinds gehackt. Auf seinem Blog geht der Sicherheitsexperte und Kryptograph Bruce Schneier der Frage nach, wer Schuld an dem Debakel hat: Neben der US-Regierung sieht er auch das Wirtschaftssystem in der Verantwortung.

Stellenmarkt
  1. IT-Sicherheitsbeauftragter (m/w/d)
    MVV Energy Solutions GmbH, Mannheim
  2. Senior Consultant Network Security (m/w/d)
    operational services GmbH & Co. KG, Dresden, Berlin, Frankfurt am Main, München
Detailsuche

"Natürlich trägt die US-Regierung erhebliche Schuld an der unzureichenden Cyberverteidigung. Aber das Problem nur als technisches Manko zu sehen, geht am Gesamtbild vorbei", schreibt Schneier in seinem Blog. Die moderne Marktwirtschaft belohne Unternehmen für kurzfristige Gewinne und aggressive Kostensenkungen - und sei damit ebenfalls Teil des Problems.

Diese Anreizstruktur stelle fast immer sicher, dass erfolgreiche Technologieunternehmen am Ende unsichere Produkte und Dienstleistungen verkaufen. Denn gewinnorientierte Unternehmen zielten darauf ab, den Shareholder Value zu steigern, indem sie Kosten minimieren und den Gewinn maximieren. So auch Solarwinds, das sich zum Teil im Besitz der Private-Equity-Firmen Silver Lake und Thoma Bravo befinde, die für extreme Kostensenkungen bekannt seien.

An der IT-Sicherheit sparen, bedeutet kurzfristige Gewinne

Cybersicherheit sei ein klassischer Bereich, in dem Technologieunternehmen Kosten sparen, weil diese von den Kunden nicht bemerkt würden - außer sie würden gehackt, schreibt Schneier. Wenn das passiere, sei jedoch bereits für das Produkt bezahlt worden. "Mit anderen Worten: Das Risiko eines Cyberangriffs kann auf die Kunden übertragen werden."

Golem Akademie
  1. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
  2. Terraform mit AWS: virtueller Zwei-Tage-Workshop
    14.–15. Dezember 2021, Virtuell
Weitere IT-Trainings

Das könne zwar dazu führen, langfristig Kunden zu verlieren, aber die Unternehmen seien auf kurzfristige Gewinne fokussiert und daher oft bereit, dieses Risiko einzugehen, erklärt der Sicherheitsexperte. Dafür würden die Unternehmen obendrein vom Markt belohnt - insbesondere dann, wenn die Risiken größtenteils von anderen Parteien wie etwa den Steuerzahlern übernommen würden.

Die Sicherheitsrisiken tragen Individuen und Gesellschaft

Das Prinzip dahinter sei als "Privatisierung von Gewinnen und Sozialisierung von Verlusten" bekannt. Insbesondere Unternehmen, die "zu groß zum Scheitern" seien, würden im Zweifel von der Gesellschaft gerettet. Ähnliches passiere, wenn die IT-Sicherheit durch Technologieunternehmen auf ihre Kunden und die Gesellschaft abgewälzt würden.

Solarwinds habe offensichtlich an der Sicherheit gespart, obwohl Regierungseinrichtungen und große Firmen, die entsprechenden Angriffen ausgesetzt seien, zu den Kunden von Solarwinds gehören. So hatte ein Sicherheitsberater von Solarwinds gekündigt, nachdem seine Empfehlungen zur Stärkung der Sicherheit ignoriert wurden.

Diese wären offensichtlich dringend notwendig gewesen: So lautete das Passwort für die Update-Server des Unternehmens über mehrere Jahre "solarwinds123". Dass das Unternehmen mittlerweile einen Praktikanten für das Passwort und dessen Veröffentlichung auf Github verantwortlich macht, macht alles fast noch schlimmer.

Und das ist ohnehin nur die Spitze des Eisbergs: So konnten mehrere Angreifergruppen, wahrscheinlich aus Russland und China, über unterschiedliche Sicherheitslücken in die Systeme von Solarwinds eindringen und zudem über einen langen Zeitraum die Unternehmens-E-Mails mitlesen.

Technologieunternehmen und IT-Sicherheit müssen staatlich reguliert werden

"Es gibt keinen guten Grund, zu wenig für die Sicherheit auszugeben, es sei denn, um Geld zu sparen", erklärt Schneier. Doch die Fehlanreize des Wirtschaftssystems führten eben genau dazu. Das sei nicht nur bei Solarwinds der Fall, sondern ziehe sich im Prinzip durch die komplette Technologie-Branche.

Es reiche von Telefongesellschaften, die Sim-Swapping-Angriffe nicht verhindern würden, weil die Kosten größtenteils an den Kunden hängen blieben, bis hin zu "Datenbrokern und Kreditbüros, die Ihre persönlichen Daten sammeln, nutzen und verkaufen", schreibt der Sicherheitsexperte. Die Firmen gäben "nicht viel Geld für deren Sicherung aus, weil es Ihr Problem ist, wenn jemand sie hackt und stiehlt", betont er.

Um die beiden Probleme - die Informationsasymmetrie zwischen Kunden und Softwareprodukten/Unternehmen und die perverse Anreizstruktur - zu lösen, brauche es dringend staatliche Eingriffe. Beispielsweise festgelegte Mindestsicherheitsstandards für Software und Softwareentwicklung sowie verpflichtende Sicherheitsinformationen für die Kunden, schreibt Schneier.

"In den heutigen unterregulierten Märkten ist es für Softwarefirmen wie Solarwinds einfach zu einfach, Geld zu sparen, indem sie an der Sicherheit sparen und auf das Beste hoffen. Das ist eine rationale Entscheidung in der heutigen Welt der freien Marktwirtschaft, und der einzige Weg, das zu ändern, ist die Änderung der wirtschaftlichen Anreize", fasst Schneier die Situation zusammen.

Leider findet sich dergleichen bis dato nicht im IT-Sicherheitsgesetz 2.0. Auch wenn der Chaos Computer Club (CCC) mit einer Produkthaftung und einem Mindesthaltbarkeitsdatum in einer Anhörung zum Gesetz im Bundestag, Ähnliches forderte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Prozessoren
Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus

Tausende ältere CPUs und andere Hardware lagern bei Intel in einem Lagerhaus in Costa Rica. Damit lassen sich Probleme exakt nachstellen.

Prozessoren: Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus
Artikel
  1. Zu wenig Triebwerke: Musk warnt vor SpaceX-Pleite
    Zu wenig Triebwerke
    Musk warnt vor SpaceX-Pleite

    Elon Musk sieht sich der nächsten "Produktionshölle" ausgesetzt. Dieses Mal stockt die Fertigung im Raumfahrtunternehmen SpaceX.

  2. Gif-Anbieter: Meta soll zum Verkauf von Giphy gezwungen werden
    Gif-Anbieter
    Meta soll zum Verkauf von Giphy gezwungen werden

    Die Übernahme des Gif-Dienstes Giphy soll Konkurrenten von Facebook, Instagram und Co. unter Druck setzen, argumentiert die britische Kartellbehörde.

  3. Koalitionsvertrag: Was bedeuten die Ampel-Pläne für die Elektromobilität?
    Koalitionsvertrag
    Was bedeuten die Ampel-Pläne für die Elektromobilität?

    Nach dem Willen der Ampelkoalition sollen 15 Millionen Elektroautos bis 2030 auf deutschen Straßen unterwegs sein. Wir haben uns angeschaut, wie das genau umgesetzt werden soll.
    Eine Analyse von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: Bis zu 75% auf Switch-Spiele & 30% auf MSI-Laptops • AOC 31,5" Curved WQHD 165Hz 289,90€ • Gaming-Sale bei MM • G.Skill 64GB Kit 3800MHz 319€ • Bis zu 300€ Direktabzug: u. a. TVs, Laptops • WD MyBook ext. HDD 18TB 329€ • Xbox Series S 275,99€ [Werbung]
    •  /