Bruce Schneier: Auch das Wirtschaftssystem trägt Schuld am Solarwinds-Hack

Mit schlechter IT-Sicherheit würden Gewinne gemacht, während Verbraucher und Gesellschaft die Risiken trügen. Das muss sich laut Schneier ändern.

Artikel veröffentlicht am ,
Sicherheitsexperte und Kryptograph Bruce Schneier
Sicherheitsexperte und Kryptograph Bruce Schneier (Bild: Terry Robinson/CC-BY-SA 2.0)

Im vergangenen Jahr wurden etliche Behörden und Firmen über Softwareprodukte von Solarwinds gehackt. Auf seinem Blog geht der Sicherheitsexperte und Kryptograph Bruce Schneier der Frage nach, wer Schuld an dem Debakel hat: Neben der US-Regierung sieht er auch das Wirtschaftssystem in der Verantwortung.

Stellenmarkt
  1. Softwareentwickler - DSP (m/w/d)
    KACO new energy GmbH, Neckarsulm
  2. Software-Entwickler (w/m/d) für POS-Retail-Applikationen
    BEST System Technik GmbH, Bielefeld
Detailsuche

"Natürlich trägt die US-Regierung erhebliche Schuld an der unzureichenden Cyberverteidigung. Aber das Problem nur als technisches Manko zu sehen, geht am Gesamtbild vorbei", schreibt Schneier in seinem Blog. Die moderne Marktwirtschaft belohne Unternehmen für kurzfristige Gewinne und aggressive Kostensenkungen - und sei damit ebenfalls Teil des Problems.

Diese Anreizstruktur stelle fast immer sicher, dass erfolgreiche Technologieunternehmen am Ende unsichere Produkte und Dienstleistungen verkaufen. Denn gewinnorientierte Unternehmen zielten darauf ab, den Shareholder Value zu steigern, indem sie Kosten minimieren und den Gewinn maximieren. So auch Solarwinds, das sich zum Teil im Besitz der Private-Equity-Firmen Silver Lake und Thoma Bravo befinde, die für extreme Kostensenkungen bekannt seien.

An der IT-Sicherheit sparen, bedeutet kurzfristige Gewinne

Cybersicherheit sei ein klassischer Bereich, in dem Technologieunternehmen Kosten sparen, weil diese von den Kunden nicht bemerkt würden - außer sie würden gehackt, schreibt Schneier. Wenn das passiere, sei jedoch bereits für das Produkt bezahlt worden. "Mit anderen Worten: Das Risiko eines Cyberangriffs kann auf die Kunden übertragen werden."

Golem Karrierewelt
  1. Airtable Grundlagen: virtueller Ein-Tages-Workshop
    17.02.2023, Virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    14.-16.02.2023, Virtuell
Weitere IT-Trainings

Das könne zwar dazu führen, langfristig Kunden zu verlieren, aber die Unternehmen seien auf kurzfristige Gewinne fokussiert und daher oft bereit, dieses Risiko einzugehen, erklärt der Sicherheitsexperte. Dafür würden die Unternehmen obendrein vom Markt belohnt - insbesondere dann, wenn die Risiken größtenteils von anderen Parteien wie etwa den Steuerzahlern übernommen würden.

Die Sicherheitsrisiken tragen Individuen und Gesellschaft

Das Prinzip dahinter sei als "Privatisierung von Gewinnen und Sozialisierung von Verlusten" bekannt. Insbesondere Unternehmen, die "zu groß zum Scheitern" seien, würden im Zweifel von der Gesellschaft gerettet. Ähnliches passiere, wenn die IT-Sicherheit durch Technologieunternehmen auf ihre Kunden und die Gesellschaft abgewälzt würden.

Solarwinds habe offensichtlich an der Sicherheit gespart, obwohl Regierungseinrichtungen und große Firmen, die entsprechenden Angriffen ausgesetzt seien, zu den Kunden von Solarwinds gehören. So hatte ein Sicherheitsberater von Solarwinds gekündigt, nachdem seine Empfehlungen zur Stärkung der Sicherheit ignoriert wurden.

Diese wären offensichtlich dringend notwendig gewesen: So lautete das Passwort für die Update-Server des Unternehmens über mehrere Jahre "solarwinds123". Dass das Unternehmen mittlerweile einen Praktikanten für das Passwort und dessen Veröffentlichung auf Github verantwortlich macht, macht alles fast noch schlimmer.

Und das ist ohnehin nur die Spitze des Eisbergs: So konnten mehrere Angreifergruppen, wahrscheinlich aus Russland und China, über unterschiedliche Sicherheitslücken in die Systeme von Solarwinds eindringen und zudem über einen langen Zeitraum die Unternehmens-E-Mails mitlesen.

Technologieunternehmen und IT-Sicherheit müssen staatlich reguliert werden

"Es gibt keinen guten Grund, zu wenig für die Sicherheit auszugeben, es sei denn, um Geld zu sparen", erklärt Schneier. Doch die Fehlanreize des Wirtschaftssystems führten eben genau dazu. Das sei nicht nur bei Solarwinds der Fall, sondern ziehe sich im Prinzip durch die komplette Technologie-Branche.

Es reiche von Telefongesellschaften, die Sim-Swapping-Angriffe nicht verhindern würden, weil die Kosten größtenteils an den Kunden hängen blieben, bis hin zu "Datenbrokern und Kreditbüros, die Ihre persönlichen Daten sammeln, nutzen und verkaufen", schreibt der Sicherheitsexperte. Die Firmen gäben "nicht viel Geld für deren Sicherung aus, weil es Ihr Problem ist, wenn jemand sie hackt und stiehlt", betont er.

Um die beiden Probleme - die Informationsasymmetrie zwischen Kunden und Softwareprodukten/Unternehmen und die perverse Anreizstruktur - zu lösen, brauche es dringend staatliche Eingriffe. Beispielsweise festgelegte Mindestsicherheitsstandards für Software und Softwareentwicklung sowie verpflichtende Sicherheitsinformationen für die Kunden, schreibt Schneier.

"In den heutigen unterregulierten Märkten ist es für Softwarefirmen wie Solarwinds einfach zu einfach, Geld zu sparen, indem sie an der Sicherheit sparen und auf das Beste hoffen. Das ist eine rationale Entscheidung in der heutigen Welt der freien Marktwirtschaft, und der einzige Weg, das zu ändern, ist die Änderung der wirtschaftlichen Anreize", fasst Schneier die Situation zusammen.

Leider findet sich dergleichen bis dato nicht im IT-Sicherheitsgesetz 2.0. Auch wenn der Chaos Computer Club (CCC) mit einer Produkthaftung und einem Mindesthaltbarkeitsdatum in einer Anhörung zum Gesetz im Bundestag, Ähnliches forderte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Kleba 03. Mär 2021

Das ist aber eine recht eigenwillige Definition, findest du nicht (also insbesondere der...

dummi 02. Mär 2021

Mehr will ich dazu gar nicht sagen. Ein Hinweis vielleicht noch. Es wird nicht nur bei...

Thargon 02. Mär 2021

Was genau könnte man für "Standards" definieren, um effektiv eine gewisse...



Aktuell auf der Startseite von Golem.de
Urheberrechtsverletzung
US-Marine muss Strafe an deutsche Firma bezahlen

Noch während der Lizenzverhandlungen installierte die US-Marine eine Software auf über 500.000 Rechnern. Sechs Jahre später muss sie dafür bezahlen.

Urheberrechtsverletzung: US-Marine muss Strafe an deutsche Firma bezahlen
Artikel
  1. Karmesin und Purpur: Nintendo entschuldigt sich für Probleme mit Pokémon
    Karmesin und Purpur
    Nintendo entschuldigt sich für Probleme mit Pokémon

    Schwache Grafik und trotzdem Ruckler: Viele Spieler ärgern sich über den technischen Zustand von Pokémon Karmesin/Purpur.

  2. Bayern: Arbeitszeit von mehr als 10 Stunden am Tag gefordert
    Bayern
    Arbeitszeit von mehr als 10 Stunden am Tag gefordert

    Die bayerische Arbeitsministerin plädiert für mehr Flexibilität am Arbeitsplatz und will mehr als zehn Stunden Arbeit pro Tag erlauben.

  3. EuGH: Google legt erneut Einspruch gegen Milliardenstrafe ein
    EuGH
    Google legt erneut Einspruch gegen Milliardenstrafe ein

    Google will keine 4,125 Milliarden Euro zahlen und zieht mit dem Fall vor den Europäischen Gerichthof. Es geht um Android.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • LG OLED TV (2022) 55" 120Hz 949€ • Mindstar: Geforce RTX 4080 1.449€ • Tiefstpreise: G.Skill 32GB Kitt DDR5-7200 • 351,99€ Crucial SSD 4TB 319€, HTC Vive Pro 2 659€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger [Werbung]
    •  /