Bruce Schneier: Auch das Wirtschaftssystem trägt Schuld am Solarwinds-Hack
Im vergangenen Jahr wurden etliche Behörden und Firmen über Softwareprodukte von Solarwinds gehackt . Auf seinem Blog geht der Sicherheitsexperte und Kryptograph Bruce Schneier der Frage nach, wer Schuld an dem Debakel hat: Neben der US-Regierung sieht er auch das Wirtschaftssystem in der Verantwortung.
"Natürlich trägt die US-Regierung erhebliche Schuld an der unzureichenden Cyberverteidigung. Aber das Problem nur als technisches Manko zu sehen, geht am Gesamtbild vorbei," schreibt Schneier in seinem Blog(öffnet im neuen Fenster) . Die moderne Marktwirtschaft belohne Unternehmen für kurzfristige Gewinne und aggressive Kostensenkungen - und sei damit ebenfalls Teil des Problems.
Diese Anreizstruktur stelle fast immer sicher, dass erfolgreiche Technologieunternehmen am Ende unsichere Produkte und Dienstleistungen verkaufen. Denn gewinnorientierte Unternehmen zielten darauf ab, den Shareholder Value zu steigern, indem sie Kosten minimieren und den Gewinn maximieren. So auch Solarwinds, das sich zum Teil im Besitz der Private-Equity-Firmen Silver Lake und Thoma Bravo befinde, die für extreme Kostensenkungen bekannt seien.
An der IT-Sicherheit sparen, bedeutet kurzfristige Gewinne
Cybersicherheit sei ein klassischer Bereich, in dem Technologieunternehmen Kosten sparen, weil diese von den Kunden nicht bemerkt würden - außer sie würden gehackt, schreibt Schneier. Wenn das passiere, sei jedoch bereits für das Produkt bezahlt worden. "Mit anderen Worten: Das Risiko eines Cyberangriffs kann auf die Kunden übertragen werden."
Das könne zwar dazu führen, langfristig Kunden zu verlieren, aber die Unternehmen seien auf kurzfristige Gewinne fokussiert und daher oft bereit, dieses Risiko einzugehen, erklärt der Sicherheitsexperte. Dafür würden die Unternehmen obendrein vom Markt belohnt - insbesondere dann, wenn die Risiken größtenteils von anderen Parteien wie etwa den Steuerzahlern übernommen würden.
Die Sicherheitsrisiken tragen Individuen und Gesellschaft
Das Prinzip dahinter sei als "Privatisierung von Gewinnen und Sozialisierung von Verlusten" bekannt. Insbesondere Unternehmen, die "zu groß zum Scheitern" seien, würden im Zweifel von der Gesellschaft gerettet. Ähnliches passiere, wenn die IT-Sicherheit durch Technologieunternehmen auf ihre Kunden und die Gesellschaft abgewälzt würden.
Solarwinds habe offensichtlich an der Sicherheit gespart, obwohl Regierungseinrichtungen und große Firmen, die entsprechenden Angriffen ausgesetzt seien, zu den Kunden von Solarwinds gehören. So hatte ein Sicherheitsberater von Solarwinds gekündigt, nachdem seine Empfehlungen zur Stärkung der Sicherheit ignoriert wurden.
Diese wären offensichtlich dringend notwendig gewesen: So lautete das Passwort für die Update-Server des Unternehmens über mehrere Jahre "solarwinds123" . Dass das Unternehmen mittlerweile einen Praktikanten(öffnet im neuen Fenster) für das Passwort und dessen Veröffentlichung auf Github verantwortlich macht, macht alles fast noch schlimmer.
Und das ist ohnehin nur die Spitze des Eisbergs: So konnten mehrere Angreifergruppen, wahrscheinlich aus Russland und China, über unterschiedliche Sicherheitslücken in die Systeme von Solarwinds eindringen und zudem über einen langen Zeitraum die Unternehmens-E-Mails mitlesen.
Technologieunternehmen und IT-Sicherheit müssen staatlich reguliert werden
"Es gibt keinen guten Grund, zu wenig für die Sicherheit auszugeben, es sei denn, um Geld zu sparen," erklärt Schneier. Doch die Fehlanreize des Wirtschaftssystems führten eben genau dazu. Das sei nicht nur bei Solarwinds der Fall, sondern ziehe sich im Prinzip durch die komplette Technologie-Branche.
Es reiche von Telefongesellschaften, die Sim-Swapping-Angriffe nicht verhindern würden, weil die Kosten größtenteils an den Kunden hängen blieben, bis hin zu "Datenbrokern und Kreditbüros, die Ihre persönlichen Daten sammeln, nutzen und verkaufen" , schreibt der Sicherheitsexperte. Die Firmen gäben "nicht viel Geld für deren Sicherung aus, weil es Ihr Problem ist, wenn jemand sie hackt und stiehlt" , betont er.
Um die beiden Probleme - die Informationsasymmetrie zwischen Kunden und Softwareprodukten/Unternehmen und die perverse Anreizstruktur - zu lösen, brauche es dringend staatliche Eingriffe. Beispielsweise festgelegte Mindestsicherheitsstandards für Software und Softwareentwicklung sowie verpflichtende Sicherheitsinformationen für die Kunden, schreibt Schneier.
"In den heutigen unterregulierten Märkten ist es für Softwarefirmen wie Solarwinds einfach zu einfach, Geld zu sparen, indem sie an der Sicherheit sparen und auf das Beste hoffen. Das ist eine rationale Entscheidung in der heutigen Welt der freien Marktwirtschaft, und der einzige Weg, das zu ändern, ist die Änderung der wirtschaftlichen Anreize," fasst Schneier die Situation zusammen.
Leider findet sich dergleichen bis dato nicht im IT-Sicherheitsgesetz 2.0. Auch wenn der Chaos Computer Club (CCC) mit einer Produkthaftung und einem Mindesthaltbarkeitsdatum in einer Anhörung zum Gesetz im Bundestag , Ähnliches forderte.