• IT-Karriere:
  • Services:

Bruce Schneier: Auch das Wirtschaftssystem trägt Schuld am Solarwinds-Hack

Mit schlechter IT-Sicherheit würden Gewinne gemacht, während Verbraucher und Gesellschaft die Risiken trügen. Das muss sich laut Schneier ändern.

Artikel veröffentlicht am ,
Sicherheitsexperte und Kryptograph Bruce Schneier
Sicherheitsexperte und Kryptograph Bruce Schneier (Bild: Terry Robinson/CC-BY-SA 2.0)

Im vergangenen Jahr wurden etliche Behörden und Firmen über Softwareprodukte von Solarwinds gehackt. Auf seinem Blog geht der Sicherheitsexperte und Kryptograph Bruce Schneier der Frage nach, wer Schuld an dem Debakel hat: Neben der US-Regierung sieht er auch das Wirtschaftssystem in der Verantwortung.

Stellenmarkt
  1. BAM Bundesanstalt für Materialforschung und -prüfung, Berlin-Steglitz
  2. Bürgerschaft der Freien und Hansestadt Hamburg, Hamburg

"Natürlich trägt die US-Regierung erhebliche Schuld an der unzureichenden Cyberverteidigung. Aber das Problem nur als technisches Manko zu sehen, geht am Gesamtbild vorbei", schreibt Schneier in seinem Blog. Die moderne Marktwirtschaft belohne Unternehmen für kurzfristige Gewinne und aggressive Kostensenkungen - und sei damit ebenfalls Teil des Problems.

Diese Anreizstruktur stelle fast immer sicher, dass erfolgreiche Technologieunternehmen am Ende unsichere Produkte und Dienstleistungen verkaufen. Denn gewinnorientierte Unternehmen zielten darauf ab, den Shareholder Value zu steigern, indem sie Kosten minimieren und den Gewinn maximieren. So auch Solarwinds, das sich zum Teil im Besitz der Private-Equity-Firmen Silver Lake und Thoma Bravo befinde, die für extreme Kostensenkungen bekannt seien.

An der IT-Sicherheit sparen, bedeutet kurzfristige Gewinne

Cybersicherheit sei ein klassischer Bereich, in dem Technologieunternehmen Kosten sparen, weil diese von den Kunden nicht bemerkt würden - außer sie würden gehackt, schreibt Schneier. Wenn das passiere, sei jedoch bereits für das Produkt bezahlt worden. "Mit anderen Worten: Das Risiko eines Cyberangriffs kann auf die Kunden übertragen werden."

Das könne zwar dazu führen, langfristig Kunden zu verlieren, aber die Unternehmen seien auf kurzfristige Gewinne fokussiert und daher oft bereit, dieses Risiko einzugehen, erklärt der Sicherheitsexperte. Dafür würden die Unternehmen obendrein vom Markt belohnt - insbesondere dann, wenn die Risiken größtenteils von anderen Parteien wie etwa den Steuerzahlern übernommen würden.

Die Sicherheitsrisiken tragen Individuen und Gesellschaft

Das Prinzip dahinter sei als "Privatisierung von Gewinnen und Sozialisierung von Verlusten" bekannt. Insbesondere Unternehmen, die "zu groß zum Scheitern" seien, würden im Zweifel von der Gesellschaft gerettet. Ähnliches passiere, wenn die IT-Sicherheit durch Technologieunternehmen auf ihre Kunden und die Gesellschaft abgewälzt würden.

Solarwinds habe offensichtlich an der Sicherheit gespart, obwohl Regierungseinrichtungen und große Firmen, die entsprechenden Angriffen ausgesetzt seien, zu den Kunden von Solarwinds gehören. So hatte ein Sicherheitsberater von Solarwinds gekündigt, nachdem seine Empfehlungen zur Stärkung der Sicherheit ignoriert wurden.

Diese wären offensichtlich dringend notwendig gewesen: So lautete das Passwort für die Update-Server des Unternehmens über mehrere Jahre "solarwinds123". Dass das Unternehmen mittlerweile einen Praktikanten für das Passwort und dessen Veröffentlichung auf Github verantwortlich macht, macht alles fast noch schlimmer.

Und das ist ohnehin nur die Spitze des Eisbergs: So konnten mehrere Angreifergruppen, wahrscheinlich aus Russland und China, über unterschiedliche Sicherheitslücken in die Systeme von Solarwinds eindringen und zudem über einen langen Zeitraum die Unternehmens-E-Mails mitlesen.

Technologieunternehmen und IT-Sicherheit müssen staatlich reguliert werden

"Es gibt keinen guten Grund, zu wenig für die Sicherheit auszugeben, es sei denn, um Geld zu sparen", erklärt Schneier. Doch die Fehlanreize des Wirtschaftssystems führten eben genau dazu. Das sei nicht nur bei Solarwinds der Fall, sondern ziehe sich im Prinzip durch die komplette Technologie-Branche.

Es reiche von Telefongesellschaften, die Sim-Swapping-Angriffe nicht verhindern würden, weil die Kosten größtenteils an den Kunden hängen blieben, bis hin zu "Datenbrokern und Kreditbüros, die Ihre persönlichen Daten sammeln, nutzen und verkaufen", schreibt der Sicherheitsexperte. Die Firmen gäben "nicht viel Geld für deren Sicherung aus, weil es Ihr Problem ist, wenn jemand sie hackt und stiehlt", betont er.

Um die beiden Probleme - die Informationsasymmetrie zwischen Kunden und Softwareprodukten/Unternehmen und die perverse Anreizstruktur - zu lösen, brauche es dringend staatliche Eingriffe. Beispielsweise festgelegte Mindestsicherheitsstandards für Software und Softwareentwicklung sowie verpflichtende Sicherheitsinformationen für die Kunden, schreibt Schneier.

"In den heutigen unterregulierten Märkten ist es für Softwarefirmen wie Solarwinds einfach zu einfach, Geld zu sparen, indem sie an der Sicherheit sparen und auf das Beste hoffen. Das ist eine rationale Entscheidung in der heutigen Welt der freien Marktwirtschaft, und der einzige Weg, das zu ändern, ist die Änderung der wirtschaftlichen Anreize", fasst Schneier die Situation zusammen.

Leider findet sich dergleichen bis dato nicht im IT-Sicherheitsgesetz 2.0. Auch wenn der Chaos Computer Club (CCC) mit einer Produkthaftung und einem Mindesthaltbarkeitsdatum in einer Anhörung zum Gesetz im Bundestag, Ähnliches forderte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

Kleba 03. Mär 2021 / Themenstart

Das ist aber eine recht eigenwillige Definition, findest du nicht (also insbesondere der...

dummi 02. Mär 2021 / Themenstart

Mehr will ich dazu gar nicht sagen. Ein Hinweis vielleicht noch. Es wird nicht nur bei...

Thargon 02. Mär 2021 / Themenstart

Was genau könnte man für "Standards" definieren, um effektiv eine gewisse...

Kommentieren


Folgen Sie uns
       


Der Konsolen-PC - Fazit

Seit es AMDs RDNA-2-Grafikkarten gibt, kann eine Next-Gen-Konsole leicht nachgebaut werden. Wir schauen, was es dazu braucht und ob der Konsolen-PC etwas taugt.

Der Konsolen-PC - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /