Virenscanner machen den Rechner verwundbar
Außerdem problematisch: Zahlreiche Virenscanner haben zum Teil kritische Sicherheitslücken, die das System der Nutzer angreifbarer machen, als es ohnehin schon ist. So installierte der Hersteller Comodo in seiner Internet-Security-Suite ungefragt einen Chromium-Browser ohne Same-Origin-Policy und einen ungesicherten Fernwartungsserver. In den Produkten von Norton und McAfee - beide benutzen letztlich die gleiche Scan-Engine - gab es kritische Sicherheitslücken, die die Ausführung von Code ermöglichten und auch Enterprise-Firewalls des Herstellers Kerio hatten gleich mehrere Sicherheitslücken.
IoT - Internet of Technikfails
Das andere große Problem des Jahres war für Sicherheitsexperten seit Jahren absehbar - das Internet of Things. Im September wurde das Blog des Sicherheitsforschers und Journalisten Brian Krebs von einer Armada gekaperter IP-Kameras, Toaster und anderer vernetzter Gerät angegriffen.
Und auch hier kann man kaum den Nutzern die Verantwortung für das Problem zuschreiben. Wer einen Wasserkocher mit App-Anbindung kauft, wird kaum daran denken, dass dieser unter Umständen Befehle von wildfremden Rechnern akzeptiert und ein Blog attackiert.
Sicherheitspaternalismus zum Schutz der Nutzer
Tatsächlich sollen Nutzer nach Ansicht renommierter Experten wie dem Facebook-Sicherheitschef Alex Stamos am besten überhaupt nicht mit Sicherheitsabfragen konfrontiert werden. Stamos sagte auf der Black-Hat-Konferenz im Jahr 2014, Internetkonzerne müssten Nutzer mit einem "Sicherheitspaternalismus" vor falschen Entscheidungen schützen. Welcher Nutzer kann schon wissen, welche Verschlüsselung am besten geeignet ist, um das heimische WLAN abzusichern?
Also sind die Hersteller schuld, die Geräte nach wie vor mit Standardpasswörtern ausliefern oder die den WLAN-Sicherheitsschlüssel reproduzierbar aus der Mac-Adresse eines Routers ableiten. Zusätzliche Sicherheitsmaßnahmen würden den Entwicklungsprozess minimal verlängern, auch Tests kosten Geld. Erst recht, wenn sie unabhängig durchgeführt werden.
Die Bundesnetzagentur meldete sich mit einem umstrittenen Vorschlag zu Wort: Wer ein infiziertes Gerät in seinem Netzwerk hat, das an einem Botnetz teilnimmt, solle damit rechnen, dass das Gerät providerseitig vom Internet getrennt wird. Das dürfte jedoch sehr viele unbedarfte Nutzer treffen, die nicht wissen, wie sie das Problem lösen sollen.
| IT-Sicherheit im Jahr 2016: Der Nutzer ist nicht schuld | Router ins Terrorcamp |
einfach konsequent aus dem Netz nehmen, wer eine Gefahr für andere darstellt, ... wenn...
"Sich sachkundig machen" würde im Falle eines Computers aber doch auch nur bedeuten, wie...
Der Hersteller braucht kein Passwort.
Prinzipiell keine schlechte Idee, nur: Wie aussagekräftig wäre ein solches Gütesiegel...
A1? Die sind (oder waren vor ein paar Jahren) da recht radikal: Sie haben nicht nur Ports...