IT-Sicherheit im Jahr 2016: Der Nutzer ist nicht schuld
2016 war kein besonders gutes Jahr für die IT-Sicherheit – ein übermächtiges Botnetz, das Internetzensur in die Hände frustrierter Teenager, rachsüchtiger Angestellter oder Krimineller legt, zehntausende Infektionen mit Verschlüsselungstrojanern, die auf zum Teil jahrzehntealte Verbreitungswege setzen und zahlreiche Angriffe auf politische Parteien, Ministerien oder Unternehmen.
Dabei stellt sich immer die Frage: Wer ist schuld. Und die Antwort scheint meist einfach. Hätte der Nutzer nicht auf das verseuchte Attachment geklickt, dann wäre nichts passiert. Hätten die Nutzer die IP-Kamera richtig installiert, dann hätte sie nicht am weltweiten Mirai-Botnetz teilnehmen können.
Diese Antwort ist so leicht wie falsch. Denn von einem unerfahrenen Anwender kann nicht erwartet werden, dass er sich mit allen Belangen der von ihm benutzten IT auskennt. Wer ein Auto fährt, muss auch nicht vorher eine Ausbildung zum KFZ-Mechaniker nachweisen. Die Gesellschaft erwartet nur, dass er sich an geltende Verkehrsregeln hält.
Solche Regeln indes gibt es im Netz nicht. Zwar gelten die staatlichen Gesetze auch im digitalen Raum – doch jeder darf alles ans Netz anschließen, was eine IP-Adresse beziehen kann und mit den gängigen Protokollen klarkommt. Auch darf der Traffic in vielen Ländern nicht nach unklaren Kriterien diskriminiert werden – das wird von vielen Aktivisten als Prinzip der Netzneutralität hochgehalten und gefordert.
Weil sich das Netz diese Offenheit erhalten sollte, ist es falsch, Nutzern einseitig die Schuld zuzuschieben. Wer dem Nutzer die Schuld für Sicherheitsprobleme zuschreibt, der müsste in letzter Konsequenz eine Art Internetführerschein und eine Zertifizierung zum Anschließen von Geräten fordern. Wer in der Technologiebranche arbeitet, sollte also eher die Hersteller von Soft- und Hardware in die Pflicht nehmen, um für bessere IT-Sicherheit zu sorgen. Ganz vorne dabei: Die sogenannte Sicherheitsindustrie selbst.
Virenscanner an, Brain.exe aus
Denn die Wirkung von Virenscannern wird massiv überschätzt . Schuld daran ist auch das Marketing der Hersteller selbst. Einige der für Endanwender verfügbaren Produkte werden sogar mit dem Namen 360-Grad-Schutz angepriesen. Wer ein solches Programm kauft, geht daher oft davon aus, tatsächlich vor allen möglichen Gefahren geschützt zu sein. Virenscanner an, Brain.exe aus.
Und doch konnten Virenscanner in diesem Jahr nicht vor zahllosen Infektionen durch Ransomware schützen, auch wenn einige Hersteller mittlerweile entsprechende Module in ihre Produkte integriert haben, die den Zugriff auf das gesamte Dateisystem durch entsprechende Trojaner verhindern sollen. Ob das wirklich hilft, ist eine andere Frage – insbesondere, wenn neue Trojaner verbreitet werden, die von den Programmen noch nicht erkannt werden.
Denn das Problem ist nicht neu. Die erste Ransomware wurde bereits im Jahr 1989 vom mittlerweile verstorbenen Biologen Dr. Joseph Popp entwickelt . In den 1990er Jahren verbreiteten sich Verschlüsselungstrojaner erstmals über Makroviren, die an Office-Dokumente angehängt wurden. Dieser Verbreitungsweg wurde im Jahr 2016 reaktiviert und traf die Sicherheitsbranche erneut weitgehend unvorbereitet.
Virenscanner machen den Rechner verwundbar
Außerdem problematisch: Zahlreiche Virenscanner haben zum Teil kritische Sicherheitslücken, die das System der Nutzer angreifbarer machen, als es ohnehin schon ist. So installierte der Hersteller Comodo in seiner Internet-Security-Suite ungefragt einen Chromium-Browser ohne Same-Origin-Policy und einen ungesicherten Fernwartungsserver . In den Produkten von Norton und McAfee – beide benutzen letztlich die gleiche Scan-Engine – gab es kritische Sicherheitslücken, die die Ausführung von Code ermöglichten und auch Enterprise-Firewalls des Herstellers Kerio hatten gleich mehrere Sicherheitslücken.
IoT – Internet of Technikfails
Das andere große Problem des Jahres war für Sicherheitsexperten seit Jahren absehbar – das Internet of Things. Im September wurde das Blog des Sicherheitsforschers und Journalisten Brian Krebs von einer Armada gekaperter IP-Kameras, Toaster und anderer vernetzter Gerät angegriffen .
Und auch hier kann man kaum den Nutzern die Verantwortung für das Problem zuschreiben. Wer einen Wasserkocher mit App-Anbindung kauft, wird kaum daran denken, dass dieser unter Umständen Befehle von wildfremden Rechnern akzeptiert und ein Blog attackiert.
Sicherheitspaternalismus zum Schutz der Nutzer
Tatsächlich sollen Nutzer nach Ansicht renommierter Experten wie dem Facebook-Sicherheitschef Alex Stamos am besten überhaupt nicht mit Sicherheitsabfragen konfrontiert werden. Stamos sagte auf der Black-Hat-Konferenz im Jahr 2014, Internetkonzerne müssten Nutzer mit einem "Sicherheitspaternalismus" vor falschen Entscheidungen schützen. Welcher Nutzer kann schon wissen, welche Verschlüsselung am besten geeignet ist, um das heimische WLAN abzusichern?
Also sind die Hersteller schuld, die Geräte nach wie vor mit Standardpasswörtern ausliefern oder die den WLAN-Sicherheitsschlüssel reproduzierbar aus der Mac-Adresse eines Routers ableiten. Zusätzliche Sicherheitsmaßnahmen würden den Entwicklungsprozess minimal verlängern, auch Tests kosten Geld. Erst recht, wenn sie unabhängig durchgeführt werden.
Die Bundesnetzagentur meldete sich mit einem umstrittenen Vorschlag zu Wort: Wer ein infiziertes Gerät in seinem Netzwerk hat, das an einem Botnetz teilnimmt, solle damit rechnen, dass das Gerät providerseitig vom Internet getrennt wird. Das dürfte jedoch sehr viele unbedarfte Nutzer treffen, die nicht wissen, wie sie das Problem lösen sollen.
Router ins Terrorcamp
Schlechte Vorschläge kamen auch auf, nachdem 900.000 von der Telekom an die Kunden ausgegebene Router vom Mirai-Botnetz lahmgelegt wurden und als Reaktion teils mehrere Tage den Dienst versagten. Die hessische Justizministerin Eva Kühne-Hörmann forderte, Handlungen "zur Vorbereitung eines Botnetzes" unter Strafe zu stellen. Im Raum stehen bis zu zehn Jahre Haft , wobei unklar ist, wie die strafbare Handlung zum Beispiel von legitimen Scans zum Auffinden von Sicherheitslücken unterschieden werden soll.
Bis heute ist daher unklar, wie dem Problem effektiv begegnet werden kann. Bisherige DDOS-Provider wurden meist nach einiger Zeit von den Behörden entdeckt, Server wurden beschlagnahmt oder mit Sinkholes unschädlich gemacht. Doch die vielen zehntausend verwundbaren Geräte im Netz werden auch weiterhin dort bleiben – bis sie von sich aus kaputtgehen.
Selbst wenn für einige der Geräte wider Erwarten Firmware-Updates entwickelt würden, so ist es unwahrscheinlich, dass diese tatsächlich bei einem relevanten Teil der Geräte ankommt. Es bleibt also nur, den unzähligen Geräten ein sozialverträgliches Frühableben zu wünschen.
Hersteller in die Pflicht nehmen
Kunden sollten Hersteller und Händler in die Pflicht nehmen, vor allem, wenn Geräte wie Router im Rahmen eines Vertragsverhältnisses angeboten werden. Gerade im Bereich der Internetserviceprovider gibt es viel Nachholbedarf, in den vergangenen Jahren wurden besonders im Bereich der Kabelmodems immer wieder Geräte mit zum Teil kritischen Sicherheitslücken ausgegeben, die durch einfache Sicherheitstests hätten gefunden werden können.
Und so bleibt zu hoffen, dass im kommenden Jahr die Hersteller Probleme bekommen, die sich nicht um die Sicherheit der eigenen Geräte kümmern. Dabei dürften staatliche Regulierungsvorgaben weitgehend ineffektiv sein, vor allem negative Kaufentscheidungen treffen die Hersteller.
Und da sind dann doch einmal die Nutzer gefordert, ihre Stärken auszuspielen und Android-Hersteller zu boykottieren, die keine Sicherheitsupdates ausliefern und Router-Hersteller zu ignorieren, die regelmäßig durch Sicherheitsprobleme auffallen. Und vor allem: Weniger Antivirus, mehr nachdenken.
- Anzeige Hier geht es zu den besten Deals auf Mobilfunk, Internet und mehr bei der Telekom Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.