Original-URL des Artikels: https://www.golem.de/news/deepsec-keynote-was-it-sicherheit-mit-diaetnahrung-zu-tun-hat-1611-124408.html    Veröffentlicht: 11.11.2016 14:57    Kurz-URL: https://glm.io/124408

Deepsec-Keynote

Was IT-Sicherheit mit Diätnahrung zu tun hat

Die IT-Sicherheitsindustrie verkauft Produkte, die überteuert sind und nicht funktionieren - genau wie die Diät-Industrie. Das hat auf der Deepsec-Konferenz ausgerechnet jemand gesagt, der selbst im Bereich Security arbeitet.

Auf der Sicherheitskonferenz Deepsec in Wien hat der IT-Sicherheitsexperte Marcus Ranum die Keynote-Rede gehalten. Darin forderte er Unternehmen auf, sinnvoll in IT zu investieren, statt einfach jedem Trend hinterherzulaufen.

Ranum arbeitet seit 30 Jahren in der IT-Industrie, derzeit ist er Chief Security Officer bei der Sicherheitsfirma Tenable Networks. Im Laufe seiner Karriere richtete er unter anderem den ersten Mailserver für Whitehouse.gov ein, außerdem arbeitete er konzeptionell an Firewalls und Intrusion Detection Systems.

"Immer wieder gibt es diese Situationen, wo ein Manager in dem Unternehmen auf dem Golfplatz von seinen Kollegen gehört hat, dass es diese tolle, neue Technologie gibt", sagte er. Dies führe häufig dazu, dass Unternehmen wenig sinnvolle Investitionen in ihre eigene IT-Infrastruktur tätigten. "Viele Sicherheitsprobleme in Unternehmen sind bereits in der Designphase neuer Funktionen oder Programme begründet", sagte Ranum im anschließenden Gespräch mit Golem.de.

"Wenn wir Probleme lösen, dann ist das eher Zufall"

Ranum kritisierte die IT-Sicherheitsindustrie, der er selbst angehört. "Die Produkte der IT-Sicherheitsindustrie sind großartig - für die Hersteller", sagte er. "Wenn wir ein Problem beheben, dann ist das eher Zufall." Die 60.000 Euro teure Anti-Malware-Box habe die vergangenen 20 Jahre nicht richtig funktioniert, welchen Grund gebe es, heute anzunehmen, dass die Probleme eines Unternehmens sich damit lösen ließen? Ranum macht jedoch auch Vorschläge, wie Unternehmen sinnvoll in IT investieren sollten.

Tatsächlich ließen sich viele Sicherheitsprobleme in Unternehmen bereits durch eine sorgfältige Analyse der eigenen IT und ganz ohne teure Sicherheitslösungen beheben, sagt Ranum. Unternehmen sollten sich einfach fragen, in welchem Unternehmensbereich die meisten Sicherheitsvorfälle auftauchen. "Wir hatten einen Fall, da hatte ein Kunde mehrere Hundert Sicherheitsvorfälle pro Jahr."

Die Probleme ließen sich durch Anschaffung von vier iPads lösen

"Eine genaue Analyse zeigte dann, dass 80 Prozent davon aus der Personalabteilung kamen, weil die Mitarbeiter dort aufgefordert waren, alle erhaltenen Anhänge zu öffnen", sagt Ranum. "Wir haben dem Management dann empfohlen, vier iPads mit Tastaturen anzuschaffen, um die Attachments zu öffnen." Diese Maßnahme habe rund 4.000 US-Dollar gekostet, die Sicherheitsvorfälle seien danach fast komplett verschwunden. Mit einer komplexen Firewall-Lösung und Malware-Schutz ließen sich vermutlich keine vergleichbaren Ergebnisse erreichen - die Kosten wären aber in jedem Fall deutlich höher gewesen.

Aus diesem Beispiel wird nach Ansicht von Ranum deutlich, was IT-Sicherheit mit Diätnahrung zu tun hat. Denn wer kein Körpergewicht zunehmen wolle, müsse einfach nicht mehr Kalorien zu sich nehmen, als er verbrennt. Trotzdem gebe es seit Jahren eine Diätindustrie, die zahlreiche teure, oft sinnlose Nahrungsmittel verkaufe. Bei IT-Sicherheit sei es ähnlich: Wer Computer und IT bewusst in seinem Unternehmen einsetze und sich vor dem Aufbau von Netzwerken Gedanken mache, wer welche Zugriffsrechte benötigt und wie sich dies umsetzen lassen, der vermeide bereits den Großteil der Probleme.

Auf die Argumentation kommt es an

Insgesamt zeigte Ranum in seiner Rede an verschiedenen Beispielen, dass IT-Sicherheitsverantwortliche in Unternehmen im Gespräch mit dem Management deutlich stärker auf zählbare Metriken setzen sollten, um Investitionen in die IT-Sicherheit durchzusetzen. "Wenn Sie sagen: 'Ich schlage folgende Maßnahme mit folgenden Kosten vor und erwarte, dass unsere Sicherheitskosten damit um den Faktor X sinken, dann haben Sie eine deutlich bessere Chance, erfolgreich zu sein, als wenn Sie damit argumentieren, wie ausgefallen, neu und spannend die vorgeschlagene IT sei'", sagte Ranum.

In den Anfangszeiten der Digitalisierung versprachen Hersteller von IT massive Effiziengewinne - die in vielen Bereichen nach Ansicht von Ranum so nicht eingetreten sind. Daher herrsche in vielen Unternehmen der Zwang zur Verschlankung von Strukturen, außerdem würden Geschäftsprozesse zunehmend an externe Dienstleister vergeben.

Ranum riet hingegen dazu, dass Unternehmen anstatt von Outsourcing klüger in IT investieren sollten und weniger Arbeit an externe Dienstleister vergeben: "Auch, wenn Software für Ihr Unternehmen durch externe Dienstleister entwickelt wird, betreiben Sie selbst Softwareentwicklung", sagte Ranum. Wenn Software durch eigene Mitarbeiter entwickelt werde, habe man am Ende nicht nur die Software, sondern auch motivierte und kompetente Mitarbeiter, auf die man sich auch künftig verlassen könne. "Wer glaubt, dass IT-Prozesse durch Outsourcing effizienter werden, der glaubt auch, dass sich die Prozesse in einem Unternehmen verbessern lassen, indem man mehr Anwälte in ein Unternehmen holt."

Computing ist nicht für Kinder

Zum Trend der zunehmenden Auslagerung von Dienstleistungen in die Cloud äußerte sich Ranum ebenfalls. Für kleinere Unternehmen könnte dies durchaus eine sinnvolle Lösung sein, denn "Computing ist nicht einfach, Computing ist nichts für Kinder". Größere Unternehmen sollten sich jedoch besser auf eigene Lösungen verlassen, um nicht von einzelnen Anbietern abhängig zu werden.

"Die Cloud ist wie der Macintosh - ein Computer für Menschen, die keine Ahnung von Computern haben", sagte Ranum. Immer wieder würde angenommen, dass der Umgang mit IT und Computern einfach sei und ohne größere Probleme ablaufe. Diese Annahme sei jedoch falsch und habe in den vergangenen Jahren dazu beigetragen, dass die Situation der IT-Sicherheit immer schlechter geworden sei.  (hg)


Verwandte Artikel:
Jessica Barker im Interview: "Die Kriminellen sind bessere Psychologen als wir"   
(28.11.2017, https://glm.io/131261 )
Fluggastdaten: Regierung dementiert Hackerangriff auf deutsches PNR-System   
(10.03.2018, https://glm.io/133261 )
iPhone X: Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro   
(12.09.2017, https://glm.io/130004 )
Bpfilter: Linux-Kernel könnte weitere Firewall-Technik bekommen   
(22.02.2018, https://glm.io/132933 )
AOC Q3279VWF: 270 Euro reichen für QHD-Monitor mit 31,5-Zoll-Diagonale   
(25.10.2017, https://glm.io/130817 )

© 1997–2019 Golem.de, https://www.golem.de/