IT-Sicherheit Schluss mit schlampiger Computersicherheit!

Auch Intel-Prozessoren sind von einer schwerwiegenden Sichheitslücke betroffen, durch die vertrauliche Daten abgeschöpft werden können.

(Foto: dpa)

Die schwere Sicherheitslücke bei Prozessoren zeigt: Computerhersteller müssen Schutz vor Hackern endlich von Anfang an mitdesignen. Deutschland kann sich dabei besonders hervortun.

Kommentar von Helmut Martin-Jung

Wirtschaft und Gesellschaft sind längst von Computern abhängig. Und blickt man auf jüngere Entwicklungen wie künstliche Intelligenz, Kryptowährungen oder die hoch technisierte Medizin, wird schnell klar: Wir stehen noch immer erst am Anfang, die Bedeutung von Computern wird also noch erheblich wachsen. Doch umso größer wird auch das Risiko. Das Risiko, dass ein IT-GAU das öffentliche Leben lahmlegt. Das Risiko, dass die IT-Infrastruktur zum Angriffsziel wird. Es wird also höchste Zeit, die Sicherheit von Computern und Netzen schon bei ihrer Planung zu einem integralen Bestandteil zu machen. Daraus könnte sogar ein Vorteil für den Standort Deutschland erwachsen.

Wie man es nicht machen sollte, zeigt sich derzeit an der gigantischen Sicherheitslücke, die ausgerechnet in den Herzen von Computern, Smartphones und Tablets klafft: in den Prozessoren. Es erfordert zugegebenermaßen einiges an Informatik-Wissen, sie auszunutzen. Dafür wäre aber auch der Lohn enorm. Denn die Lücke eröffnet sozusagen den Weg zum Allerheiligsten, dem Hauptprozessor und den Daten, die er verarbeitet. Beim Rennen um immer schnellere Chips haben die Hersteller, allen voran die Firma Intel, die Sicherheit vernachlässigt.

Die Sicherheit von Computern muss höchste Priorität erhalten

Sie sind aber beileibe nicht die einzigen. Obwohl kaum ein Tag vergeht, an dem nicht ein neuer Vorfall bekannt wird, spielt Sicherheit in vielen IT-Unternehmen noch immer nicht die Rolle, die ihr zustehen müsste. Manche wie zum Beispiel Windows-Hersteller Microsoft haben das auf die harte Tour lernen müssen. Als Anfang der 2000er-Jahre ein Computervirus den anderen jagte und in den vielen Windows-Computern auf aller Welt leichte Beute fand, bekam Microsoft ein derart großes Imageproblem, dass Sicherheit seither zu den Top-Prioritäten zählt. Nun ist Intel dran. Der Chiphersteller richtet nach dem Desaster mit seinen angreifbaren Prozessoren eine eigene Sicherheitsabteilung ein.

Allerdings ist die Informationstechnologie mittlerweile auch in hohem Maße komplex geworden. Es ist schon schlicht unmöglich, dass ein System wie Windows, das auf Milliarden von Code-Zeilen beruht, frei von Fehlern und Sicherheitslücken ist. Und wenn erst verschiedene Systeme zusammenarbeiten sollen, steigt die Komplexität immer weiter an. Zudem stehen die IT-Unternehmen unter Druck, weil die Kunden stets nach mehr Leistung verlangen.

Haben wir uns also in eine ausweglose Situation manövriert, droht das ganze Gebäude irgendwann einzustürzen?

Ganz so schlimm ist es nicht. Es wäre auch vermessen zu glauben, etwas, das Menschen geschaffen haben, könnte vollkommen fehlerfrei entworfen und ausgeführt werden. Fehler wird es immer geben. Die IT-Branche muss nur viel besser darin werden, Sicherheit in all ihren Systemen von vorneherein mitzudenken. Sie darf nicht erst etwas entwickeln und hinterher gucken, wie man es auch einigermaßen sicher kriegt. Und sie muss besser darin werden, Fehler zu beseitigen, wenn sie aufgetreten sind.

"Kauf dir doch ein neues!" reicht nicht

Noch ist es eher die Regel, dass Hersteller sich gerade um ältere Produkte nicht mehr scheren, ganz nach dem Motto: "Update? Kauf dir doch ein neues!" Das betrifft im aktuellen Fall viele ältere Smartphones mit Android-System. Und noch ist auch unklar, für welche älteren PC-Chips es Reparatursoftware geben wird. Dazu müssten die Chiphersteller mit denen anderer PC-Bauteile kooperieren.

Die Hersteller aber werden ihre Praxis nur ändern, wenn es auch eine Nachfrage danach gibt. Die jedoch ist derzeit keineswegs so stark, dass sie ein Umdenken zur Folge hätte. Im Gegenteil: Auch viele Nutzer von Smartphones und Computern gehen ungeheuer schlampig mit der Sicherheit ihrer Geräte um. Updates, auch wenn es sie gibt, werden nicht eingespielt, viele Passwörter sind ein schlechter Witz. Und wenn dann etwas passiert, schiebt man die Schuld auf die dämliche Technik. Wer aber aus Bequemlichkeit auf Sicherheit verzichtet, darf nicht die Technik dafür verantwortlich machen.

Chip-Sicherheitslücke: "Alle sind betroffen"

Moritz Lipp gehört zu der Forschergruppe, die gravierende Sicherheitslücken bei Milliarden Prozessoren entdeckt hat. Er sagt: Es wird schwer, sie zu schließen. Interview von Hakan Tanriverdi mehr...

Die Branche entlässt das trotzdem nicht aus ihrer Pflicht, Sicherheit mit höchster Priorität zu behandeln. Das gilt für die Entwicklung und Programmierung ebenso wie für die Pflege der Produkte während deren Lebensdauer. Deutschland könnte dabei eine wichtige Rolle spielen. Hier gibt es nicht nur ein vergleichsweise hohes Bewusstsein für IT-Sicherheit, sondern auch die Kompetenz, Systeme mit einem hohen Maß an Sicherheit zu entwickeln. Diese Chance sollte man sich nicht entgehen lassen.