NSA & Co, Autohacker, App-Store-Knacker: Es ist verständlich, dass unter deutschen Unternehmen die Angst umgeht angesichts der vielen neuen und stets mutierenden Bedrohungen aus dem Netz. Es herrscht große Verunsicherung, großer Beratungsbedarf - und das schafft beste Voraussetzungen für findige Software-Anbieter, die den Unternehmen das Blaue vom Himmel versprechen.
Ein besonders frappierender Fall hat gerade die hiesige Branche aufgeschreckt: die Causa FireEye. Das Versagen der Sicherheitssoftware dieses Namens ist so haarsträubend und betrifft so viele prominente Unternehmen, dass es nicht nur beschämend ist, sondern dass es vielmehr auch den Blick auf ein grundsätzliches Problem der deutschen Wirtschaft im Umgang mit Cybersicherheit lenkt.
FireEye wurde deutschen Firmen als Hochglanzprodukt angepriesen, mit dem sie sich gegen Gefahren aus dem Netz absichern könnten - ein großer Hersteller, natürlich aus dem Valley, tolle Buzzwords, lebendige Demos und eine bunte Benutzeroberfläche, die einem War room ähnelt. Der Traum jedes Einkäufers also, selbst wenn das Versprechen von FireEye teuer war. Aber der schöne Schein war Badeschaum. Erst seit etwa einem halben Jahr hat die deutsche Hacker-Community den Ehrgeiz entwickelt, Lücken in Sicherheitsprogrammen aufzudecken - bei FireEye entdeckte sie Spektakuläres.
Eine Lücke, die dem Hersteller der Software seit mehr als 18 Monaten bekannt war und trotzdem nicht geschlossen wurde, machte es Fremden leicht, sich direkt auf den Zentralrechnern von FireEye anzumelden und Rechte für das Lesen und Schreiben der Daten zu erlangen. Damit hätten solche Eindringlinge die von der Firma an ihre Kunden geschickten Sicherheitshinweise nutzlos machen können. Die angepriesenen und teuer verkauften Sensoren und Dienste zum Schutze der Kunden wären blind und dumm gewesen. Andere Lücken basierten auf verschlampten Standardmaßnahmen wie dem Begrenzen von Möglichkeiten einer fremden Eingabe von Daten. Fehlt so eine Begrenzung, kann ein Hacker über die offene Eingabevariante ein eigenes Programm direkt in die fremde Software hineinschreiben. Dann wird alles möglich.
Eine völlig offene Flanke: Angreifer hätten den FireEye-Kunden sogar nur eine E-Mail mit einem spezifisch verseuchten Anhang zuschicken brauchen. Der automatisierte Scan der Sicherheitssoftware hätte dann dazu gebracht werden können, diesen Angriff sofort zu installieren. Das Opfer musste die E-Mail nicht einmal ansehen. Keine Chance auf Erkennen oder Abwehr. Ein Desaster.
Kaum eine Firma mag sich die Blöße geben, offen ihre eigene Verwundbarkeit zu thematisieren
Ähnlich wie den FireEye-Kunden geht es allerdings vielen Unternehmen hierzulande, die für ihre Cybersicherheit auf spezielle Programme vertrauen. Viele haben inzwischen große Summen in Sicherheitstechnologie investiert - erkennen aber keinen großen Unterschied zu vorher. Man wird immer noch gehackt. Also, warum taugen viele Produkte nichts? Warum ist das Angebot an Cybersicherheit in Deutschlands so lausig?
Das erste Problem ist strukturell und unmöglich zu lösen: IT ist einfach sehr komplex. Die klassischen Systeme sind zu groß, viel zu verwundbar, in vielen Funktionen und Prozessen völlig sicherheitsfeindlich. Diese hohe Basisverwundbarkeit der IT verhindert die Effizienz klassischer IT-Sicherheitstechnologien. Denn die müssen immer versuchen, das Problem auf einen kleinen und beherrschbaren Mechanismus zu reduzieren. Was die Realität leider nicht mitmacht. Im Ergebnis gibt es keinen einzigen Ansatz, der nicht immer wieder überlastet, ausgetrickst, abgeschaltet, gestört werden kann.
Es gibt aber noch ein zweites Problem, das leichter anzugehen wäre. Viele Produkte zur Cybersicherheit sind überraschend schlecht gebaut - aber die Kunden nehmen es bislang demütig hin, anstatt zu protestieren und die Hersteller in Haftung zu nehmen. Die Kunden wünschen sich zwar Sicherheit, fordern diese aber nicht konsequent ein, auch weil ihnen nicht ausreichend Kenntnisse zugänglich sind. In der Sicherheitstechnik gilt: Alles hilft ein bisschen. Nur leider ist die Größe dieses Bisschens immer unbestimmbar. Effektivität - ja. Effizienz - unklar. An dieser Stelle werden auf Sicherheitskonferenzen gerne Phrasen gedroschen: Hundertprozentige Sicherheit gibt es nicht, immer eine gute Vorlage für einvernehmliches Nicken. Das ist eine Haltung, welche Cyberfirmen gerne ausnutzen, um ihre Produkte als eierlegende Wollmilchsäue anzupreisen.
Sind die Produkte allerdings schlampig gebaut und betrieben, ist der Kunde nicht wehrlos. Ein wichtiger Unterschied zu normaler Software: Sicherheitssoftware muss sicher sein, um zu funktionieren. Der Kunde könnte also den Hersteller auf Schadenersatz in Anspruch nehmen, das Mittel dazu ist eines der simpelsten Instrumente des allgemeinen Kaufrechts. Wer eine Sache verkauft, die nicht die versprochenen Eigenschaften aufweist, der muss dafür geradestehen: Diese Sachmangelhaftung nach dem Bürgerlichen Gesetzbuch gilt auch für Sicherheitssoftware. Haftungsklagen sollten möglich sein - und zwar in großem Umfang. Erstattung eines Teils der Gebühren für den betroffenen Zeitraum wäre der Anfang. Dann müssten die Kunden dringend gründlich in ihren Systemen nachsehen, ob sich Angreifer eingenistet haben. Der Hersteller müsste dafür jedem Kunden eine systemweite, unabhängige forensische Analyse bezahlen. Sollte etwas gefunden werden, müssten Recovery-Kosten erstattet werden. Und schließlich müsste Schadenersatz für ermöglichte Industriespionage und andere entwendete Daten geleistet werden, auch für mögliche Forderungen geschädigter Dritter.
Das könnte FireEye die Existenz kosten. Und es kann die unreife Cybersicherheits-Landschaft durchschütteln. Denn keines der Produkte dürfte ohne Sachmängel sein. Die schnöde Feststellung dieses Zusammenhangs könnte einen disruptiven Schluckauf im Markt verursachen, eine Beschleunigung des notwendigen Zerfalls alter Ansätze.
Dass dies bislang nicht geschieht, hat einen so einfachen wie betrüblichen Grund: Kaum ein Kunde mag sich die Blöße geben zuzugeben, dass er auf das schöne Versprechen von Sicherheit hereingefallen ist. Unter deutschen Unternehmen herrscht stattdessen die Haltung vor, dass man eigene Sicherheitslücken und eigene Verwundbarkeit nicht an die Öffentlichkeit bringt - selbst wenn dies bedeutet, dass die Scharlatane straflos ausgehen. Damit schaden sich die Kunden dieser Scharlatane nur selbst. Und damit lassen sie es zu, dass sie weiterhin gefährlicher leben als nötig.