Man hört es ja ständig. Es gab wieder „Cyber-Angriffe“. Die meisten dieser sogenannten Angriffe sind einfach nur Malwarebefall. Manche sind auch gezielter Malwarebefall. Auf jeden Fall ist dann mal hier ein Krankenhaus ausgefallen, da ein Gericht, dann ein großer Zeitungsverlag… Warum ist das so? Warum ist so viel Software unsicher?
Nun, ein Grund ist, dass wir nicht besonders sensibel mit den Leuten umgehen, die sich auf IT-Sicherheit spezialisiert haben. Wie zum Beispiel einer Hackerin, die in Wahlkampfapps von CDU und CSU im März schwerwiegende Sicherheitslücken entdeckt hatte, und die auch ordentlich gemeldet, so dass sie behoben werden konnten. Und jetzt hat diese Hackerin einen Strafantrag am Hals.
Um es einmal zu betonen: Diese Frau hat der CDU geholfen. Unentgeltlich. Sie hat mit der Sicherheitslücke keinen Mist gebaut. Sie hat sie gemeldet und damit geholfen, die Software besser zu machen. Und dafür soll sie jetzt verklagt werden. Aber was soll man schon erwarten von einem Staat, der Sicherheitslücke lieber kaufen, geheimhalten und Nutzen will, um unter dem Begriff „Hackback“ zurückhacken zu können, wenn mal wieder ein Krankenhaus von Malware befallen wird.
Wen man da zurückhacken soll ist ungeklärt, und ignoriert wird auch, dass man vielleicht gar keinen Malwarebefall hätte, wenn man Lücken beheben würde anstatt sie geheimzuhalten. Aber ich schweife ab.
Es gibt auch einen riesigen Haufen Softwareentwickler, die sich nicht wie kleine Kinder verhalten, wenn man sie auf Sicherheitslücken hinweist. Trotzdem gibt es überall Lücken. Warum?
Meine Hypothese ist: Es ist uns, als Gesellschaft nicht wichtig genug. Es ist denen, die die Entscheidungen dazu treffen, nicht wichtig genug. Wenn es uns wichtig genug wäre, würden wir mehr für die Sicherheit tun. Und das heißt auch, Geld in die Hand nehmen.
Kurzfristig kostet es weniger Geld, unsichere Software zu entwickeln. Kurzfristig kostet es Geld, Software rigoros zu testen. Software ohne oder mit wenig Gedanken an Sicherheit zu bauen ist schneller. Weniger Sicherheitsvorkehrungen bedeutet, dass die Software bequemer zu benutzen ist (wer hat nicht schon einmal davon geträumt, sich nicht ständig um Passwörter kümmern zu müssen?).
Wenn ein Entscheidungsträger die Wahl hat, eine Million Euro mehr zu bezahlen, um die Software sicherer zu machen, oder Hunderttausend Euro für eine Marketingkampagne auszugeben, wie wichtig ihnen Sicherheit sei, und das bei ihnen Datenschutz an erster Stelle stünde, dann ist die Entscheidung klar.
Das Schema ist: Der Entscheidungsträger hat nur wenig unter dieser Entscheidung zu leiden. Das Produkt wird gekauft, und bis herauskommt, wie unsicher ist, ist schon das Nachfolgeprodukt auf dem Markt. Enttäuschte Kunden kann man ja mit ein bisschen Marketing und Bequemlichkeit davon überzeugen, bei der eigenen Marke zu bleiben. Und manchmal ist der Kunde ja auch gar nicht geschädigt, oder kriegt es nicht mit. Was schert es den, wenn das Dutzend Internet-of-Things-Geräte heimlich DoS-Angriffe fährt, Spam verschickt, oder Bitcoins schürft? Den erhöhten Stromverbrauch kriegt der doch garnicht mit. Tragedy of the commons.
Also kein Grund, etwas anders zu machen. Das ist wie bei anderen großen Problemen: Es kümmert die Entscheidungsträger einfach nicht. Der Abgeordnete, der über ALG-II-Sätze abstimmt, muss ja nicht selber davon leben. Den Flug von München nach Berlin? Bequemer als die Bahn, das bisschen Klimawandel mehr oder weniger macht den Braten auch nicht fett.
Wenn du ein Krankenhaus betreibst, möchtest du nicht großartig in IT-Sicherheit investieren. Das hat ja im Alltag keinen erkennbaren Nutzen. Meistens geht es gut. Absicherung gegen Hochwasser? Meistens ist kein Hochwasser, aber man kann das Feld viel einfacher bestellen und viel einfacher auf dem Fluss fahren, wenn der Fluss gerade ist. There is no glory in prevention. So lange nichts passiert, sind Investitionen in Sicherheit herausgeworfenes Geld, also spart man hier.
Und dann geht was schief. Aber dann ist es zu spät. Dann ist das Krankenhaus für Tage außer Betrieb. Dann wird dein Haus weggespült.
Was kann man machen? Vielleicht sollte man es so richtig teuer machen, unsichere Software auszuliefern. Indem man zum Beispiel Hersteller für Sicherheitslücken haftbar macht. Wenn das Krankenhaus zum Beispiel tagelang ausfällt, musst der Ausfall halt bezahlt werden. Was meint ihr, wie viel Geld man dann in saubere Entwicklung und Sicherheitstests stecken würde? Wenn der von dir vermarktete smarte Fön Spam verschickt, musst du halt Pro Spam-Mail eine Strafe zahlen. Wenn dein smarter Vibrator intime Kundenfotos offen ins Netz stellt, musst du halt eine deftige Entschädigung zahlen. Und den Kaufpreis erstatten.
Bei anderer Technik gibt es ja auch Entschädigungszahlen oder Strafen, wenn sie durch vermeidbare Fehler Menschen schaden. Warum nicht auch bei Sicherheitslücken?
Ich werde es euch sagen: Es ist uns nicht wichtig genug.