Sicherheitslücken: Schließt sie endlich – und nutzt sie nicht aus!

Wenn Staaten und ihre führenden Politiker bislang unentdeckte Sicherheitslücken in Soft- und Hardware geheim halten oder Unternehmen sogar dazu auffordern, diese zum Zweck der behördlichen Überwachung offen zu halten, ist das nicht nur aus bürgerrechtlicher Sicht höchst problematisch, sondern gefährdet letztendlich auch die Informationssicherheit aller Bürger und Unternehmen – also auch von uns und unseren Kunden. 

Wir als Coding Kombüse wollen uns daher in diesem Beitrag klar gegen dieses Verhalten positionieren und fordern: Schließt endlich die Sicherheitslücken! 

Warum ist dieses Thema so wichtig? 

NSO Pegasus, Cyber-Katastrophenfall in Anhalt-Bitterfeld, Ransomware-Angriffe auf unzählige Unternehmen und kritische Infrastruktur: Nachrichten wie diese häufen sich in letzter Zeit massiv und ihre Liste lässt sich aktuell scheinbar endlos verlängern. 

Das ist kein Zufall, denn IT-Security entwickelt sich längst zur Achillesferse von Staaten und Unternehmen. Nie waren Software-Systeme so komplex wie heute – damit ergeben sich zwangsläufig bedeutend mehr Schwachstellen. Gleichzeitig sind Sicherheitsexperten rar gesät und die Raffinesse von Schadsoftware hat ein nie dagewesenes Maß erreicht. Diese Kombination zeigt Kriminellen neue Möglichkeiten auf – Erpressung durch Ransomware, das Erbeuten von privaten Daten, die Errichtung riesiger Botnetze. 

Längst haben auch Staaten erkannt, dass Sicherheitslücken in Softwaresystemen ihnen neue Möglichkeiten zur Überwachung ihrer Bürger an die Hand geben und nutzen diese schamlos aus, vorgeblich natürlich nur zur Überwachung von Straftätern. 

Heutige Cyber-Angriffe unterscheiden sich von dem lange bekannten Konzept „Virus“ und drohen mit deutlich heftigeren Konsequenzen für die Betroffenen.  

Trojaner beispielsweise bieten die lückenlose Überwachung von IT-Systemen wie PCs und Smartphones. In Deutschland sind sie mittlerweile sogar für Personen, die noch keine Straftat begangen haben, von Behörden dazu einsetzbar – gesetzlich legitimiert seit diesem Jahr. 

Ransomware ist eine weitere raffinierte Attacke. Nach dem erfolgreichen Eindringen in ein System werden sämtliche Daten verschlüsselt und das System wird für betroffene unbenutzbar. Entschlüsselt wird es durch den Angreifer erst nach Zahlung eines Lösegelds. Erpressung hat im digitalen Zeitalter damit eine neue Dimension. Wie groß diese Dimension ist, zeigt allein die Tatsache, dass in den letzten Monaten bereits Krankenhäuser, Landkreisverwaltungen und sogar die größte Benzin-Pipeline der USA solchen Angriffen zum Opfer fielen. 

Alle diese Sicherheits-Bedrohungen haben eins gemeinsam: Sie erfordern Sicherheitslücken in Systemen. Die Beispiele zeigen zu Genüge, warum es essenziell ist, so viele wie möglich von ihnen zu stopfen. Wenn Politiker diese bewusst offenhalten (wie beispielsweise mit dem neuen Gesetz “Quellen-TKÜ plus”) und diese Beschlüsse mit Sätzen wie “ein guter Tag für die Sicherheit in Deutschland” (Michael Kuffer, MdB, CSU) kommentieren, dann sind sie auf einem gewaltigen Irrweg. Denn jede Schwachstelle in der Sicherheit schadet letztlich uns allen. Auch der Politik selbst. 

Was uns allen droht, wenn IT-Sicherheit bewusst verhindert wird 

Das Konzept Sicherheitslücken bewusst nicht zu schließen entwickelt sich schnell zu einem Bumerang. Auch wenn Dystopien wie komplett Viren-verseuchte Digital-Infrastrukturen noch nicht Teil unserer Realität sind, so hat das Offenhalten kritischer Sicherheitslücken doch gravierende Folgen für uns und unseren Umgang mit dem Internet. 

Die Gesamtsicherheit des Systems Internet wird massiv eingeschränkt und einmal von Schadsoftware befallene Systeme benötigen viel Zeit und Geld, um von diesen wieder bereinigt zu werden. Die Sicherheitslücken werden eben nicht nur von den vermeintlich Guten, sondern auch von Kriminellen genutzt. Sowohl Unternehmen als auch staatliche Institutionen werden dann viel Geld und Personal bündeln müssen, um präventive und reaktionäre Maßnahmen für die Sicherheit ihrer IT-Systeme durchzuführen. Geld und Personal, das an anderen Stellen fehlt und somit den Gesamtfortschritt unserer Volkswirtschaften behindert. 

Die Bevölkerung wird gegenüber neuen Systemen mit der Zeit sicherlich auch kritischer gegenüberstehen und es wird sich evtl. eine digital-feindliche Attitüde bilden – ebenfalls eine Fortschrittsbremse. 

Den größten Bumerang stellt sicherlich die militärisch relevante Seite unsicherer IT-Systeme dar. Wenn es Sicherheitslücken gibt, werden auch Geheimdienste oder andere mehr oder minder offizielle Institutionen anderer Staaten diese ausnutzen und damit den bereits existenten Cyber-Krieg auf die nächste Stufe befördern. Die Sicherheit kritischer Infrastruktur wird dadurch gefährdet und selbst Teile der Bevölkerung, welche sich bislang von Digital-Problemen als nicht betroffen sehen, werden durch die verminderte Sicherheit in ihrem Lebens-Alltag eingeschränkt. 

Und während das Offenhalten von Sicherheitslücken einen eher passiven Prozess darstellt, wird die aktive Bemühung die Verschlüsselung von Kommunikation zu schwächen oder gar zu verhindern, die Gedanken der Menschen in Zukunft weniger frei machen. Dass Gedankenfreiheit aber einer der Grundpfeiler der Demokratie ist, sollte uns spätestens seit Orwell allen klar sein. 

Die Konsequenzen eines unsicheren Internets sind heute schon zu spüren und in ihrem zukünftigen Ausmaß höchstens zu erahnen. Wir sollten also versuchen, das Netz so sicher wie möglich zu halten und seine Sicherheit nicht auch noch absichtlich kompromittieren. 

Welche Maßnahmen wir nun ergreifen sollten 

Es zeigt sich, dass IT-Sicherheit heute nicht nur Expertenthema, sondern auch Politikum geworden ist. Um diese weiterhin auf einem möglichst hohen Level zu halten, ist daher ein Kurswechsel im Umgang mit ihr dringend erforderlich. 

Das bewusste Schaffen oder Offenhalten von Sicherheitslücken sollte gesetzlich verboten werden, um dem möglichen Bumerang-Effekt entgegenzutreten. Stattdessen sollten Experten darauf angesetzt werden, solche Lücken zu finden und Lösungen für deren Schließung zu entwickeln.  

Wie in vielen Kontexten sollten wir wieder anfangen, mehr auf Wissenschaftler zu hören und Expertenräte zu gründen, welche den Umgang der Politik mit dem Thema IT-Sicherheit prägen und mitgestalten. 

Denn während für viele Entscheidungsträger dieses Thema Neuland ist und gefährliches Halbwissen und falsche Annahmen in ungewohnten Umfeldern die Integrität unserer digitalen Infrastruktur bedrohen, gibt es genug Experten, die mit fundierten Konzepten das digitale Morgen gestalten können. 

Liebe Politik: Ihr würdet doch auch nicht absichtlich Schlaglöcher in den Autobahnen eures Landes verstecken. Also ruft lieber den Straßenbau statt die Leute mit den Vorschlaghämmern. 

Schreibe einen Kommentar

Coding Kombüse Logo

Kontakt

Wendenstraße 130
20537 Hamburg, Germany
moin [at] coding-kombuese.de

Vernetze dich mit uns

Bleibe auf dem Laufenden

Wir informieren dich über die digitale Welt und sagen dir welche Trends du im Auge behalten solltest.

Cookie Hinweis von Real Cookie Banner