Sicherheitsexperte Marcus J. Ranum übt auch scharfe Kritik an eigener Branche: Teure Lösungen für wenig Nutzen

Ein Jubiläum feiern die Macher der Deepsec: Zum mittlerweile zehnten Mal rufen sie zu ihrer Sicherheitskonferenz nach Wien. Am Donnerstag wurde die diesjährige Ausgabe mit einer Keynote eröffnet, die sich zur Aufgabe gesetzt hatte, einen Überblick über die Trends der letzten Jahrzehnte zu liefern. Und dieser fiel durchaus selbstkritisch aus.

Scharfe Worte

Die Realität sei, dass die Sicherheitsindustrie nicht dazu da sei, Computersysteme effizient abzusichern sondern um die eigene Einnahmen zu maximieren, kritisiert Marcus J. Ranum von Tenable Security den Status Quo. Die Branche agiere ähnlich seriös wie Hersteller von Diätprodukten, all die großen Hardwarelösungen, die dort zum Teil um mehrere zehntausend Euro verkauft werden seien vor allem für eines gut: Die Geldbörse der Hersteller. Auf Nachfrage des STANDARD betont Ranum, dass diese Produkte zum Teil durchaus einen realen technischen Nutzen haben. Viele Unternehmen, die sie kaufen, könnten damit aber gar nicht umgehen, oder bräuchten so etwas prinzipiell nicht.

Das Problem sei nicht zuletzt in der Vermittelbarkeit des Themas Sicherheit gegenüber dem Management zu suchen. Anstatt, wie es richtig wäre, eigenes Know How in den Firmen aufzubauen, werden einfach regelmäßig große Geldsummen auf solche Hardwarelösungen oder aber auch externe Softwaredienstleister geworfen. Damit könne man immer sagen, man habe etwas getan, ließe sich so etwas doch leicht vorzeigen. Langfristig sei dies aber sowohl die teurere als auch weniger sichere Lösung.

Alle in die Cloud?

Für die Computerabteilungen der Unternehmen heißt die Lehre daraus, dass sie lernen müssen, wie sie ihre eigenen Aktivitäten dem Management besser verkaufen könne. Dies heißt zu einem Teil auch die Sprache von Managern zu lernen, und ihnen die finanziellen Vorteile des Aufbaus eigenen Know-Hows samt konkreten Beispielen vorzurechnen. Und als Systemadministrator oder Sicherheitsexperte sollte man sich damit besser beeilt: Die Realität sei, dass viele Jobs in diesem Bereich zunehmend durch die Cloud ersetzt werden. Dies sei auch durchaus nachvollziehbar, immerhin hat dieser Schritt aus Management-Perspektive zentral Vorteile, da man viele Sicherheitsaufgaben auslagere. In der Cloud von Amazon oder Google könne eine Person eine Million Maschinen verwalten, damit könne keine interne Computerabteilung konkurrieren.

Privacy?

Keine Illusionen macht sich Ranum auch, dass der Schritt in die Cloud von Privatsphärenbedenken gebremst werden könnte, immerhin lagern Unternehmen damit einen wichtigen Teil ihrer Infrastruktur auf die Server anderer Unternehmen aus. Seiner Erfahrung nach interessieren Manager die Themen Privacy und Datensicherheit herzlich wenig. Ganz im Gegenteil gelte fast überall die Devise möglichst viele Daten zu sammeln, ohne dabei erwischt zu werden. Selbst bei Apple, das sich gerne mit seinem Beharren auf Privatsphäre brüstet, sei dies im Endeffekt doch nicht mehr als Marketing, um mehr Geräte zu verkaufen.

Aber auch sonst zeichnet Ranum kein sonderlich positives Bild der Zukunft in IT-Sicherheitsfragen. Die Realität sei, dass die Stimmung in der Branche noch nie so pessimistisch wie aktuell gewesen sei – und zwar zurecht. Kommen mit dem Internet der Dinge doch gerade ganz neue Herausforderungen auf uns alle zu, und zwar welche, die sich nicht so einfach lösen lassen. In der Preiskategorie, in der diese Geräte verkauft werden, sei eine dauerhafte Update-Versorgung, wie sie für ständig am Netz hängende Devices nötig wäre, einfach nicht machbar. (Andreas Proschofsky, 10.11.2016)