Und jetzt alle: PANIK!

Die Chinesen hacken wieder. Diesmal in einem E-Mail-„Security“-Gateway von Barracuda. Das Gateway stolpert über Dateinamen in tar-Archiven in einem Perl-Skript (like, wer es noch kennt). Es folgt das Übliche. Hier ein heise Security Alert, dort eine Meldung in der Zeit, Aufschrei in der Cyberbubble auf LinkedIn.

Ich merke bei jeder neuen Meldung: Ich bin müde geworden. Vielleicht ist es das warme Wetter. Vielleicht aber auch, dass nach meinen mehr als 20 Jahren in diesem „Cyber“ sich viel zu wenig ändert. Die veröffentlichte Software bleibt auf Mickymaus-Sicherheitsniveau, wir machen, wenn überhaupt, sichere Krypto, aber keine sichere Software. Die Politik träumt von Quellen-TKÜ und will dafür die gute Krypto aufbrechen. Aber kein Ding. Wir sind ja die Guten. Die Chinesen, die hacken. Oder die Russen. Oder die Nordkoreaner (100 Millionen aus Krypto-Wallets liest man ja gerade). Oder die Ransomware-Gangster. Nein! Doch! Oh! (sic!)

Wir Cybersicherheitstypen erzählen immer noch das Gleiche. Was bleibt uns auch übrig? Also noch mal: Liebe Hersteller, Security by Design klingt nicht nur gut. Auch wenn Ihr nicht „Security“ auf Euer Produkt schreibt, dann stärkt den Entwicklungsprozess. Es gibt tolle Standards wie den OWASP SAMM, die Euch da helfen können. Liebe Betreiber von IT (also jede Firma. Jede.), Informationssicherheit ist ein Prozess. Für Sicherheit verantwortlich ist nicht die IT. Ihr habt ja Euer Controlling auch nicht in der Buchhaltung, stimmts? Denkt immer daran. Ohne IT geht bei Euch nichts mehr. Kümmert Euch bitte darum. Es geht um Eure Existenz, wenn es dumm läuft.

Zurück zu den Chinesen. Es ist mir ja echt egal, wer mich gerade angreift. In dem Fall mutmaßlich staatlich motivierte Hacker. Die gibt es auf der ganzen Welt. Die Älteren werden sich an Herrn Snowden und Programme wie PRISM erinnern. „Abhören unter Freunden geht gar nicht (...).“ Wer hat’s gesagt? Richtig. Frau Merkel. Im Jahre des Herrn 2013. In den Pentagon-Leaks 2023 (!) gibt es starke Indikatoren, dass ein US-Geheimdienst das Bundesverteidigungsministerium ausgespäht hat. Nach dem großen Aufschrei 2013/2014 ist nichts passiert.

Die Snowden-Enthüllungen und alle anderen Ereignisse führten im Übrigen in keinem einzigen Fall dazu, dass bei den Cybersicherheitsfirmen signifikante Anfragesprünge erkennbar waren. Das haben zumindest meine kleinen Umfragen im Markt immer ergeben. Wenigstens kurze Panik wäre da manchmal schon gut gewesen.

Mein Schluss ist seit vielen Jahren klar: Cybersichere Programme und Informationssicherheit in Unternehmen kann es nur durch Regulierung geben. Das geschieht gerade, zumindest ein wenig (NIS2, Cyber Resilience Act et al.). Der Aufschrei ist erwartungsgemäß groß und wird sicher noch größer, wegen der bösen Bürokratie. Die Gegenwehr von Unternehmen scheint mir jedoch immer dann besonders groß, wenn sie sich so gar nicht um ein Thema in der Breite gekümmert haben. Das ist bei Cybersicherheit – hier wäre ich bereit, horrende Summen zu verwetten – der Fall.

Wenn es endlich gelingt, wenigstens ordentliche Sicherheit als Standard zu etablieren, ist es weiter egal, wer da angreift. Aber die Hacker, egal ob freiberuflich oder staatlich angestellt, müssen sich endlich mal richtig viel Mühe geben.

Tobias Glemser

ist BSI-zertifizierter Penetrationstester und Geschäftsführer der secuvera GmbH. Seit über 20 Jahren arbeitet er in der Cybersicherheit. Privat ist er unter anderem bei OWASP engagiert.