RSA-Konferenz: Der Markt versagt bei Sicherheit im Netz

Mangelnde Sicherheit in IT-Systemen ist weniger ein technisches, und viel mehr ein wirtschaftliches Problem, sagte Sicherheits-Guru Bruce Schneier, CTO von Counterpane, beim Abschlusspanel der RSA-Konferenz in Wien. "Die Kosten für Sicherheitslücken werden nicht von denen getragen, die darauf einen direkten Einfluss haben, sondern vielmehr von denjenigen, die unter den Mängeln leiden", beklagte Schneier. Das Gerede davon, dass man die Leute nur besser aufklären und fortbilden müsse, bedeute im Klartext: "Wir machen schlechte Software und jetzt zeigen wir dir mal, wie du sie benutzen musst."

Software-Hersteller neigten einfach dazu, ihre Probleme zu externalisieren und plädierten dann eifrig für Lösungen, die sie selbst nichts kosteten. Um die Entwicklung umzukehren, müssten die Probleme an die Hersteller selbst zurückgereicht werden. Einiges habe der Wettbewerb erreicht: "Linux hat viel getan, um Microsoft zu bewegen, weil es für Microsoft teuer war, nicht zu reagieren." Einen ähnlichen Effekt, meinte Schneier, könnten Gesetze haben, die Geschädigten erlaubten, Hersteller für Fehler und kompromittierte Sicherheit haftbar zu machen. Bei Visa-Karten hätte die Verantwortlichkeit der Banken für nicht autorisierte Zahlungen zu einer Welle von Innovationen für mehr Sicherheit geführt.

Schneiers Vorschlag erntete heftigen Widerspruch von Harris Miller, Präsident der Information Technology Association of America (ITAA). Er warnte vor den negativen Konsequenzen der Regulierung auf Innovationen. Kreativität und Innovation nicht zuletzt für künftige Sicherheitslösungen würden durch Regulierung behindert oder sogar gestoppt. "Wir sind sicher noch nicht an einem Punkt, an dem wir Lösungen haben, aber der Ruf nach den Regierungen ist beängstigend."

Wenig Hoffnung in die Regulierung setzt auch Michael Colao, Chef des Bereichs Information Security bei Dresdner Kleinwort Wasserstein. Ein Vergleich der Ausgaben für Sicherheit und der Ausgaben, die schlechter Regulierung gezollt wären, zeige: "Das Heilmittel ist übler als die Krankheit selbst." Regulierung ist teurer, wenn sie nicht gut gemacht wird. Und ich sehe nicht, dass sie gut gemacht wird." Die von Regierungen vielfach beschworene Harmonisierung von Gesetzen etwa bezeichnete er als ein schönes "Hollywoodszenario". "Unternehmen sind vielmehr mit konkurrierenden und sich widersprechenden Gesetzen konfrontiert", erklärte Colao. Einige US-Firmen etwa seien von der französischen Datenschutzbehörde CNIL wegen des Verstoßes gegen französisches Datenschutzrecht zur Verantwortung gezogen worden. Die US-Unternehmen hatten in diesem Fall eine anonyme Hotline für Unternehmens-Kritik eingerichtet, um den Anforderungen des so genannten Sarbanes-Oxly-Act zu entsprechen, der nach dem Enron-Skandal für mehr Transparenz in Unternehmen sorgen sollte. Mehr lokale Gesetze stellen Unternehmen vor mehr Gesetzeskonflikte. Dabei sind, betonte Colao, "lokal gemachte Gesetze global". So sei es undenkbar, dass eine Bank Kunden in Kalifornien, Spanien oder Japan den Klau ihrer Daten mitteile, anderswo, wo es keine Gesetze gebe, aber nicht. Ein Problem bei der Gesetzgebung ist dabei laut Colao nicht zuletzt, dass sie reaktiv sei. Wie bei Spam, so erwartet er auch im Bereich Sicherheit, dass Politiker auf den Aufschrei der Öffentlichkeit reagieren. Beim Zustandekommen der Gesetze würden dann allerdings in erster Linie die Lobbyisten der Verbände gehört, nicht aber Kunden oder Betroffene.

Schneier konterte die Gegenargumente mit dem Hinweis, dass man entscheiden müsse, wie viel Innovation man für mehr Sicherheit opfern wolle. "Wenn man den gegenwärtigen Status in Ordnung findet, ok." Angesichts zunehmender Sicherheitsprobleme rechnen allerdings Schneier ebenso wie Colao damit, dass immerhin eine Gruppe sich auf strengere Regulierung einrichten müsse: die Internet-Provider. "Das kommt ganz sicher, das Provider-Geschäft wird stark reguliert werden", meinte Colao. In gewisser Weise werde die Regulierung von Technologie-Kunden auch einen Effekt auf die Sicherheitsanforderungen von Software haben. Da die Provider bei der RSA-Security-Konferenz nicht mit am Tisch saßen, blieb ihnen vorerst einmal der schwarze Peter. (Monika Ermert) / (jk)