Sicherheit vom Kopf auf die Füße
Security Awareness soll für mehr Sicherheit sorgen -- ganz ohne Sicherheitsprodukte. Doch das Sein bestimmt auch das Sicherheits-Bewusstsein; Letzteres hinkt folglich dem aktuellen Geschehen immer hinterher.
- Daniel Bachfeld
Awareness ist eines der Schlagwörter, das man derzeit häufig hört und liest - insbesondere in Zusammenhang mit IT-Sicherheit. Das richtige Bewusstsein soll für mehr Sicherheit sorgen – ganz ohne Sicherheitsprodukte. Mit mehr Sicherheitsbewusstsein weiß der Anwender, ob und wo er im Internet klicken darf und wie wichtig das Einspielen von Updates ist - so zumindest die Theorie. Schulungen und Aufklärungskampagnen sollen das notwendige Wissen vermitteln, damit sich der Anwender fortan – nun für Risiken und Gefahren sensibilisiert – vor Angriffen schützen kann.
In der Realitität funktioniert Awareness nur schlecht, da sie meist lediglich ein kleines Spektrum möglicher Bedrohungen abdeckt: Wenn man nicht weiß, von wo geschossen wird, kann man auch schwer in Deckung gehen. Zudem hinkt Awareness immer dem aktuellen Geschehen hinterher. Gelangt ein Problem ins Bewusstsein der Zielgruppe, ist das dafür verantwortliche Verhaltensmuster meist schon etabliert und nur noch schwer zu korrigieren.
Aktuell zeigte sich auch auf der CeBIT, wie wenig "aware" selbst das Fachpublikum für Sicherheitsprobleme war. In jeder beliebigen Halle waren zu jedem beliebigen Zeitraum Dutzende von Handys zu finden, die Bluetooth aktiviert hatten. Im Schnitt waren davon 10 Prozent für Angriffe über Nahfunk wie BlueBugging, BlueSnarfing, BlueJacking und DoS-Attacken anfällig. Dass die Bluetooth-Implementierungen einiger Hersteller Lücken aufweisen, ist zwar seit mehr als zwei Jahren bekannt, dieser Sachverhalt offenbar aber immer noch nicht überall angekommen.
Diese Awareness-Latenz zeigt sich auch weiterhin deutlich am Phishing-Problem: Obwohl das Thema ständig in allen Medien präsent ist, fischen die Phisher immer noch so viele PINs und TANs ab, dass sie mit dem Abbuchen nicht hinterherkommen. Mit dem Faktor Mensch und seiner Awareness kommt man kaum ans Ziel.
Auch in Sicherheitsfragen bestimmt das Sein das Bewusstsein; alles andere ist idealistisches Wunschdenken. Was Marx wohl davon hielte, dass sein dialektischer Materialismus die Begründung liefert, warum auch weiterhin die Microsofts und Symantecs dieser Welt Soft- und Hardware liefern müssen, um die Wetware vor Angriffen zu schützen?
fragt sich Daniel Bachfeld. (dab)
