Schlangenölverkäufer und ihre "Sicherheitsprodukte" verderben die Unternehmen
Verkauft der Finder einer Schwachstelle auch gleich die Lösung des Problems, ist bei ihrer Schwere gesundes Misstrauen angesagt, meint Janis König.
- Janis König
Es gibt wenige Dinge, die uns IT-Security-Experten so aus der Reserve locken wie eine neue Schwachstelle in SSH. Darunter ganz weit oben: vermeintliche Experten. Ihre Gefolgschaft haben sie aufgebaut mit JavaScript-Code, also viel grünem Text auf schwarzem Grund, der als Hex-Literal obfuscatet und dann als "ShellCode" geadelt wurde, nebulösen "Riesen-Hacks" und geschickt platzierten Interviews. Und so werben sie dann für ihre Produkte, die dieses komplexe Problem ganz einfach lösen würden. Sie erreichen bisweilen sogar Entscheider in Unternehmen oder im Halbschlaf durch LinkedIn scrollende IT-Security-Experten, die ihnen dann nur noch mehr Glaubwürdigkeit und Reichweite geben.
Dass solche Schlangenölhändler nur Schaden anrichten, sollte keiner langen Erklärung bedürfen: Zuerst kommt der finanzielle Schaden durch den Kauf eines womöglich überflüssigen Produkts, dann der durch fehlende Maßnahmen, die durch das Tool ja angeblich nicht mehr nötig sein sollen. Und schließlich noch der Aufwand, diese Produkte zu installieren, zu pflegen und gegebenenfalls noch deren Sicherheitslücken zu patchen.
Alle machen mit
Es sollte niemanden verwundern, dass diese Masche funktioniert. Selbst vermeintlich namhafte Hersteller verkaufen zusammengefrickelte, veraltete Appliances mit uralten bekannten Schwachstellen ohne Scham. Sie bauen Security-by-Obscurity-Sicherheitsmodule und reden Kleinstunternehmen ein, sie müssten groß auf Threat Hunt gehen – wenn noch nicht einmal ein Inventar steht und Updates einspielen ein großes Theater mit RDP und manuellem Download einer MSI ist, mit AD-Domänen-Account, versteht sich.
Das sind Produkte, die ihrer Website nach angeblich selbst ein Windows XP zu einem Fort Knox machen. Und die in ihrer Erläuterung, wie das genau geschehen soll, mit so vielen Buzzwords hantieren, dass sie in ihrer Obskurität selbst der Beschreibung der ehrwürdigen Vollbitverschlüsselung vom Kryptochef höchstpersönlich in nichts nachstehen. Mit einem derart kaputten Markt an Sicherheitsprodukten kann ich es den für den Einkauf Verantwortlichen kaum verübeln, dass sie auch auf die Hobby-Schlangenölverkäufer hereinfallen – fast jedenfalls.
Marketing-Blabla macht echtes Urteil schwer
Denn auf der anderen Seite stehen natürlich Firmen, die meinen, man könne jegliche technische Expertise auslagern, am besten zu denen, die einem auch die Produkte verkaufen! Dann fällt die Entscheidung ja auch leichter. Wenn beim Einkauf schlicht die Anzahl der Vorkommnisse von "Zero Trust", "Secure by Design" und neuerdings "AI" in der Produktbroschüre gezählt und daraus eine Excel-Tapete gebastelt wird, weil die Kompetenz fehlt, zu überprüfen, ob das Gedruckte auch so Hand und Fuß hat … dann können wir gleich einpacken. Wenn Entscheidungen auf Basis von Indikatoren getroffen werden, deren Beurteilung den Herstellern selbst unterliegt, führt das nur zu einem Überbieten mit Superlativen: Ich würde meinem Film auch sieben von fünf Sternen geben.
Noch viel trauriger: Selbst wenn Kompetenz im Einkauf vorhanden ist – durch dieses Verstecken von Informationen hinter Marketing-Blabla fällt es selbst Experten zunehmend schwerer, sich ein Urteil zu bilden. Dazu fehlt schlicht die Transparenz, was wirklich drin ist in dem, was ich kaufe.
Trotzdem müssen wir daran arbeiten, ein Mindestmaß an interner Expertise in allen Firmen aufzubauen, damit wir auch besser einschätzen können, ob überhaupt ein neues Tool nötig ist. Sonst wird’s doch wieder ein neues Securityprodukt anstelle von Security im Produkt.
(pst)