Schlangenölverkäufer und die „Sicherheitsprodukte“-Industrie
Mit Tamtam angekündigte Schwachstellen sind nicht immer das, was manche einen glauben machen wollen. Gesundes Misstrauen ist vor allem dann angesagt, wenn derjenige, der das Problem aufzeigt, auch die Lösung dazu verkauft.
Es gibt wenige Dinge, die uns IT-Security-Experten so aus der Reserve locken wie eine neue Schwachstelle in SSH. Darunter ganz weit oben: vermeintliche Experten. Ihre Gefolgschaft haben sie aufgebaut mit JavaScript-Code, also viel grünem Text auf schwarzem Grund, der als Hex-Literal obfuscatet und dann als „ShellCode“ geadelt wurde, nebulösen „Riesen-Hacks“ und geschickt platzierten Interviews. Und so werben sie dann für ihre Produkte, die dieses komplexe Problem ganz einfach lösen würden. Sie erreichen bisweilen sogar Entscheider in Unternehmen oder im Halbschlaf LinkedIn scrollende IT-Security-Experten, die ihnen dann nur noch mehr Glaubwürdigkeit und Reichweite geben.
Dass solche Schlangenölhändler nur Schaden anrichten, sollte keiner langen Erklärung bedürfen: Zuerst kommt der finanzielle Schaden durch den Kauf eines womöglich überflüssigen Produkts, dann der durch fehlende Maßnahmen, die durch das Tool ja angeblich nicht mehr nötig sein sollen, und schließlich der Aufwand, diese Produkte auszurollen, zu pflegen und gegebenenfalls noch deren Sicherheitslücken zu patchen.