64660

Experte fordert Herstellerhaftung für Schäden durch fehlerhafte Software

20.09.2006 | 17:11 Uhr |

Auf der "Hack In The Box"-Sicherheitskonferenz (HITB) hat sich Sicherheitsguru Bruce Schneier sehr kritisch bezüglich der derzeitigen Lage im Bereich der IT-Sicherheit geäußert. Unter anderem fordert er, dass Software-Hersteller für Schäden, die dem Anwender durch Sicherheitslücken in der Software entstehen, haftbar gemacht werden können.

Unternehmen verlieren den Kampf, ihre IT-Sicherheitssysteme vor Angreifern zu sichern, erklärte Bruce Schneier, Gründer und Chief Technology Officer der Counterpane Internet Security , in seiner Rede auf der HTIB in Kuala Lumpur, Malaysia. "Im Großen und Ganzen glaube ich nicht, dass wir dabei sind, den Sicherheitskrieg zu gewinnen; ich denke, wir verlieren ihn." Je komplexer Systeme werden, desto unsicherer werden sie, so Schneier. Und während sich die Sicherheitstechnologie verbessert, ist die Komplexität moderner IT-Systeme in noch schnellerem Maße gestiegen. "Das Internet ist die komplexeste Maschine, die jemals gebaut wurde."

Zudem hat sich die Art der Bedrohungen, denen Unternehmen gegenüberstehen, in wesentlichen Punkten geändert. Galt Hacking einst als eine Beschäftigung für Tüftler, sind eine zunehmende Zahl von Hacker nun Kriminelle mit finanziellen Motiven. "Die Art der Angriffe ändert sich, weil die Gegner sich ändern", warnt Schneier. "Sie haben andere Motive, andere Qualifikationen und ein anders gelagertes Risiko-Empfinden." Tüftler machen nach der Einschätzung von Schneier mittlerweile die Minderheit bei den Hackern aus und dieser Wandel bringt es mit sich, dass Hacker eine noch größeren Bedrohung für Firmen darstellen. "Der Tüftler ist am Ruf interessiert, der Kriminelle will Ergebnisse."

Um die Auseinandersetzung noch zu ihren Gunsten drehen zu können, muss die Sicherheits-Branche über ihren Tellerrand blicken - über die technischen Maßnahmen hinaus. "Haltet Ausschau nach den wirtschaftlichen Hebeln", sagt Schneier. "Wenn ihr die wirtschaftlichen Hebel richtig ansetzt, wird Technologie funktionieren. Wenn ihr es nicht hinbekommt, dann wird Technologie nie funktionieren." Auf die "externen Effekte" kommt es Schneier zufolge an. Als Beispiel führt er US-Banken an, die nicht besonders viel für den Schutz gegen Identitätsdiebstahl ausgeben, da sie nicht betroffen sind falls ein Diebstahl passiert - für die Banken ein externer Effekt. Aber wenn Banken haftbar sind für eine Verletzung der Sicherheitsbestimmungen, etwa wenn von einem Konto ohne Erlaubnis Geld abgehoben wird, tätigen sie die notwendigen Investitionen, um solche Vorfälle zu verhindern. Dieselbe Lektion kann auch auf Software-Hersteller angewandt werden. Um die Sicherheit der Software zu verbessern, müssten Microsoft und andere für den Verkauf von Software, die nicht sicher ist, haftbar gemacht werden. "Wenn sie fehlerhafte Software nutzen und Daten verlieren, ist das ihr Verlust und nicht der der Firmen", resümiert Scheider. Das muss sich seiner Meinung nach ändern. "Die Organisation, die die Möglichkeit hat, ein Risiko abzuschwächen, muss für das Risiko auch verantwortlich sein."

0 Kommentare zu diesem Artikel
64660