Bedrohung aus dem Netz
Trend

Datensicherheit

Kein Klick zu viel!

Lesezeit ca.: 4 Minuten

Joachim Jakobs

freier Journalist

Die Informationssicherheit verlangt nach rollenspezifischer Bildung – und einer Aktualisierung der Bildungsinhalte. Mit welchem Wissen bezüglich Informationssicherheit verlassen die Studierenden – immerhin die angehende Führung unseres Landes – ihre Hochschule?

22. Dezember 2016

Klicken Sie auf Ihnen unbekannte Links in Mails und auf Websites? In einer Umfrage der Friedrich-Alexander-Universität Erlangen-Nürnberg behaupteten 78 Prozent der Studierenden im Sommer 2016, sie seien sich des Risikos bewusst, das mit dem Öffnen unbekannter Internet-Links verbunden ist. Tatsächlich hätte jedoch die Hälfte der Befragten solche Links angeklickt – aus „Neugier“.

Der Verein “Deutschland sicher im Netz e.V.” empfiehlt, dass 10 Prozent einer jeden Informatik-Vorlesung dem Thema Sicherheit gewidmet werden sollten. Unklar ist aber, welche Inhalte dort vermittelt werden sollen – und für wen. Angehenden Spezialisten für die Kryptographie müssten wohl andere Inhalte angeboten werden als denen, die sich mit autonomen Robotern beschäftigen.

Chefs als das größte Risiko?

Gänzlich unklar ist, wie viel Prozent der Vorlesungszeit andere Fakultäten auf dieses Thema verwenden sollten: Nicht nur Maschinenbauer und Elektroingenieure, sondern auch Buchhalter, Anwälte, Steuerberater und Ärzte werden irgendwann mit dem Thema Informationssicherheit konfrontiert sein. Die Hochschulrektorenkonferenz jedoch verweigert auch auf mehrmaliges Nachfragen jede Aussage dazu.

Den Status quo hat produktion.de im September 2016 in eine knackige Schlagzeile gepackt: "Datensicherheit: Chefs sind das größte Risiko". Nach Ansicht des Sicherheitsanbieters Tripwire sollten sich Chefs „heute mehr denn je“ um den Schutz ihrer Firma kümmern. Zu befürchten ist ansonsten, dass die Mitarbeiter das sorglose Verhalten der Chefs imitieren – schließlich werden sie dafür bezahlt. Das führt zu Software von schlechter Qualität, die schlecht implementiert, schlecht administriert und schlecht genutzt wird.

Entwickler unter Druck

Der Softwarekonzern SAP behauptet, die eigene Technik einer „strengen Validierung“ zu unterziehen. Trotzdem soll sich pro tausend Zeilen Code ein „kritischer“ Fehler in die Software aus Walldorf einschleichen, so die Beratungsfirma Virtual Forge. Bei Millionen Zeilen Code kommt da einiges zusammen. Gordon Muehl, früherer Chief Technology Officer (CTO) für Sicherheit bei SAP, ist der Ansicht: „In der Regel müssen Entwickler termingerecht liefern. Diese Situation bringt einen Entwickler in die Bredouille.“ Das bedeutet: Unter hohem Druck könnte so ein Entwickler auch mal „Bananensoftware“ entwickeln – die „reift“ im Einsatz beim Kunden.

Doch auch dort ist für die Sicherheit keine Zeit: 90 Prozent von 150 Lieferketten-Verantwortlichen bekannten in einer Umfrage der University of Tennessee, dass sie die Risiken nicht quantifizieren würden, die mit der Auslagerung der Produktion verbunden sein könnten. Kein Wunder, dass weniger als 50 Prozent der eingekauften Software auf Sicherheit geprüft wird, so die Klage der Firma Coverity unter Berufung auf eine Studie von Forrester Research.

Passwort verraten für ein Stück Schokolade

Schlecht implementierte Software gehört nach Ansicht des Internet-Magazins wired.com zu den „größten Sicherheitsbedrohungen“. Andere Experten bestätigen, schlechte Implementierungen könnten „all unsere starken Algorithmen“ umgehen. Administratoren gehören nach Ansicht des „Cyber Defense Magazine“ zu den „schwächsten Punkten“ einer jeden Internetseite, da sie Inhalte verändern könnten, dabei aber schwache Passwörter benutzten. Schlimmer noch: „Wenn Systemadministratoren die Wahl zwischen höherer IT-Sicherheit und höherer Netzwerkperformance haben, entscheiden sie sich häufig für die Performance und erleichtern Hackern und anderen Cyberkriminellen damit ihr Treiben“, behauptet die Easy Software AG unter Verweis auf eine Studie des Virenjägers McAfee.

40 Prozent der Anwender wiederum vertrauen besonders gern auf „einfache Passwörter, die man sich leicht merken“ kann, so der Branchenverband Bitkom im April 2016. Und jeder zweite davon ist bereit, sein Passwort für ein Stück Schokolade zu verraten, so das Ergebnis einer Untersuchung der International School of Management in Stuttgart zwei Monate später.

Mangel an Sicherheitsexperten

63 Prozent aller Datenverluste sollen durch löchrige Drittsoftware verursacht werden. Womöglich hängt das Elend mit einem Mangel an entsprechend qualifiziertem Personal zusammen: Bereits 2010 machte Gary Hayslip, Cybersecurity Chef der Stadt San Diego, „Tausende“ unbesetzte Stellen in der Informationssicherheit aus. Die einschlägigen Ausbildungsinstitutionen seien bereits damals nicht in der Lage gewesen, den Nachwuchsbedarf zu decken. Bis 2019 soll die Anzahl dieser Stellen nach Erkenntnis der ISACA, einem weltweiten Berufsverband von Informationssicherheitsfachleuten, auf zwei Millionen wachsen. In einer Umfrage unter 100 deutschen Sicherheitsexperten von McAfee bescheinigten über 80 Prozent der Bundesrepublik ebenfalls einen Mangel an entsprechend qualifiziertem Personal. Der Branchenverband Bitkom beziffert den Mangel aktuell auf 41.000 Personen.

Um die Situation zu verbessern, muss sich das Bildungssystem ändern: Bildungsinhalte müssen aktualisiert und dadurch das Know-how der zukünftigen Entscheider verbessert werden. Damit der Chef von morgen nochmals darüber nachdenkt, bevor er einen unbekannten Link anklickt.