Image: Kein Klick zu viel!FERCHAUFERCHAU
TrendDatensicherheit

Kein Klick zu viel!

Lesezeit ca.: 4 Minuten
Joachim Jakobs

Joachim Jakobs

freier Journalist

Die Informati­ons­si­cher­heit verlangt nach rollenspe­zi­fi­scher Bildung – und einer Aktualisie­rung der Bildungs­in­halte. Mit welchem Wissen bezüglich Informati­ons­si­cher­heit verlassen die Studierenden – immerhin die angehende Führung unseres Landes – ihre Hochschule?

22. Dezember 2016

Klicken Sie auf Ihnen unbekannte Links in Mails und auf Websites? In einer Umfrage der Friedrich-Alexander-Universität Erlangen-Nürnberg behaupteten 78 Prozent der Studierenden im Sommer 2016, sie seien sich des Risikos bewusst, das mit dem Öffnen unbekannter Internet-Links verbunden ist. Tatsächlich hätte jedoch die Hälfte der Befragten solche Links angeklickt – aus „Neugier“.

Der Verein “Deutsch­land sicher im Netz e.V.” empfiehlt, dass 10 Prozent einer jeden Informatik-Vorlesung dem Thema Sicherheit gewidmet werden sollten. Unklar ist aber, welche Inhalte dort vermittelt werden sollen – und für wen. Angehenden Spezialisten für die Kryptogra­phie müssten wohl andere Inhalte angeboten werden als denen, die sich mit autonomen Robotern beschäftigen.

Chefs als das größte Risiko?

Gänzlich unklar ist, wie viel Prozent der Vorlesungs­zeit andere Fakultäten auf dieses Thema verwenden sollten: Nicht nur Maschinen­bauer und Elektroin­ge­nieure, sondern auch Buchhalter, Anwälte, Steuerbe­rater und Ärzte werden irgendwann mit dem Thema Informati­ons­si­cher­heit konfrontiert sein. Die Hochschul­rek­to­ren­kon­fe­renz jedoch verweigert auch auf mehrmaliges Nachfragen jede Aussage dazu.

Den Status quo hat produktion.de im September 2016 in eine knackige Schlagzeile gepackt: "Datensicher­heit: Chefs sind das größte Risiko". Nach Ansicht des Sicherheits­an­bie­ters Tripwire sollten sich Chefs „heute mehr denn je“ um den Schutz ihrer Firma kümmern. Zu befürchten ist ansonsten, dass die Mitarbeiter das sorglose Verhalten der Chefs imitieren – schließlich werden sie dafür bezahlt. Das führt zu Software von schlechter Qualität, die schlecht implemen­tiert, schlecht administriert und schlecht genutzt wird.

Entwickler unter Druck

Der Software­kon­zern SAP behauptet, die eigene Technik einer „strengen Validierung“ zu unterziehen. Trotzdem soll sich pro tausend Zeilen Code ein „kritischer“ Fehler in die Software aus Walldorf einschlei­chen, so die Beratungs­firma Virtual Forge. Bei Millionen Zeilen Code kommt da einiges zusammen. Gordon Muehl, früherer Chief Technology Officer (CTO) für Sicherheit bei SAP, ist der Ansicht: „In der Regel müssen Entwickler terminge­recht liefern. Diese Situation bringt einen Entwickler in die Bredouille.“ Das bedeutet: Unter hohem Druck könnte so ein Entwickler auch mal „Bananensoft­ware“ entwickeln – die „reift“ im Einsatz beim Kunden.

Doch auch dort ist für die Sicherheit keine Zeit: 90 Prozent von 150 Lieferketten-Verantwort­li­chen bekannten in einer Umfrage der University of Tennessee, dass sie die Risiken nicht quantifi­zieren würden, die mit der Auslagerung der Produktion verbunden sein könnten. Kein Wunder, dass weniger als 50 Prozent der eingekauften Software auf Sicherheit geprüft wird, so die Klage der Firma Coverity unter Berufung auf eine Studie von Forrester Research.

Passwort verraten für ein Stück Schokolade

Schlecht implemen­tierte Software gehört nach Ansicht des Internet-Magazins wired.com zu den „größten Sicherheits­be­dro­hun­gen“. Andere Experten bestätigen, schlechte Implemen­tie­rungen könnten „all unsere starken Algorith­men“ umgehen. Administra­toren gehören nach Ansicht des „Cyber Defense Magazine“ zu den „schwächsten Punkten“ einer jeden Internet­seite, da sie Inhalte verändern könnten, dabei aber schwache Passwörter benutzten. Schlimmer noch: „Wenn Systemad­mi­nis­tra­toren die Wahl zwischen höherer IT-Sicherheit und höherer Netzwerk­per­for­mance haben, entscheiden sie sich häufig für die Performance und erleichtern Hackern und anderen Cyberkri­mi­nellen damit ihr Treiben“, behauptet die Easy Software AG unter Verweis auf eine Studie des Virenjägers McAfee.

40 Prozent der Anwender wiederum vertrauen besonders gern auf „einfache Passwörter, die man sich leicht merken“ kann, so der Branchen­ver­band Bitkom im April 2016. Und jeder zweite davon ist bereit, sein Passwort für ein Stück Schokolade zu verraten, so das Ergebnis einer Untersuchung der International School of Management in Stuttgart zwei Monate später.

Mangel an Sicherheits­ex­perten

63 Prozent aller Datenver­luste sollen durch löchrige Drittsoft­ware verursacht werden. Womöglich hängt das Elend mit einem Mangel an entsprechend qualifiziertem Personal zusammen: Bereits 2010 machte Gary Hayslip, Cybersecu­rity Chef der Stadt San Diego, „Tausende“ unbesetzte Stellen in der Informati­ons­si­cher­heit aus. Die einschlä­gigen Ausbildungs­in­sti­tu­tionen seien bereits damals nicht in der Lage gewesen, den Nachwuchs­be­darf zu decken. Bis 2019 soll die Anzahl dieser Stellen nach Erkenntnis der ISACA, einem weltweiten Berufsver­band von Informati­ons­si­cher­heits­fach­leuten, auf zwei Millionen wachsen. In einer Umfrage unter 100 deutschen Sicherheits­ex­perten von McAfee bescheinigten über 80 Prozent der Bundesre­pu­blik ebenfalls einen Mangel an entsprechend qualifiziertem Personal. Der Branchen­ver­band Bitkom beziffert den Mangel aktuell auf 41.000 Personen.

Um die Situation zu verbessern, muss sich das Bildungs­system ändern: Bildungs­in­halte müssen aktualisiert und dadurch das Know-how der zukünftigen Entscheider verbessert werden. Damit der Chef von morgen nochmals darüber nachdenkt, bevor er einen unbekannten Link anklickt.