Vorsicht bei Sicherheitsprodukten

Ein führender Sicherheitsexperte hat während der RSA-Konferenz in London die IT-Verantwortlichen zu mehr Misstrauen gegenüber Sicherheitsanbietern aufgefordert.

Bruce Schneier, CTO von BT Counterpane, vertritt die Ansicht, dass viele Anbieter von Sicherheitslösungen ihre Produkte nicht unbedingt “fair” beschreiben würden.

“Es mag unternehmenspolitische Entscheidungsgründe geben oder Marketinggründe”, erklärte Schneier. “Hersteller von Smart Cards werden zum Beispiel alles daran setzen um uns davon zu überzeugen, dass Smart Cards die Lösung für alle Sicherheitsprobleme sind.”

Eine Entscheidung für ein Produkt sei besonders schwierig, weil nur wenige Angriffe bekannt würden, die dann auch immer ein hohes Risiko beinhalten. “Wenn Vorkommnisse selten und risikoreich sind, dann ist es schwierig, ausreichend Daten zu bekommen. Und ohne Daten kann man die Fähigkeiten einer Lösung nicht einschätzen”, erläuterte Schneier.

Als Beispiel nannte Schneier die Anschläge vom 11. September 2001. Jeder hätte im Anschluss nach den Ursachen gefragt. Für eine genaue Klärung gebe es aber zu wenig Daten, da die Anschläge ein einmaliges Ereignis darstellen.

Auch könnte man erst nach dem Kauf feststellen, ob eine Sicherheitslösung wirklich geeignet sei. Schneier warnte davor, dass schlechte Produkte mit gutem Marketing mehr Erfolg haben könnten als gute Produkte. Auch dürften sich Unternehmen nicht fälschlicherweise in Sicherheit wiegen und sollten ihre Entscheidungen mehr nach rationalen Gründen treffen.

Schneier rät Unternehmen zu einer genauen Prüfung von Sicherheitsprodukten. Auch könnten vertrauenswürdige Berater mit einer nachweisbaren Erfahrung bei der Entscheidungsfindung in Unternehmen hilfreich sein.