CTO: “Viele Administratoren sind faul”

Markus Hennig, Chief Technology Officer bei Astaro, hat die Medienberichterstattung über Hacker sowie Defizite der Unternehmen in Sachen IT-Sicherheit kritisiert. “Mit Hacking ist es wie in vielen Bereichen des Lebens – es gibt eine gute und eine schlechte Seite”, sagte Hennig.

Markus Hennig, Bild: Astaro
Markus Hennig, Bild: Astaro

“In den Medien wird der Begriff Hacking in der Regel negativ besetzt. Liest man in Zeitungen über Hacker, meint der jeweilige Journalist eine Person, die in ein Computersystem einbricht und dort enormen Schaden anrichtet”, so Hennig. Für ITler habe der Begriff Hacker hingegen eine andere Bedeutung: für sie handelt es sich hier vor allem um gute Programmierer, die Lücken im System aufspüren. “Nicht jeder Hacker mutiert dann jedoch zum Vandalen und missbraucht dieses Wissen. Vielmehr arbeiten viele Hacker mit anderen Programmierern und Unternehmen daran, diese zu schließen. Das Ethos in der Community ist eigentlich klar: wer eine Lücke findet, sollte mit dem Administrator des Systems darüber sprechen und im Zweifel dazu beitragen, das System sicherer zu machen.”

Es gebe ein weiteres Trugbild, dass Hackern seitens der Medien aufoktroyiert werde, so Hennig. “Oft scheint es so, als würde der marodierende Hacker technisch versierte Programme schreiben, um so immer ausgefeiltere Sicherheitssysteme zu knacken. In Wirklichkeit nutzt er jedoch in erster Linie altbekannte Schwachstellen in Programmen, unveränderte Standardeinstellungen oder zu einfache Passwörtern die aufgrund eines laxen Umgangs mit dem Thema in vielen Unternehmen zu finden sind.”

Fakt sei, dass die Softwareindustrie zu viele Lücken offen lasse und eine große Hacker-Community daran arbeite, diese zu schließen. “Ab und zu nutzen Vandalen diese Lücken für andere Zwecke. Anders jedoch als es uns die Presse oftmals weiß machen will, sind nicht nur große, global operierende Firmen das Ziel solcher Attacken. Wir schätzen, dass 90 Prozent der IT-Attacken kleine und mittelständische Unternehmen treffen – eine nicht zu unterschätzende Dunkelziffer, von der man kaum liest!”

Es stelle sich die Frage, warum diese Lücken, die altbekannt seien, immer noch genutzt werden könnten, sagte Hennig. “Weil viele Administratoren zu wenig Zeit aufwenden beziehungsweise aufwenden können, um ihre und die Systeme der Endanwender auf dem neusten Stand zu halten, Passwort-Policies durchzusetzen oder sich überhaupt einen Überblick über den aktuellen Zustand ihrer IT-Sicherheit zu beschaffen!”

Es reiche eben nicht, sich zur Absicherung ein Stück Hardware hinzustellen – gefordert sei ein ganzheitlicher Ansatz. Die IT-Sicherheit müsse kontinuierlich auf dem neusten Stand gehalten werden und die Mitarbeiter müssten ins Boot geholt und informiert werden, wie sie ihren Beitrag zur IT-Sicherheit leisten können. “Sicherheit ist kein Zustand, sondern ein Prozess. Und dieser Prozess kostet Zeit, Geld und Nerven – eine Alternative ist aber nicht in Sicht und ein Aufgeben führt direkt ins Desaster.”