Daten-GAU: Peinliche Ausreden helfen nicht weiter!
Der wöchentliche »Datenskandal« ist inzwischen fast schon ein täglicher Skandal – falls man dieses große Wort verwenden möchte. Wirklich skandalös sind aber vor allem die Erklärungsversuche der Betroffenen.
Täglich grüßt das Datenleck - und viele Unternehmen wissen nicht damit umzugehen.
Gestern wurde in SWR3 über die Sicherheitslücken bei libri.de berichtet. Interessant war dabei vor allem der Pressesprecher des TÜV Süd, der zu erklären versuchte, warum der TÜV Süd ein Sicherheitszertifikat für libri.de als vertrauenswürdige Site vergeben hatte und warum es dennoch zu den Problemen, bei denen man mit einfachen Mitteln auf die Rechnungsdetails anderer Kunden zugreifen konnte, gekommen ist. Die Quintessenz war, dass das Internet eben unsicher sei und wenn man an der Software was ändere, könnte es halt zu neuen Sicherheitslücken kommen.
Richtig: Softwareänderungen können zu neuen Risiken führen. Aber: Das Problem bei libri.de ist genauso wie das unlängst bei SchülerVZ und viele andere in erster Linie ein Problem einer mangelhaften Sicherheitsarchitektur in der Software. Wenn es die von vornherein gegeben hätte und wenn es entsprechende SDLs (Secure Development Lifecycles) gegeben hätte, wäre das Problem nie entstanden.
Denn im Prinzip ist es ja ganz einfach: Es gibt Informationen, auf die zugegriffen werden soll. Personen authentifizieren sich. Das System führt eine adäquate Autorisierung zu. Es lässt genau die berechtigten Zugriffe zu. Das lässt sich bei Rechnungsdaten im Online-Handel ebenso realisieren wie bei sozialen Netzwerken. Das kann man auch durchgängig und konsequent machen, um sicherzustellen, dass wirklich nur berechtigte Zugriffe erfolgen dürfen. Nur: Dazu muss man von Beginn an bei der Softwarearchitektur und im weiteren Verlauf bei der Entwicklung der Software das Thema Sicherheit konsequent mit berücksichtigen.
Sicherheit hat ihren Preis
Martin Kuppinger, Gründer des Analystenunternehmens Kuppinger Cole.
Klar ist auch: Sicherheit hat ihren Preis. Im eCommerce und bei sozialen Netzwerken geht es dabei vor allem um die Performance. Die Autorisierungsentscheidungen sind dort oft komplex und deren Überprüfung kostet Zeit. Das kann man teilweise mit mehr Rechenleistung auffangen, aber das kostet Geld. Nur: Wenn man das nicht will, muss man auch die Konsequenzen tragen. Das ist auch der Grund, warum starke Authentifizierungsmechanismen bei eCommerce-Sites und sozialen Netzwerken praktisch völlig fehlen: Sicherheit kostet Geld.
Fakt ist: Die allermeisten Probleme der vergangenen Monate wären bei besserer Sicherheitsarchitektur der Anwendungen vermeidbar gewesen. Und die potenziellen Probleme wären auch bei Zertifizierungen grundsätzlich erkennbar gewesen.
Das bedeutet nicht, dass schon durch eine entsprechende Sicherheitsarchitektur und einen SDL alles immer sicher ist. Aber die Risiken werden massiv reduziert. Natürlich kann es noch zu Konfigurationsfehlern bei der Autorisierung kommen. Auch das lässt sich aber mit Methoden und Werkzeugen weitgehend in den Griff bekommen.
Den »worst case« vermeiden
Das Fazit ist: Die allermeisten der aktuellen »Datenskandale« sind ein Resultat davon, dass Sicherheit nicht ausreichend ernst genommen wird, sondern immer nur lästiges Beiwerk ist. Wer sein Business aber so begreift, muss sich über die Konsequenzen – bis hin zum Verlust von Image und Kunden und im »worst case« einem nicht mehr funktionierenden Geschäftsmodell – nicht wundern.
Man sollte nur die Ausreden und unhaltbaren Erklärungen vermeiden und stattdessen lieber an professioneller Software mit professionellen Sicherheitskonzepten arbeiten.
*Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich im Schwerpunkt mit den Themenbereichen Identity und Access Management, Governance, Risk Management, Compliance sowie Cloud Computing und Virtualisierung beschäftigt.
- 1. Seite: Daten-GAU: Peinliche Ausreden helfen nicht weiter!
- 2. Seite: Sicherheit hat ihren Preis
- 3. Seite: Den »worst case« vermeiden
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Google bessert bei Betriebssystem nach
Google hat in den USA mit dem Verteilen eines neuen Updates von Android 4.0 begonnen. Ob die neue Version 4.0.4 auch in Deutschland erscheint, ist unklar.
Infor bringt Software für mobile Lösungen auf den Markt
Der amerikanische Softwarehersteller Infor verschafft mit einer Cloud-Plattform nun auch unterwegs Zugang zu seinen betriebswirtschaftlichen Back-End-Lösungen. Außerdem gibt es dazu passende mobile Applikationen.
» Bundesliga-Tippspiel 2011
