Rechtsvorschriften für IT-Sicherheit
Gesetze helfen, Hackerprobleme zu lösen

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Die Analyse des Wurmes “Witty” zeigt, dass die meisten Hackerklischees falsch sind – und betont die Notwendigkeit von strikteren Maßnahmen, um Softwaremängel zu bekämpfen.

Rechtsvorschriften für IT-Sicherheit

Die Gesetze in Kalifornien und einigen anderen US-Bundesstaaten zwingen Unternehmen, Sicherheitsbrüche zu melden, bei denen personenbezogene Informationen in deren Datenbanken involviert sind. Derartige Offenlegungen wirken sich zwar auf die Aktienpreise der Firmen aus, aber die Konsequenzen sind da noch lange nicht zu Ende.

Wenn den Leuten mitgeteilt wird, dass ihre personenbezogenen Daten offen gelegt worden sind, werden viele fragen, was passieren wird, wenn diese Informationen von Betrügern verwendet werden, um entweder an Geld heranzukommen oder sie für andere illegale Zwecke zu missbrauchen.

Ein teueres Unterfangen
Der Umgang mit solchen Angelegenheiten kann sehr teuer werden. Man stelle sich nur die Kosten für die Beratung eines Opfers vor, oder für die Überwachung seiner Bankkonten für ein ganzes Jahr (um nach Anzeichen von Betrug zu suchen) oder Geldsummen für die Entschädigung irgendwelcher Verluste. Dann multipliziere man diese Kosten mit ein paar Hunderttausend Opfern. Es scheint, dass die Amerikaner ein Gesetz haben, das den Mitgliedern der Aufsichtsräte einen Anreiz bietet, dafür zu sorgen, dass ihre Datenbanken nicht verloren gehen oder gestohlen werden. Wie schade, dass wir nicht ein ähnliches Gesetz haben, das die Qualität der Software reguliert – denn die Probleme sind sehr eng miteinander verwandt.

Sicherheitsexperten warnen davor, dass Trojaner häufig von organisierten Verbrecherbanden in angreifbare Computer installiert werden. Sie übernehmen die Kontrolle über die Geräte und stehlen personenbezogene Informationen über die Besitzer.

Die neuesten Untersuchungen über den “Witty Worm” haben einige überraschende Erkenntnisse zutage gebracht. Witty wurde ins Netz gestellt, nachdem nur ein paar Stunden zuvor die Spezialfirma für Sicherheitssoftware ISS einen Patch herausgegeben hatte. Der Patch brachte die Software in Ordnung, die bis dahin mit einem fernaktivierten Pufferüberlauf-Bug übernommen und missbraucht werden konnte.

Der Witty-Eurm – Tat eines Insiders?
Eines der wichtigsten Untersuchungsergebnisse war die kurze Zeit, die zwischen der Veröffentlichung des Patches und dem Auftauchen des Wurms verging. Dazu kam die Tatsache, dass der Wurm auf eine Handvoll von ganz speziellen Computern angesetzt worden war, von denen bekannt war, dass sie angreifbar sind. Diese Fakten führen die meisten Experten zu der Annahme, dass die Person, die den Wurm entwickelt hat, bereits einige Zeit über den Mangel bei der Software Bescheid wusste. Möglicherweise wurde der Wurm als eine Art “Racheakt” eingeschleust, denn schließlich hatte der Patch den privaten Spielplatz des Übeltäters zunichte gemacht.

Der Wurm war nicht das Werk eines Script-Kiddies und wurde auch nicht auf der Basis von Informationen entwickelt, die von dem Patch herrührten.

Eine andere verblüffende Tatsache ist, dass die Gesamtzahl von anfälligen Computern bemerkenswert klein war – ca. 12 000 weltweit – und dass der Wurm – außer ein paar wenigen – alle Computer innerhalb von 24 Stunden infizierte. Dies sprengt das Gerücht, dass Windows Computer nur deshalb das Ziel von Hackern sind, weil es so viele von ihnen gibt – was sich ein bisschen so anhört, als griffen die Hacker Windows nur deshalb an, “weil es so gut ist”.

Keine Anreize zur Entwickung besserer Software
Ehrlicher wäre bestimmt, es so auszudrücken, dass die meiste Software Schwachstellen aufweist. weil zurzeit kaum jemand dazu gedrängt wird, sichere Systeme zu entwickeln.

Vielleicht brauchen wir mehr Anreize für die Software-Anbieter, bessere Produkte herzustellen. Andererseits – nimmt man nun mal die beständig angreifbare Natur von Software als gegeben hin – könnte es sich als notwendig erweisen, die Kosten für die Beratung von Opfern den Kosten für Antiviren- und Anti-Spamsysteme, die man bereits hat, aufzuschlagen.