Schlechte Security-Produkte sind eine Bedrohung

So manche auf dem Markt angebotene Security-Lösung verkaufe eher ein "Gefühl der Sicherheit" als tatsächlichen Schutz, klärte Bruce Schneier, Sicherheitsexperte und CEO bei BT Counterpane, in seiner Keynote-Ansprache auf der europäischen RSA-Konferenz auf. Bei dem "Security-Theater" solcher Produkte werde den Kunden entweder ein Gefühl der Sicherheit vermittelt, ohne dem eigentlichen Schutzversprechen nachzukommen, oder Schutz vor Bedrohungen angeboten, die keine echte Gefahr darstellten.

Dem Security-Spezialisten zufolge hat die IT-Security-Industrie sowohl gute Lösungen als auch minderwertige Produkte zu bieten. Diese seien allerdings nur schwer voneinander zu unterscheiden. "Es gibt keine funktionalen Tests, anhand derer man herausfinden könnte, welches gut und welches schlecht ist", so Schneier. Vor 15 Jahren beispielsweise habe es noch Hunderte von Firewalls auf dem Markt gegeben – diejenigen, die überlebt hätten, seien allerdings nicht die besten gewesen. Angesichts der Unfähigkeit der Käufer, zwischen gut und schlecht zu unterscheiden, könnten minderwertige Produkte gute Lösungen vom Markt verdrängen. Seiner Einschätzung nach kommt auf jeden Anbieter mit einem guten Produkt mindestens ein Unternehmen, das versucht, das schnelle Geld zu machen, bevor es der Kunde bemerkt.

Ursache für diesen Missstand ist laut Schneier nicht zuletzt, dass Anwendern nach wie vor nicht genügend detaillierte Informationen zur Verfügung stehen, um fundierte Entscheidungen zu treffen. Noch erschwert würde die Situation durch die menschliche Irrationalität und die daraus resultierende Kluft zwischen gefühlter und realer Sicherheit. "All das führt dazu, dass Unternehmen in Sachen Security häufig schlecht bestückt sind", meint der Experte. Ziel müsse demnach sein, Risiken zu verstehen und sich darüber in Sachen Sicherheit der Realität anzunähern - ohne entsprechende Informationen sei dies jedoch nicht möglich. (Computerwoche/cvi)