Spezial IT-Security: Gefühlte Sicherheit

Antivirussoftware: nur ein Gefühl von Sicherheit

Mehr Komplexität, mehr Risiko: Der Philosoph Martin C. Wolff erklärt, warum es besser ist, Antivirenprogrammen nicht blind zu vertrauen.

Zu viel des Guten: Besonders in scheinbar gut überwachten Umgebungen finden Angreifer Schlupflöcher.
Zu viel des Guten:
Besonders in scheinbar gut überwachten Umgebungen finden Angreifer Schlupflöcher. (Foto: Philipp Möller/JDB MEDIA)

Wenn es einen wahren Satz in der IT-Security gibt, dann diesen: Weniger ist mehr. Denn die Sicherheit erhöht sich nicht, je mehr Programme und Geräte genutzt werden. Im Gegenteil: Was ökonomisch als Netzwerkeffekt nützlich ist, vernetzt gleichzeitig auch Sicherheitsrisiken. Und die Vernetzung von Geräten im Internet of Things vergrößert die IT-Oberfläche exponentiell.

Der Problem-Mix besteht in der Regel aus veralteten Maßnahmen, kontraproduktiven Forderungen der Compliance und psychologischer Verunsicherung. So ist beispielsweise die Passworttechnologie veraltet: 80 bis 100 benötigte Passwörter pro Person sind nicht praktisch. Hier sind Face-IDs zeitgemäß. Die psychologische Unsicherheit hat darüber hinaus einen Markt für Antivirensoftware geschaffen: nichts anderes als eine zusätzliche Software mit vollen System- und Zugriffsrechten, die selbst Sicherheitslücken hat und neue Lücken erzeugt. Last but not least sind regulatorische Anforderungen bereits im Augenblick ihrer Geltung technisch veraltet. So erzwingen sie unsichere Maßnahmen wie die Nutzung einer Antivirensoftware.

Verzicht ist besser

Man kauft mit diesen Maßnahmen also keine wirkliche Sicherheit, sondern lediglich ein Gefühl von Sicherheit. Das ist sozusagen digitaler Knoblauch gegen hackende Vampire. Und ist die Cyberattacke dann da, lautet oft die Entschuldigung: „Wir haben alles getan, mehr geht wirklich nicht.“ Tatsächlich ist es umgekehrt: Der Verzicht auf Systeme würde an vielen Stellen Sicherheit, Komfort und Nutzerfreundlichkeit steigern.

Diese Schwierigkeiten offenbaren die grundlegenderen Probleme: Das digitale Neuland ist wenig durchdrungen, konzeptionell schlecht erschlossen und aufgrund der Verschmelzung von ökonomischen, technischen, politischen und sicherheitspolitischen Elementen weitgehend unverstanden.

Zudem dominiert eine operative, technische Fachsprache. Wie ein Geheimwissen einiger eingeschworener ITler werden schwer verständliche Dinge diskutiert. Die organisationsbezogene und administrative Thematisierung steckt noch in den Kinderschuhen.Thomas Dullien, einer der Vordenker der IT-Security, brachte es auf den Punkt: „Offensive problems are largely technical. Defensive problems are largely political.“ Was deutlich macht: Bei der IT- und Cybersicherheit handelt sich eben nicht um ein technisches, sondern um ein konzeptionelles Problem.

Günstige, gewinnbringende Lösung

Geben Sie einem Praktikanten sechs Monate lang eine einzige Aufgabe: seit einem Jahr unbenutzte IT-Systeme und -Programme zu identifizieren und kritisch prüfen lassen. Danach wird alles, was nicht benutzt und zwingend ist, abgeschaltet. Das kostet Sie schätzungsweise 3.000 Euro. Aber Sie sparen sich ein IT-Security-Consulting, das erst mittels Penetrationstest diese Systeme sucht und findet und hinterher für teures Geld die Abschaltung empfiehlt. Solche Maßnahmen lösen keine konzeptionellen Schwierigkeiten und ersetzen auch keinen technischen Sachverstand. Aber man setzt eine Grundregel der IT-Security kostengünstig und gewinnbringend ein: Weniger ist mehr.