Die Software.

Computer laufen mit Software und Software wird (aktuell noch) von Menschenhand geschrieben. Aber Menschen machen Fehler. Entsprechend hoch ist die Wahrscheinlichkeit, dass auch im Code (d.h. in der Software) ein Fehler vorhanden ist. Das daraus resultierenden Axiom lautet:

Axiom 1 – Jede Software hat mindestens eine Codezeile mit einem Fehler.

Da Software meistens aus Millionen von Codezeilen besteht, ist die Wahrscheinlichkeit sehr gross, wenn nicht sogar an Sicherheit grenzend, dass sich darin eine Zeile mit einem Fehler befindet.

Die Fehlerzeile kann natürlich jahrelang unerkannt bleiben. Im schlimmsten Fall führt dieser Fehler jedoch zu einer Schwachstelle und kann durch Angreifer ausgenutzt werden.

Im Beispiel von Wannacry kann man dies sehr gut nachvollziehen. WannaCry nutzte eine Schwachstelle in Windows aus. Diese Schwachstelle existiert schon mehrere Jahre und betrifft auch Installationen von Windows XP. Die katastrophalen Auswirkungen dieses Programmierfehlers hat einigen Unternehmen ziemlich Geld gekostet.

Der Mensch.

Der Mensch ist eine zentrale Komponente, wenn es um die Einhaltung der Sicherheitsrichtlinien geht. Bereits in Axiom 1 ist ein Mensch beteiligt, dem ein Programmierfehler unterlaufen ist. In diesem Fall geht es jedoch nicht um Experten, sondern um einen normalen Benutzer:

Axiom 2 – Es gibt immer jemanden, der draufklickt.

Immer, ausnahmslos. Unternehmen führen genau aus diesem Grund Awareness-Programme ein, welche den Benutzer lehren, eben nicht gleich auf alles zu klicken. Grundsätzlich sind diese Programme sehr gut – trotzdem gibt es immer diesen einen Nutzer.

Die Angreifer machen es den Benutzern aber auch nicht einfach. Die E-Mails sind mittlerweise sehr gut geschrieben und verleiten mittels Social Engineering zum Draufklicken. Im schlimmsten Fall ist es sogar ein Spear-Phishing, d.h. gezielt auf die Person oder die Unternehmung zugeschnitten.

Auch im Web wird der Benutzer dazu verleitet, Webseiten zu besuchen, welche auf den ersten Blick korrekt aussehen.

Der Mensch im Fokus

In beiden Axiomen ist der Mensch mit seinen Fehlern im Vordergrund. Beim ersten Axiom sollte es der Programmieren eigentlich besser wissen. Im zweiten Axiom die Reaktion des Benutzers durchaus zu erwarten. Er weiss es einfach nicht besser.

Es geht keineswegs darum den Benutzer als Anfänger an den Pranger zu stellen. Entscheiden ist vielmehr, die Technologie auch für Nicht-Experten zugänglich und nutzbar zu machen. Daran muss die IT-Security-Industrie arbeiten.

Bekommen wir das nicht hin, werden die Computer sich selber programmieren und uns als Nutzer aussen vor lassen. Drüber sollte man mal einen Film machen. Oh, gibts schon: Terminator mit Skynet.