Die Ransom-Software „Wanna Cry“ hat über das vergangene Wochenende über 200 000 Systeme in 150 Ländern befallen und damit den Betrieb vieler Unternehmen empfindlich gestört und teilweise lahmgelegt. VOICE – Bundesverband der IT-Anwender sieht vor allem die Anbieterschaft in der Pflicht, solche Attacken in Zukunft durch höhere Qualitätsmaßstäbe zu vermeiden. Den amerikanischen Geheimdienst NSA trifft laut VOICE eine Mitschuld an dem weltweiten Angriff.
Dr. Hans-Joachim Popp, Beauftragter für IT-Sicherheit im VOICE-Vorstand und CIO der DLR sieht die Anbieter von Software in Sicherheitsfragen stärker in der Pflicht. „In der analogen Welt ist völlig unstrittig, wer die Verantwortung für ein fehlerhaftes Produkt übernehmen muss – der Hersteller. In der Software-Welt ist das leider bisher nicht so klar geregelt. Wir von VOICE fordern, dass Software-Anbieter gesetzlich verpflichtet werden, für die bei den Kunden entstehenden Folgeschäden gerade zu stehen.“ Nur so können die Hersteller motiviert werden, das Entwicklungsprinzip Security-by-Design auch wirklich umzusetzen.
In der Autoindustrie darf sowas auch nicht passieren
„Die von der Schadsoftware angegriffene Funktionalität war schon mehrfach im Fokus und müsste dringend grundlegend überarbeitet werden. Der lapidare Hinweis darauf, dass es keine fehlerfreie Software gäbe, zieht hier nicht“, erklärt Popp. „Wenn ein Autohersteller am laufenden Band immer neue fehlerhafte Bremszylinder einbaut, käme niemand auf die Idee, den Fahrer verantwortlich zu machen, wenn er nicht einen Tag nach Bekanntwerden des Fehlers in der Werkstatt erscheint. Das Patch Management hat insbesondere bei mobilen Geräten seine Tücken. Im Unternehmenskontext kann es sehr komplex sein und ganz eigene Risiken hervorrufen. Hier muss einfach die Qualität der Anwendungen endlich besser werden, damit solche Aktionen weniger häufig vorkommen.“
Popp hält auch Forderungen nach einer Verschärfung der Meldepflichten im IT-Sicherheitsgesetz nicht für hilfreich. „Das erhöht nur weiter den Druck auf die Anwenderunternehmen. Natürlich tragen Unternehmen eine Mitverantwortung für die Sicherheit der von Ihnen eingesetzten Software, aber wenn der Gesetzgeber sie nicht vor den Qualitäts- und Sicherheitsmängeln der Anbieter schützt, haben sie keine Chance.“
Schneller Informationsaustausch hätte das Desaster verhindert
Wie wichtig die grundsätzliche Vermeidung solcher Qualitätsmängel ist, zeige die Tatsache, dass es offensichtlich nicht einmal dem amerikanischen Geheimdienst gelingt, Informationen über Sicherheitslücken für sich zu behalten, ganz abgesehen davon, dass allein der Versuch massive ethische Probleme aufwirft. „Hätte die NSA sofort den Hersteller informiert, dann wäre Zeit für eine gefahrlose Schließung des Sicherheitslochs gewesen.“
Beim Bundesverband der IT-Anwender stehen Security und Safety als eines der Fokusthemen ganz oben auf der Agenda. Die knapp 400 Mitgliedsunternehmen tauschen sich in den verschiedenen Special Interest Groups aktiv darüber aus. Im Zentrum der Sicherheitsanstrengungen von VOICE steht das Cyber Security Competence Center (CSCC), in dem mit Self Assessment, Lagebild, strukturierte Bedrohungs- und Risikoanalyse sowie Stand-by Service für die aktuelle Krisenbewältigung vor Ort vier zentrale Unterstützungsservices für Anwenderunternehmen angeboten werden.