Warnsysteme wie Ampeln

[Frage:] Immer wieder kommt es in diesen Tagen zu spektakulären Hackerangriffen, zum Teil werden sehr sensible Daten geklaut. Wie soll denn da Vertrauen entstehen?

Dieses Vertrauen müssen Unternehmen und Privatpersonen in der Tat erst aufbauen. Wir brauchen Warnsysteme, wie wir sie in der realen Welt aufgebaut haben, auch fürs Internet. Ich vergleiche das gerne mit einer Ampel. Die ist auch fast immer sicher, aber eben nicht immer. Deshalb passen die Leute im Straßenverkehr auf. Und das ist auch in der virtuellen Welt geboten.

Dieter Kempf: Vorstandsvorsitzender der DATEV eG und Präsident des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom)

Kurzkommentar

Ah ja, Herr Kempf, sie halten ein Verkehrszeichen wie eine Ampel wohl für ein „Warnsystem“, statt für ein Verkehrszeichen — und deshalb wollen sie Ampeln ins Internet stellen, damit es dort fast immer sicher ist. Weil man jetzt Verkehrszeichen ins Internet stellt, um „Sicherheit“ herzustellen. Zumindest so lange, wie eventuelle Angreifer darauf achten, bei Grün zu gehen und bei Rot zu stehen. Und weil das denn doch nicht immer der Fall ist, passen die Leute eben trotzdem auf, aber haben mehr Vertrauen. In der „realen Welt“ genau so wie in diesem Internet, das sie, Herr Kempf, als Gegensatz zur Realität sehen. Ich habe ihre mit dem Handelsblatt abgesprochenen Chiffren mehrere Male gelesen, aber egal, wie oft ich darin lese, will sich kein Sinn darin zeigen. Mir scheints, Herr Kempf, sie fühlen sich einsam und möchten unter die Blindfische — und diesen Wunsch gewähre ich ihnen gern.

Noch etwas ganz anderes

Ich finde es übrigens zum Kringeln herrlich, Herr Krämpf, wie sie im gleichen Interview mit dem Handelsblatt von „Vertrauen“ in Bezug auf den sicherheitstechnischen Irrsinn namens „Cloud Computing“ — dem diesjähigen Bullshit-Bingo-Thema der CeBIT — sprechen:

Vertrauen ist vor allem dann wichtig, wenn Unternehmen Daten und Anwendungen außer Haus geben, wie es beim Cloud Computing geschieht. Gerade kleinen und mittelgroßen Firmen fällt die Einschätzung schwer, ob sie den IT-Anbietern da vertrauen können. […] Wir wollen noch transparenter darstellen, was wir tun. Die Kunden sollten sich dabei auch auf Zertifizierungen verlassen können, also eine Art IT-TÜV, wie er im Rahmen der Bundesstiftung Datenschutz geplant ist. Vertrauenswürdige Spezialisten können dabei überprüfen, ob die Anbieter ihre Versprechen einhalten, etwa was den Datenschutz angeht.

Meinen sie damit solche „Siegel“, wie man sie etwa für teures Geld beim TÜV kaufen kann, um seinen Kunden dann wiederum etwas gefühlte Sicherheit verkaufen zu können? So eins, wie es etwa libri.de gekauft hat, um dann aber wegen unentdeckter, grob fahrlässig schlechter Programmierung eine halbe Million Geschäftsvorfälle (mit Anschrift, Lieferadresse, Rechnungsbetrag und allem drum und dran) im Klartext ins Internet zu stellen? Ja, so richtig zum Download, dafür war nicht einmal ein Hack erforderlich! Wer sich im Netze treibt, muss da schon in Alzheim wohnen, um solches zu vergessen. SchülerVZ, das stolz ein TÜV-Prüfzeichen für Datensicherheit und Funktionalität bezahlte und in seine Seiten klebte, hat auch mal eben anderthalb Millionen Datensätze unzureichend geschützt und damit zugreifbar gemacht — und nicht einmal genug betrieblichen Prozess gehabt, um vorab auf einen Hinweis auf dieses Problem zu reagieren. Wozu auch betriebliche Prozesse, wenn man doch irgendwelche Bullshit-Prüfzeichen und Tinnef-Siegel kaufen kann, die viel werbewirksamer als das Streben nach größtmöglicher Sicherheit sind, dieser niemals endende Kampf gegen Windmühlenflügel.

Nein, wer sich auf Bullshit-Zertifizierungen verlässt, der ist verlassen. Das ist die eine Erkenntnis, die alle Menschen bekommen müssen — ergänzt um die Erkenntnis, dass die Größe eines Unternehmens oder sonstigen Anbieters nicht gerade mit Datensicherheit korrelliert ist, wie man zum Beispiel an…

• Sony (die auch Kundendaten „veröffentlicht“ haben),
• Oracles MySQL,
• der GEMA (für lauteres Lachen hier reinschauen),
• der Bundespolizei,
• dem Spielehersteller Bethesda Softworks,
• der ARD,
• dem Deutschen Atomforum, oder auch mal
• am DNS-Server für die Sites der US-Regierung

…sehen kann. Was dieser allgemeine „Standard“ der Sicherheit für einen Unternehmer bedeuten sollte, wenn er allen Ernstes darüber nachdenkt, geschäftskritische Daten in der „Cloud“ — also auf Servern außerhalb seines eigenen Einflussbereiches — abzulegen, ergibt sich ganz von allein durch Benutzung der Schädelfüllmasse. Es gibt Daten, die nicht einmal ins Internet gehören! Und dazu kommt: Jede zusätzliche Komplexität in der Datenhaltung eröffnet weitere Gefahren für die Sicherheit der Daten, das gilt natürlich auch für den modernen, von Werbeschreiern aller Art so allmedial als beste Erfindung seit dem Rade vertetenen Hirnfurz des „Cloud Computing“.

Aber Herr Kempf, sie müssen ja das Bullshit-Thema der diesjährigen CeBIT vertreten, und da kommts auf Vernunft nicht so an, gelle?! Und wie sie sich dieser Aufgabe entledigt haben! Großartig! Nur eine Empfehlung für die Leistung der von ihnen vertretenen DATEV eG ist das weniger…

6. März 2012 | Kategorien: Interessenverbände, Unternehmen | Tags: Bitkom, DATEV eG, Dieter Kempf | Hinterlasse einen Kommentar