Fahrlässigkeit am Steuer

Man möchte billig? Man bekommt billig. Nachhaltig sogar, denn ist der Ruf erst ruiniert, ist ohnehin erst einmal alles im Argen, doch alle hoffen auf die Vergesslichkeit der Leute. Das funktioniert fast immer. Die Sony Playstation verkauft sich ja auch wieder ganz gut.

Es verstehen scheinbar immer noch nicht alle CIOs und deren Sicherheitsoffiziere, dass Pentests oder Fuzzing zum ganz normalen Budget in der IT gehören. Das sind keine Sonderlocken, keine Extraprojekte. Sie werden heutzutage nicht nur eingesetzt um neue Software einmal zu überprüfen. Nein, es gehört zum täglichen IT-Alltag und zum ganz regulären Budget. Für 6 Apps und deren Infrastruktur (Server, Netzwerk, Gateway), IE, Mail (Exchange oder LN), Office Word, Excel, Powerpoint und Outlook benötigt man einen Pentester. Jahresgehalt ca. 110.000 Euro oder als Externer zwischen 700 und 1200 Euro am Tag, je nach Ruf, denn Pentesten oder Fuzzen ist eine Kunst. Dieser wird die Standardsoftware permanent auf Schwachstellen prüfen. Das ganze Jahr hindurch. Nun kann man sich leicht ausrechnen, wie viele Anwendungen man im Unternehmen hat und betreibt, und wie hoch das Budget sein sollte dafür? Sind Sie schon fahrlässig?

Früher hat man bei einem Audit einen Hacken gemacht in der Checkliste bei dem Punkt Softwareintegrität, wenn es keine weiteren Schutzmaßnahmen gab, aber wenigsten Originalsoftware eingesetzt wurde. Heute ist genau das das Problem. Originalsoftware. Sie ist meist durch ihr Reifegradmodell durch die Entwicklung getrieben worden, ist mit Verspätung auf dem Markt, und sie hat mit Sicherheit mehr Funktionaität als ihr Vorgänger, mehr Lines of Code, und mehr Programmierfehler als je zuvor.  Alle großen Softwarehersteller haben genau das Problem und bekommen es auch mit dem x-ten Qualitätsmanagement- Workshop für Ihre Programmierer nicht in den Griff.

Umso fahrlässiger ist es das zu wissen, und dann nichts zu tun, und sein IT-Budget weiter so laufen lassen, wie der CIO es schon vor 10 Jahren getan hat. CIOs nehmen heute Budget rein für die Hypes BYOD und Big Data und Cloud. Sicherheit aber ist fundamental. Es ist wurst ob iPads und iPhones sicher verwaltet werden können in einem Unternehmen, wenn die Apps darauf unsicher sind, wenn die Firewall löchrig ist wie ein schweizer Käse, weil auch Firewallhersteller nicht alles richtig programmieren.

Pentesting gehört zu den guten Tugenden in der IT. Nur wer seine Systeme regelmäßig penetriert, kann ruhig darauf warten, dass Hersteller irgendwann einmal die Kurve bekommen und tatsächlich sichere Software produzieren. Die Wurzel allen Übels. Unsicherer Produkte.

Ein Unternehmen mit 500 Mitarbeitern in der Produktion bei ca. 40 Haupt-Anwendungen im Schnitt (15 Produktion, 25 Verwaltung), sollte 4 permanente Pentester einstellen (damit ist Urlaub und Vertreterregelung abgedeckt). Wer fährt seine Sicherheit mit einem Mann und ist noch stolz darauf? Die CIOs, die kommen und heroisch verlauten lassen, sie verbrauchen nur 1,2% des Umsatzes ihrer Firma, über die sollte man mal ein wenig länger nachdenken, wenn einem das Unternehmen lieb ist. Das ist nichts halbes und nichts ganzes, und man testet bestimmt keine Software. Also wenn das Paypal schon nicht richtig kann, kann das ein Unternehmen mit weniger Umsatz bestimmt nicht oder selten besser.

Bei vielen CIOs, CISOs und CSOs fragt man sich wirklich, wer von ihnen welchen Job macht? Immer wieder wird man gerufen um Dreck wegzukehren, weil es einen Einbruch gab. Und es werden immer mehr. Ich sollte das gar nicht veröffentlichen, als Selbstständiger besser meinen Mund halten, und denken noch einen Auftrag, und noch einen, aber dass Basics seit Jahren ignoriert werden, völlig unbeachtet, das verletzt irgendwie den Stolz meiner Branche.

Ich habe meine neue Webseite vor einiger Zeit bei einer Agentur gehostet. Ein super CMS, ein toller Support, alles gut. Deal. Dann habe ich einen Pentest auf die Umgebung gemacht. Ich wollte sicher sein, dass gerade meine Webseite nicht irgendwie defaced würde. Das Ergebnis war erniedrigend. 44 Seiten Report, alles an Sicherheitslücken vorhanden, die man ausnutzen konnte. Ich habe sofort veranlasst das zu fixen, sonst hätte ich den Vertrag gekündigt. Eine Schwachstelle ist noch offen, und die wird diese Woche noch gefixt. Alle denken Big Business aber leider nur Small Security. Das zieht sich fast durch die ganze IT.

Apropos, Unternehmen, deren CIOs aus dem Wirtschaftsinformatikbereich kommen, haben mehr Sicherheitslücken, und weniger Innovation in ihrer Software als Firmen, die reine Informatiker einstellen. Letztere allerdings haben zugegebenermaßen auch schlechtere Budgets, oder die Budgets werden meisten arg überschrittten, so eine Studie der Experton.

Man muss sich genau überlegen was man will? Das ist wie mit der Auswahl beim Auto. Ich fahre Volvo, denn mir ist Sicherheit wichtig, und dabei mache ich keine Kompromisse.