Zu meiner privaten Belustigung als Unix-Desktop-User bekomme ich seit Jahren Sicherheitsmeldungen der “CERT Advisory mailing list”, die 2009 auf die “technical-alerts mailing list” des US-CERT umgestellt wurde. Das US-CERT ist sowas wie unser neues Cyber-Abwehrzentrum mal werden soll, allerdings hat das US-CERT ein echtes Budget und sogar ein paar fähige Mitarbeiter. Das US-CERT ist eine Abteilung des Department of Homeland Security der USA.

Im Grunde genommen veröffentlicht das US-CERT in den Mails der technical-alerts- Mailingliste lediglich, welche Software gerade mal wieder aktiv exploitet wird, was für Systeme betroffen sind und wie man das Sicherheitsproblem löst (meist  mit dem Hinweis “Apply updates”, hin und wieder “Apply workarounds” zum Abschalten betroffener Teilfunktionalität). Überwiegend betreffen die Sicherheitsmeldungen Software der Hersteller Microsoft, Microsoft, Adobe, Microsoft, Adobe, Oracle und Microsoft. Diese Informationen stehen anderweitig früher, detaillierter und informativer zur Verfügung (z.B. durch automatische Updates), aber vermutlich sind die Behörden der USA rechtlich daran gebunden, die empfohlenen Maßnahmen auch tatsächlich durchzuführen, so dass sich kein fauler IT-Manager mit Unwissenheit rausreden kann.

Heute hat mich das US-CERT mit ihrer Meldung “Security Recommendations to Prevent Cyber Intrusions” wirklich überrascht: Diese Sicherheitsempfehlungen sind überwiegend sinnvoll und allgemeingültig, z.B. “Use minimum password length of 8 characters for standard users.”

Alle vorherigen Mails der Liste bezogen sich ausschließlich auf bestehende, aktiv ausgenutzte Sicherheitslücken. Für jeden, der sich mit IT-Sicherheit auch nur oberflächlich beschäftigt hat ist lange bekannt, dass in vielen Organisationen z.B. sicherheitskritische Passwörter zu kurz bzw. trivial sind und im Klartext gespeichert werden, Mitarbeiter Unternehmens- bzw. Behördendaten auf USB-Sticks mit nach Hause nehmen können und immer noch Mailanhänge öffnen, die in vielen Fällen nicht auf das Vorhandensein aktiv ausführbarer Programme gefiltert wurden.

Neu ist jetzt, dass von offizieller Seite die Umsetzung dieser selbstverständlichen IT-Sicherheitsmaßnahmen angemahnt wird. Vor diesem Hintergrund kann ich die heutigen Sicherheitsempfehlungen nur als Offenbarungseid bezeichnen. Das US-CERT hat nun offensichtlich erkannt, dass auf Basis dieser fortwährenden Schlamperei jeder Ansatz zur grundlegenden Absicherung einer IT-Infrastruktur unmöglich ist: Wenn Benutzer ihr Geburtsdatum als Passwort speichern und im Klartext durchs LAN schicken kann man sich gleich alle Softwareupdates sparen.

In Deutschland sieht die Situation ähnlich aus, dagegen wird auch in Zukunft kein Cyber-Abwehrzentrum helfen, sondern nur Gesetze gegen diese Schlamperei. Selbst für eine Mofa brauche ich einen Führerschein, der mir bei Missbrauch auch entzogen werden kann. Im Gegensatz dazu kann sich jeder betrunken vor den Rechner setzen, seinen virtuellen Root-Server für 5,- Monatsmiete “administrieren” und wegen Schlamperei oder Unfähigkeit zig tausend Arbeitsplätze durch unbeabsichtigtes Bereitstellen von performanter Hacking-Infrastuktur gefährden. Ich habe “Admins” großer Unternehmensnetzwerke kennengelernt, die TCP nicht von IP unterscheiden können. Informatik- Professoren selbst unserer angeblichen Exzellenz-Unis verstehen nicht einmal Grundlagen der IT-Sicherheit und behaupten, diese “garantieren” zu können. In Deutschland wird zur Vorsorge gegen Straftaten das eigene Auto abgeschleppt wenn man beim Parken ein Fenster offen stehen lässt, aber Server mit unveränderten Default-Passwörtern, virenverseuchte PCs und nachweislich unsicheres Netzwerk-Equipment bleiben dagegen im Netz, so lange der Besitzer dies wünscht.

Auf dieser “Sicherheits”basis speichern wir in den USA wie in Deutschland Behörden- und Unternehmensdaten, offen für alle, die des Lesens mächtig sind und an einen Internetzugang heran kommen. So lange unsere Regierung IT-Sicherheit nur als Geschäftsfeld mit erheblichem Arbeitsplatz-Potential wahrnimmt wird es auch dabei bleiben.