Ver­hält­nis­mä­ßigkeit bei Sicherheitsmaßnahmen

Aber.. aber… Security?!!

Vor Kurzem erreichte mich eine Anfrage, in deren Gesamt­kontext ein Statement ent­halten war, welches sinn­gemäß so lautete: “Das Passwort ist auf maximal 12 Zeichen beschränkt. Das ist mir zu unsicher. Bis diese Beschränkung auf­ge­hoben wird oder mir ein sicheres Passwort mit 12 Zeichen ein­fällt, werde ich den Dienst nicht nutzen.”.

Und ja, Kom­­p­le­xitäts- oder Län­gen­be­schrän­kungen für Pass­wörter machen keinen Sinn, darum geht es mir aber nicht. Auch nicht darum, dass ein 12-stel­­liges Passwort durchaus sicher sein kann, wenn es nicht gerade “Passwort1234” ist, oder etwas in der Richtung. Ein gutes Passwort muss einem auch nicht “ein­fallen”, wenn man einen Pass­wortsafe mit ent­spre­chend kom­plexen Gene­rator ver­wendet, aber das ist nebensächlich.

Nein, mir geht es ‑mal wieder- um die Ein­stellung zu Security. Viele Men­schen aus dem tech­ni­schen Bereich haben da oft eine eher binäre Sicht­weise: ent­weder etwas ist sicher, oder eben nicht. Aber ohne zu beleuchten “sicher vor was?” oder “wie ist das gesi­chert?” bringt diese Klas­si­fi­zierung nur wenig. Klar, der sicherste Server ist einer, der nicht am Strom hängt und in einem End­lager für radio­aktive Mate­rialien unter 50 Tonnen Zement begraben ist — super! Bei näherer Betrachtung ist das aller Wahr­schein­lichkeit nach aber auch kein Server, der aktiv zur Wert­schöpfung beim Kunden beiträgt.

Oder, ich drück’s mal anders aus. Wenn ein Dik­tator eines fernen Staates eine Villa bauen lässt, wird er Mauern haben wollen, Wach­per­sonal, Bewe­gungs­melder, Kameras, viel­leicht sogar Stol­per­drähte, Drohnen und Hunde. Für mein Gar­ten­häuschen brauche ich das nicht. Während diese Sicht­weise in der ana­logen Welt übli­cher­weise akzep­tiert wird (Gegen­stimmen gibt es ja zu jedem Thema), wird Security in der digi­talen Welt anders gesehen. Natürlich muss sie auch etwas anders betrachtet werden; alles, was am Internet hängt, ist von überall her angreifbar, und unser Dik­tator muss sich meist nur gegen lokalen Wider­stand und ame­ri­ka­nische Geheim­dienste schützen.

Trotzdem ist es einen Gedan­kengang wert abzu­schätzen, wie der Aufwand zum Schutz einer digi­talen Kom­po­nente im Ver­hältnis zu deren Wert steht. Auch die Ver­netzung besagter Kom­po­nente ist da ein Thema — kann sie even­tuell als Sprung­brett zu inter­es­san­teren Zielen genutzt werden, dann ist der Schutz­bedarf sicher höher zu bewerten.

Auf den fol­genden Punkt bin ich auch schon häu­figer ein­ge­gangen, aber in diesem Kontext möchte ich ihn trotzdem wie­der­holen: Cyber­an­griffe ver­folgen bestimmte Ziele. Natürlich sind emo­tionale, per­sön­liche Ziele und Angriffe ein Teil davon; aber ins­gesamt ist die Lage anders als vor 15 Jahren. Soll heißen, der über­wie­gende Teil von Cyber­kri­mi­na­lität ist auf mone­tären Gewinn aus­ge­richtet, und nichts anderes. Kaum jemand ver­brennt noch wert­volle Res­sourcen, nur um ein “Kilroy woz here” auf eine geka­perte Web­präsenz zu posten. Es ist lukra­tiver, etwas anderes damit anzu­stellen — von Infor­ma­ti­ons­dieb­stahl über die Aus­lie­ferung von Malware an Kunden bis hin zu Ransomware-Erpressung.

Selbst­ver­ständlich muss alles, was am Internet hängt, grund­legend geschützt sein. Wie manche Geräte im IoT beweisen, oder unge­patchte Server, dauert es meist nicht lange, bis unsi­chere Geräte in böser Absicht von anderen Per­sonen kon­trol­liert werden. Die Latte für diesen Grund­schutz hängt auch höher als vor ein paar Jahren — aber man muss auch nicht jeden Dienst, jeden Web­auf­tritt und jeden Server mit allen tech­nisch mög­lichen Secu­ri­ty­maß­nahmen über­ziehen. Das kostet nicht nur Geld, sondern — wenn richtig gemacht — bindet auch Res­sourcen bei den Secu­ri­ty­teams und SOCs, denn allen Auf­fäl­lig­keiten sollte natürlich nach­ge­gangen werden.

Was ich aber damit nicht zum Aus­druck bringen will ist, dass man sicherer ist, je weniger man diesen Auf­fäl­lig­keiten nachgeht. Die Augen zu ver­schließen ist defi­nitiv keine lang­fristig erfolg­reiche Stra­tegie. Mir geht es eher darum, dass man manche Risiken tat­sächlich akzep­tieren kann, wenn deren Ein­tritts­wahr­schein­lichkeit sehr gering ist und die betroffene Kom­po­nente eher unwichtig.

Dabei ist es wie immer wertvoll, die eigene Gefähr­dungslage (viel­leicht mit Hilfe von externen Partnern) korrekt ein­ge­schätzt zu haben, und nicht auf das schlechte Rat­ge­bertrio “Angst, Unsi­cherheit und Zweifel” gehört zu haben.