Beim Thema IT-Sicherheit sind wir nicht gerade als weltweit f\u00fchrend bekannt. Daf\u00fcr gibt es Gr\u00fcnde und bei vielem sind wir letztendlich selbst Schuld: Sicherheit wird nicht gef\u00f6rdert, sondern bestraft. Selbst wenn Sicherheitsm\u00e4ngel von Freiwilligen gefunden & unentgeltlich vertrauensvoll an die Verantwortlichen gemeldet werden, sehen sie die Finder viel zu oft mit Strafverfolgung konfrontiert. Immer wieder kommt es sogar zu Hausdurchsuchungen, bei denen Ger\u00e4te beschlagnahmt werden. Neben diesem tiefen pers\u00f6nlichen Eingriff bedroht dies Existenzen. Ein politischer Versuch der Entsch\u00e4rfung bewirkt wenig.<\/p>\n
Die simple Antwort: Jeder f\u00fcr sich. Es liegt in der Verantwortung jedes einzelnen, die Haust\u00fcre beim Verlassen abzuschlie\u00dfen. Im digitalen Raum ist das nicht anders. Wer z.B. Software entwickelt, muss daf\u00fcr sorgen, dass sie sicher ist. Ein Administrator hat seine Systeme auf Sicherheitsm\u00e4ngel zu pr\u00fcfen, aktuelle Versionen so schnell wie m\u00f6glich einzuspielen und so weiter. <\/p>\n
All das muss als Prozess aus innerer Motivation heraus gelebt werden. Wer blo\u00df Checklisten abarbeitet, kann zwar sp\u00e4ter sagen „Ich habe mich an alle Vorschriften gehalten“. F\u00fcr optimale Sicherheit wird das wohl nicht sorgen. IT-Probleme neigen zu Kreativit\u00e4t und manche Angreifer ebenfalls. Wie in der Realit\u00e4t auch, kann Aufmerksamkeit zusammen mit gesundem Menschenverstand eine Katastrophe verhindern, bevor sie passiert. Mit Arbeitsanweisungen nach Schema F eher weniger. <\/p>\n
So weit die Theorie. Ich erw\u00e4hne das deswegen ausf\u00fchrlich, weil die Realit\u00e4t davon oft sehr weit entfernt ist: Unerfahrene\/schlecht geschulte Entwickler m\u00fcssen unter Zeitdruck etwas umsetzen, weil der CEO das den Kunden versprochen hat. Und der BWLer versucht sowieso st\u00e4ndig Ressourcen noch weiter zu k\u00fcrzen – als kommerzielles Softwareunternehmen will man schlie\u00dflich hohe Profite einfahren. Wo spart eine unter diesem Druck stehende F\u00fchrungskraft wohl als Erstes? Bei Dingen die viele nicht direkt sehen – wie der Sicherheit. Software wird wegen Funktionen gekauft. Wenn die Fehlen, merkt das der Kunde und entscheidet sich ggf. gegen den Lizenzkauf.<\/p>\n
Bitkom prognostiziert, dass bis zum Jahr 2040 in Deutschland 663.000 IT-Fachkr\u00e4fte fehlen – Faktor 4 mehr als 2024.1<\/a><\/sup> In einer Umfrage aus dem Jahr 2023 gab die gro\u00dfe Mehrheit von \u00fcber 70% der befragten Unternehmen an, ihnen Fehlen Mitarbeiter im Bereich IT-Sicherheit.2<\/a><\/sup> Auf Platz 2 liegen Netzwerkadministratoren mit knapp 40%. Nun ist das mit dem Fachkr\u00e4ftemangel ein kompliziertes Thema, welches sich nicht in Schwarz\/Wei\u00df abbilden l\u00e4sst. Einerseits gibt es ihn regional tats\u00e4chlich, tendenziell vor allem in l\u00e4ndlicheren Regionen.<\/p>\n Andererseits gibt es gen\u00fcgend Unternehmen, die Marktwirtschaft nicht verstanden haben und bestenfalls durchschnittliche Angebote machen – wenn \u00fcberhaupt. Bei starker Nachfrage k\u00f6nnen sich die AN aussuchen, wo sie Lohnarbeit leisten. Bietet man als AG keine attraktiven Konditionen, findet man niemanden. Oder bestenfalls jene, die mangels Qualifikation niemand anstellen m\u00f6chte. Das ist genau so wenig Fachkr\u00e4ftemangel wie Porschemangel auf eine Anzeige „Suche neuen 9\/11er, biete 10.000\u20ac“. Warum meldet sich nur keiner?<\/p>\n Das Aufholen der oft improvisierten Umsetzungen f\u00e4llt oft Flach. Der typische BWL-Profi sieht das als Geldverschwendung an – die Software funktioniert schlie\u00dflich. Doch dadurch h\u00e4ufen sich technische Schulden<\/em> an. Wie wenn man zuhause nicht aufr\u00e4umt. Die Arbeit wird immer mehr und irgendwann entsteht eine Katastrophe, weil alles zugem\u00fcllt ist.<\/p>\n The State of Software Security 2024 hat das j\u00fcngst untersucht: 70,2% der untersuchten Anwendungen nutzen Drittanbieter-Code mit Sicherheitsm\u00e4ngeln. Vor allem JavaScript-Entwickler werfen mit Abh\u00e4ngigkeiten um sich. Bei 63,4% von internen Anwendungen wurden Fehler gefunden. All das wird bestenfalls ansatzweise behoben – oder gar nicht, wenn neue Funktionen vor die Behebung von Sicherheitsm\u00e4ngeln & Fehlern gestellt werden.3<\/a><\/sup><\/p>\n Unsichere Software ist also die Regel statt Ausnahme. Unternehmen nutzen und verkaufen zahlreiche Programme voller Sicherheitsm\u00e4ngel. Im schlechtesten Falle findet die ein b\u00f6ser Hacker, missbraucht oder verkauft sie f\u00fcr kriminelle Zwecke – zum Schaden der Anwender. Hat der Hersteller Gl\u00fcck, wird die Software nur<\/em> von einem (angehenden) Sicherheitsforscher auseinander genommen. Die Fachkr\u00e4fte m\u00fcssen schlie\u00dflich irgendwo her kommen und was eignet sich besser zum Lernen, als eine l\u00f6chrige Anwendung aus dem Alltag zu untersuchen?<\/p>\n Der wesentliche Unterschied: Solche ethischen Hacker schlagen viel Geld auf dem Schwarzmarkt aus. Ihnen geht es um die Sache, n\u00e4mlich f\u00fcr mehr Sicherheit zu sorgen. Gefundene Sicherheitsm\u00e4ngel nutzen sie daher nicht zum Schaden anderer aus, sondern melden sie an den Hersteller der Software. Dieser erh\u00e4lt eine angemessene Frist (oft 90 Tage), um sie zu beseitigen. Erst dann erfolgt eine Ver\u00f6ffentlichung, um Betroffene Nutzer\/Kunden zu sch\u00fctzen. <\/p>\n Als Unternehmen m\u00fcsste man solche Menschen mit Kusshand empfangen, oder? Schlie\u00dflich verzichten sie auf viel Geld, um Unternehmen zu helfen, die Sicherheit als Kostenfaktor vernachl\u00e4ssigen. Dazu helfen sie gratis. Auch hier sieht die Realit\u00e4t oft ganz anders aus. Einige Beispiele, die von unverantwortlich.ch4<\/a><\/sup> gesammelt wurden:<\/p>\n Linus Neumann, Sprecher des CCC sieht derart plumpe und unkluge Vorgehen zur Kriminalisierung der freiwilligen Melder von Sicherheitsl\u00fccken als Ausnahme an. Doch es kommt immer wieder zu F\u00e4llen, in denen Personen verfolgt werden, die sich ethisch absolut korrekt verhalten haben. Diese Schreckensmeldungen erzeugen immer mehr Angst. Die Zahl der Anfragen beim CCC ist bereits 2022 stark angestiegen.15<\/a><\/sup><\/p>\n Inzwischen raten Sicherheitsforscher dringend davon ab, Sicherheitsm\u00e4ngel an die Polizei oder Staatsanwaltschaft zu unternehmen.16<\/a><\/sup> Die meldenden k\u00f6nnten sich selbst belasten und zum S\u00fcndenbock werden. Diesem Rat muss man leider zustimmen. Es wurde eine \u00e4hnlich perverse Rechtslage geschaffen, wie l\u00e4ngere Zeit bei der Versch\u00e4rfung von Kinderpornografie: 2021 feierte sich die CDU daf\u00fcr, ihre Forderung nach Versch\u00e4rfung endlich umgesetzt zu haben.17<\/a><\/sup> Das soll nun f\u00fcr die Kinder alles besser machen. In der Praxis wurde es sogar schlimmer. Da der Besitz von KiPo ausnahmslos strafbar war, mussten die Gerichte zunehmend Eltern und Lehrer anklagen, die helfen wollten.18<\/a><\/sup> Auch viele Kinder\/Jugendliche gelangen in den Fokus der Justiz.19<\/a><\/sup> Erst Mitte 2024 machte die Ampel die irrsinnige Versch\u00e4rfung der CDU r\u00fcckg\u00e4ngig.20<\/a><\/sup><\/p>\n Die Politik wurde auf die katastrophale Situation sp\u00e4t aufmerksam, sieht allerdings endlich Handlungsbedarf: Ein neuer Gesetzesentwurf soll den Hackerparagraf<\/em> (\u00a7202c) entsch\u00e4rfen.21<\/a><\/sup> Er sieht eine Ausnahme f\u00fcr Sicherheitsforscher vor. Handeln sie in guter Absicht, entf\u00e4llt die Strafbarkeit.<\/p>\n Folgende drei Bedingungen m\u00fcssen daf\u00fcr erf\u00fcllt sein:<\/p>\n Allerdings fehlt der wohl wichtigste Punkt, n\u00e4mlich die Werkzeuge. Das gr\u00f6\u00dfte Problem des Hackerparagraf<\/em>: Er verbietet bereits den Besitz & die Verbreitung von Werkzeugen, mit denen man Systeme untersuchen kann. Und sich Zugang zu (schlecht) gesch\u00fctzten verschafft. Dieser Paragraf wurde nicht gestrichen. Es wird daher bef\u00fcrchtet, dass es auch weiterhin zu Repressalien kommen wird. Schlie\u00dflich sind die Werkzeuge weiterhin grunds\u00e4tzlich illegal. Ob alle der drei Ausnahmekriterien zur Straffreiheit erf\u00fcllt sind, d\u00fcrfte sich erst im Ermittlungsverfahren kl\u00e4ren lassen. Dem wiederum gehen oft Hausdurchsuchungen voraus. Sie f\u00fchren zu psychischen Belastungen und Einschr\u00e4nkungen, wodurch die Existenz gef\u00e4hrdet sein kann.<\/p>\n Eine Reform ist \u00fcberf\u00e4llig. Unz\u00e4hlige Jahre mit dutzenden Negativbeispielen hat es gedauert, bis der Hackerparagraf<\/em> endlich in Angriff genommen wurde. Erstmals gibt es eine Rechtsgrundlage f\u00fcr ethische Hacker, die sich bislang immer strafbar machten. Wer das Risiko einging, musste auf den Wohlwollen aller Beteiligten hoffen – oft der Anfang einer Horrorgeschichte.<\/p>\n Das gr\u00f6\u00dfte Problem – die Kriminalisierung der Software – wurde leider noch immer vers\u00e4umt. Die Lage mag dadurch etwas weniger schlimm werden. Von einem guten Zustand, in dem Sicherheitsforscher ohne Generalverdacht ihrer Arbeit vern\u00fcnftig nachgehen k\u00f6nnen, sind wir noch weit entfernt. In dieser Branche lebt man nach wie vor gef\u00e4hrlich und sollte gut \u00fcberlegen, welchen Preis man bereit ist zu zahlen, um (teils undankbaren) Unternehmen zu helfen. W\u00e4hrend parallel die illegal agierenden Kollegen<\/em> f\u00fcr das Risiko einer Strafverfolgung zumindest erheblich mehr Geld auf dem Schwarzmarkt einnehmen.<\/p>\n Dieses Chaos erinnert an die halbgare Legalisierung<\/em> von Cannabis in den Niederlanden: Konsum & Verlauf werden toleriert, aber der Verkauf ist weiterhin verboten. Betreibern von Coffeeshops bleibt keine andere Wahl, als sich auf dem Schwarzmarkt strafbar zu machen. Hier fehlt ein Gesamtkonzept, welches den legalen Kauf einschlie\u00dft. Es ist schade, dass sich Deutschland mit diesem seit langem kritisierten konservativen Gesetz im Bereich der IT-Sicherheit bis heute selbst ins Abseits schie\u00dft.<\/p>\n Beim Thema IT-Sicherheit sind wir nicht gerade als weltweit f\u00fchrend bekannt. Daf\u00fcr gibt es Gr\u00fcnde und bei vielem sind wir letztendlich selbst Schuld: Sicherheit wird nicht gef\u00f6rdert, sondern bestraft. Selbst wenn Sicherheitsm\u00e4ngel von Freiwilligen gefunden & unentgeltlich vertrauensvoll an die Verantwortlichen gemeldet werden, sehen sie die Finder viel zu oft mit Strafverfolgung konfrontiert. Immer wieder …<\/p>\n","protected":false},"author":5,"featured_media":16749,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"[{\"content\":\"https:\/\/www.security-insider.de\/it-fachkraeftemangel-cybersicherheit-deutschland-a-249556ef309aa01b67d4c8116c4ac7d0\/\",\"id\":\"47142da5-736f-4fab-93be-673df55242e9\"},{\"content\":\"https:\/\/b2b-cyber-security.de\/en\/it-fachkraeftemangel-30-prozent-fehlen-im-bereich-cybersecurity\/\",\"id\":\"140f8adc-0229-4c30-bd74-ec6d06a6ebcc\"},{\"content\":\"https:\/\/www.heise.de\/news\/Software-Security-Entwickler-ertrinken-in-technischen-Schulden-9829755.html\",\"id\":\"98895bd1-b364-4bc8-aaa4-e407ee4c27f3\"},{\"content\":\"https:\/\/github.com\/unverantwortli-ch\/list\/blob\/main\/list.yml\",\"id\":\"6ed4e97c-13cc-49bb-8d8d-9819eaec3b82\"},{\"content\":\"https:\/\/www.zeit.de\/digital\/datenschutz\/2013-07\/megamos-volkswagen-wegfahrsperre-hack\",\"id\":\"702a5464-643e-4730-9351-1fe35cd994e1\"},{\"content\":\"https:\/\/www.golem.de\/news\/gstool-bsi-bedroht-sicherheitsforscher-1309-101531.html\",\"id\":\"7f50e117-b924-4fed-b4ea-4b0fd97982b8\"},{\"content\":\"https:\/\/www.golem.de\/news\/einstweilige-verfuegung-fireeye-geht-juristisch-gegen-sicherheitsforscher-vor-1509-116346.html\",\"id\":\"d48b730c-9d80-4bb3-8c86-f22b21f876a9\"},{\"content\":\"https:\/\/www.heise.de\/news\/Offenlegung-von-Softwareluecken-Rechtsstreit-endet-mit-Vergleich-4156393.html\",\"id\":\"9b775005-4093-46de-9900-0c1133a7b24b\"},{\"content\":\"https:\/\/www.golem.de\/news\/nach-datenleck-hausdurchsuchung-statt-dankeschoen-2110-160269.html\",\"id\":\"4b332faa-c90d-4989-a956-a723f77c7aba\"},{\"content\":\"https:\/\/www.golem.de\/news\/connect-app-cdu-verklagt-offenbar-hackerin-nach-melden-von-luecken-2108-158647.html\",\"id\":\"61170463-bcdc-490d-9f9d-10959774cc11\"},{\"content\":\"https:\/\/epicenter.works\/content\/massive-sicherheitsluecke-in-oesterreich-testetat-aufgedeckt-gesundheitsministerium\",\"id\":\"cfee02f2-7f56-42ff-8ed2-e22db20c525d\"},{\"content\":\"https:\/\/www.golem.de\/news\/nach-datenleck-softwareentwickler-durch-privatdetektiv-bedroht-2210-168660.html\",\"id\":\"2fecb9f6-cd90-4d67-a412-b1f7ff3fad9b\"},{\"content\":\"https:\/\/winfuture.de\/news,142718.html\",\"id\":\"435d7563-1e47-4e2f-80d6-60eeced0c929\"},{\"content\":\"https:\/\/twitter.com\/apex_1337\/status\/1783838417731850408\",\"id\":\"f6602841-ea6a-4ebe-93af-0cc5a4e17de9\"},{\"content\":\"https:\/\/www.golem.de\/news\/nach-datenleck-softwareentwickler-durch-privatdetektiv-bedroht-2210-168660-3.html\",\"id\":\"9374d11c-c2c4-4662-a45c-6ad8e3ad7be5\"},{\"content\":\"https:\/\/winfuture.de\/news,142718.html\",\"id\":\"22692acb-58bd-401b-a6e2-1b93b90e1359\"},{\"content\":\"https:\/\/www.cducsu.de\/themen\/harte-strafen-fuer-kindesmissbrauch-und-kinderpornografie\",\"id\":\"8be4dd02-ad95-4c29-ac9a-8e6ebbc4d373\"},{\"content\":\"https:\/\/www.swr.de\/swraktuell\/rheinland-pfalz\/koblenz\/lehrerin-kinderpornografischer-inhalte-konfisziert-deswegen-angeklagt-100.html\",\"id\":\"0db2caa9-a611-4ad2-b377-e27f06606597\"},{\"content\":\"https:\/\/netzpolitik.org\/2022\/strafrecht-die-meisten-tatverdaechtigen-bei-kinderpornografie-sind-minderjaehrig\/\",\"id\":\"49314cdd-3eea-4be6-9c31-28f232ae2a4f\"},{\"content\":\"https:\/\/netzpolitik.org\/2024\/kinderpornografie-paragraf-bundestag-senkt-mindeststrafen\/\",\"id\":\"bcf054b2-34cc-4c1b-b63e-d2efe32ea995\"},{\"content\":\"https:\/\/www.heise.de\/news\/Neues-Computerstrafrecht-vorgelegt-inklusive-Hackerparagraf-10003958.html\",\"id\":\"c9e119a2-7c33-440c-b343-327050da3394\"}]"},"categories":[85],"tags":[],"class_list":["post-14163","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheit"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/14163","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=14163"}],"version-history":[{"count":25,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/14163\/revisions"}],"predecessor-version":[{"id":16751,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/14163\/revisions\/16751"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media\/16749"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=14163"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=14163"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=14163"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Report zeigt, woran es wirklich liegt<\/h2>\n
Meist sorgen ganz andere f\u00fcr Sicherheit<\/h2>\n
Wer hilft, riskiert einen gro\u00dfen Tritt in den Hintern<\/h2>\n
\n
Gro\u00dfe Abschreckung<\/h2>\n
Macht die neue Entsch\u00e4rfung alles besser?<\/h2>\n
\n
Fazit: Weniger schlecht ist nicht besser<\/h2>\n
Quellen<\/h2>\n
\n