“Spezialisierte Staatsanwaltschaften gegen professionelle Computerkriminalität gefordert” (bitkom.org)

Das Know-how von Polizei und Staatsanwaltschaften bei der Computerkriminalität muss massiv gestärkt und gebündelt werden.
(…)
Aus BITKOM-Sicht sind – zusätzlich zu verbesserter Ausstattung und Organisation der Ermittlungsbehörden – drei weitere Punkte wichtig, um die Computerkriminalität einzudämmen:

Erstens muss das Zusammenspiel von Staat und Wirtschaft insbesondere beim Austausch von Informationen verbessert werden.
(…)
Zudem müsse die Sicherheit der IT-Produkte permanent verbessert werden. Hier helfen insbesondere gezielte Forschungsvorhaben. Daher begrüße man die Ankündigung der Bundesministerien für Forschung und Inneres, die IT-Sicherheitsforschung mit 30 Millionen Euro zu fördern.

Drittens muss die Kompetenz und Eigenverantwortung der Verbraucher weiter gestärkt werden.

Wenn man diese Forderungen liest so könnte man den Eindruck gewinnen, das die Web-Wirtschaft alles im Griff hätte, man nur besser ausgebildete Polizei braucht und viel Geld für Forschung investieren müsse um mehr Sicherheit für den Verbraucher zu erreichen, und der Verbraucher ja eigentlich selber schuld ist wenn er zu Schaden kommt, da er sich zu wenig um die Technik kümmert.

Dem ist nicht so!

Viele, wirklich sehr viele, WebSites, Shops, Foren, Communities, etc. weisen Sicherheitslücken auf. Vielfach sind diese Lücken und die Ignoranz der Betreiber, diese Lücken zu schließen, dafür verantwortlich das Verbraucher Daten verlieren oder finanziellen Schaden zu beklagen haben.

Die Web-Wirtschaft muß endlich Verantwortung für ihre unsicheren WebSites übernehmen und tätig werden um mehr Sicherheit für die Besucher herzustellen. Man muß nicht Millionen von Euros in Sicherheitsforschung investieren, man muß nur konsequent das umsetzen was bereits seit Jahren bekannt und somit schon jetzt Stand der Dinge ist.

Wer nun glaubt das neue WebSites sicherer wären als ältere – der irrt. In vielen sogenannten Web 2.0-Communities stecken Lücken die keiner Sicherheitsprüfung Stand halten würden – wenn man denn prüfen würde. Aber da die Betreiber lieber in viel Werbung und noch mehr (unsichere) Features investiert, bleibt der User der WebSites am unsicheren Ende der Web-Nahrungskette. Da kaum ein durch XSS, CSRF, SQL-Injection, etc. geschädigter Kunde nachweisen kann auf welcher WebSite er zu Schaden gekommen ist, wird die Web-Wirtschaft sich auch kaum bemühen wirklich aktiv zu werden, da ihr kein Missbrauch bekannt geworden ist…

Bei meiner täglichen Arbeit begegnen mir immer wieder WebSite-Betreiber die einfach nicht begreifen wollen wie wichtig Sicherheit ist. “Wer sollte uns angreifen wollen?” … “Es ist noch nie etwas passiert!” … “Es hat sich noch nie ein Kunde beschwert!”

Es wird Zeit das es echte Zertifikate, echte Gütesiegel für Sicherheit gibt. Überprüfbare Sicherheit, bei der der Besucher einer WebSite sicher sein kann, das der Betreiber nicht an der Sicherheit der Programmierung gespart hat.

Die Forderungen des BITKOM nach mehr Staat sind so wenig zielführend wie die Forderung der Bundesfamilienministerin Ursula von der Leyen WebSites mit Kinderpornographie zu sperren. Durch die Sperrungen wird nicht ein Kind weniger missbraucht und durch besseres Computerwissen von Polizei und Staatsanwaltschaft wird nicht eine Sicherheitslücke in WebSites geschlossen.

Ursachen bekämpfen – nicht an Symptomen rumdoktern!


Kann es sein das der BITKOM nicht die Eigenverantwortung der Web-Wirtschaft fordert weil es sich dabei auch um ihre zahlenden Mitglieder handelt und sie diese nicht gegen sich aufbringen möchte?

Lobbyismus ist pauschal nichts Schlechtes – aber es wäre gut wenn auch der Otto-Normal-User eine Lobby hätte.