Archiv für die Kategorie » Wirtschaft «

BITKOM, XSS und die 57%-Lüge

Dienstag, 4. März 2014, 11:09 Uhr | Autor:

IT-Sicherheit ist das Hightech-Thema des Jahres” (bitkom.org)

Das wichtigste Hightech-Thema des Jahres 2014 ist IT-Sicherheit. Das hat die jährliche Trendumfrage des BITKOM in der IT-Branche ergeben. Danach nennen 57 Prozent der befragten Unternehmen IT-Sicherheit als Top-Thema.

Bullshit! Natürlich bekommt man solche Antwort, welche aber nur dem geschuldet ist, was der Befragte meint, was von ihm als Antwort erwartet wird. Die Realität sieht etwas anders aus. Oberste Priorität ist und bleibt der Umsatz. Jeder Euro der ins Marketing investiert wird, kann dem Umsatz zugutekommen. Jeder Euro für IT-Sicherheit ist erst einmal verloren und bringen gar nichts.


Wie viele Kunden haben sich beschwert oder gar geklagt, weil Sicherheitslücken nicht geschlossen wurden? Keine! (Vielleicht auch nur weil sie sie nicht bemerkt haben und keinen finanziellen Schaden erlitten haben.)

Wie viele Kunden haben sich beschwert weil die Software das neueste Feature der Konkurrenz nicht bietet? Und wie viele Anteilseigner haben sich ob der schlechten Quartalszahlen beschwert? Diverse, Hunderte oder gar Tausende!

Also, wohin fließen Investitionen? Auf jeden Fall nicht in die IT-Sicherheit.

Ist dies verwunderlich oder gar verwerflich? Nein, nur menschlich.

Ohne Umsatz kein Geld für IT-Sicherheit, aber ohne IT-Sicherheit, oder kaum vorhandene, kein merklicher Schaden — zumindest kurz- bis mittelfristig. Ein Stichwort hierzu wäre beispielsweise: SONY, Hunderte von Millionen Kundendatensätze kopiert, Passworte im Klartext, mehrere Websites gehackt, und weitere Kundendaten kopiert und weitere Klartextpassworte. Und?! War was? Nö! Die Kunden haben sich nur darüber beschwert, dass sie nun das geleakte Passwort, welches sie auch bei anderen Diensten verwenden, auch dort ändern mussten, und dass sie einige Wochen nicht spielen konnten, weil die Seiten von SONY abgeschaltet wurden. Das war es.


Weshalb gibt es auf Websites nie eine gesonderte E-Mail-Adresse an die man Hinweise zu Sicherheitslücken senden kann? Wer eine solche E-Mail-Adresse eingerichtet hat, der gibt ja zu, dass er mit Sicherheitslücken rechnet — und dies möchte man natürlich nicht. Also muss ich meine Hinweis-Mails an sales@…, marketing@…, info@…, kontakt@…, etc. senden und treffe dabei oft auf DAUs, die XSS nicht von XXL unterscheiden können. Vielleicht treffe ich sogar auf Menschen die wissen wofür XSS steht (vielleicht auch nur weil ich den Link zum entsprechenden Wikipedia-Artikel mitgeschickt habe), aber die einfach nicht begreifen können was man mit Cross-Site-Scripting anstellen kann. Die nicht wissen, was ein Session-Cookie ist, die nicht wissen, dass der HttpOnly-Flag immer gesetzt sein sollte. Diese Ignoranz finde ich auch, wenn es um SQL-Injection geht, sie hat also nichts mit der Art der Sicherheitslücke zu tun.

Weshalb bekommt man sehr selten eine Antwort, auf Hinweise zu Sicherheitslücken? Weil die eben genannten DAUs nicht wissen, was sie mit meiner E-Mail anfangen sollen oder weil es ihnen peinlich ist, überhaupt zuzugestehen, dass es bei ihnen Sicherheitslücken gibt. XSS! — Oh…


  • Die Kreuzigung! — Oh…
  • Scheußlich, hm? — Hm, es gibt Schlimmeres.
  • Was meinst du damit, es gibt Schlimmeres?! — Hmmm, man kann auch erdolcht werden.
  • Erdolcht, was?! Das dauert nur ne Sekunde. Die Kreuzigung dauert Stunden! Das ist ein langsamer, grauenvoller Tod! — Naja, aber wenigstens ist man dabei an der frischen Luft.
  • Der hat ne Meise.

Mein Hinweis an den BITKOM zu einer XSS-Lücke wurde noch nicht beantwortet. Ob da noch etwas kommt? XSS! — Oh…

Im Zusammenhang mit dem BITKOM habe ich auch Strato kontaktiert, die am Sonntag antworteten. Mein Hinweis versendete ich am Freitag. Je nachdem wie ernst jemand es mit IT-Sicherheit meint… :O)


Update: 11.03.2014 – 13:40 Uhr

Ein Mitarbeiter oder Dienstleister des BITKOM hat zwar mittlerweile den Link zu dem Screenshot der in meiner E-Mail verlinkt war geklickt, aber ansonsten gab es noch keine Reaktion.

Thema: Sicherheit, Wirtschaft, XSS | Kommentare geschlossen

IT-Security-Dummheiten sollen meldepflichtig werden?

Mittwoch, 28. November 2012, 19:38 Uhr | Autor:

EU plant Meldepflicht für Cyber-Attacken” (heise.de)

Zum besseren Schutz vor Cyber-Attacken denkt die EU auch über eine Meldepflicht von Cyberattacken für Unternehmen nach.

Bundesinnenminister erwägt Meldepflicht für IT-Angriffe” (heise.de)

Aufgrund der steigenden Zahl von Internet-Attacken auf die IT-Infrastruktur von Behörden oder wichtigen Unternehmen erwägt Bundesinnenminister Hans-Peter Friedrich ein neues Gesetz. Den Behörden müssten “schwere Cyber-Angriffe und weitreichende IT-Sicherheitsvorfälle gemeldet werden”

Das Menschen ungern Fehler zugeben ist nicht ungewöhnlich, warum sollte dies bei Firmen anders sein? Nur wenn es gar nicht mehr zu leugnen ist, weil z.B. ein Datenbank-Dump öffentlich wurde, gibt eine Firma zu, ein Problem zu haben. Wobei die Firma das eigentliche Problem eher beim Finder und der Veröffentlichung der Daten sieht und nicht darin, dass es die Lücke gibt. Nur weil es ein Meldegesetz gibt, werden sich die Firmen nicht ohne Not outen — genauso wenig wie Gesetze den Steuerhinterzieher davon abhalten, sein Geld in die Schweiz zu bringen.

Ich halte solch ein Meldegesetz für untauglich. Einen höheren Sicherheitsstandard in der IT wird man nur mit höheren Standards erreichen können — die verbindlich sind. Einen Standard, der es unmöglich macht z.B. Passworte im Klartext in einer Datenbank zu speichern oder der eine unverschlüsselte Übertragung von Login- oder Kundendaten verbietet. Hierzu braucht es ein umfassendes Regelwerk woran sich alle Dienstleister halten müssen, die ein Zertifikat erwerben wollen. Und nur wer zertifiziert ist kann an Ausschreibungen für IT-Projekte von Bund und Ländern teilnehmen.

Für die Schaffung des Regelwerks für einen hohen Sicherheitsstandard kann der Bund die Kompetenz des Bundesamtes für Sicherheit in der Informationstechnik nutzen. Das BSI hat seit geraumer Zeit IT-Grundschutz-Kataloge erstellt, die durchaus als eine gute Ausgangsposition betrachtet werden können.

Anstatt ein Meldegesetz zu beschließen, sollte der Bund, und möglichst auch die Länder, damit beginnen die bestehende Infrastruktur einer Revision zu unterziehen und dafür zu sorgen, dass nur noch zertifizierte Dienstleister beauftragt werden. Wenn Bund und Länder mit gutem Beispiel voran gehen, dann kann an Verpflichtungen gearbeitet werden, die auch die Wirtschaft zu hohen IT-Security-Standards zwingt.


Hier noch zwei Beispiele, bei denen man nicht in der Lage oder willens war, das Problem zu lösen:

  • Im Dezember 2008 gab ich dem Datenschutzbeauftragten des Landes Hessen den Hinweis zu der Anfälligkeit auf Cross-Site Scripting. Man bedankte sich für den Hinweis und bat um weitere Informationen zu der Lücke, welche ich bereitwillig weitergab. Der Versuch die Lücke zu schließen war erfolglos, was ich natürlich sofort bemerkte und ebenfalls weitergab.
    Dies kann auch als Beispiel dafür angesehen werden, dass XSS gar nicht so gefährlich sein kann, denn die Lücke besteht ja seit mindestens 4 vollen Jahren ohne das es Geschädigte gibt. ;O)
  • Im September diesen Jahres gab ich an “Gründerwoche” Hinweise zu XSS und SQL-Injection weiter, auch hier war es nicht möglich das XSS-Problem zu beheben.

Diese Liste könnte ich noch mit vielen weiteren Beispielen für Websites von Bund und Ländern fortführen, was aber uninteressant wird, da ich eh keine kritischen Lücken veröffentliche, wie z.B. SQL-Injection, Cross-Site Request Forgery, Remote File Inclusion oder Directory Traversal, die man relativ schnell, in den unzähligen Websites, finden kann.


Wie will der Bund mehr IT-Sicherheit von der Wirtschaft fordern, wenn es ihm gleichzeitig unmöglich ist, seine Infrastruktur auf einen IT-Security-Standard zu heben, der Mindestanforderungen standhält?

Thema: Politik, Sicherheit, Wirtschaft | Kommentare geschlossen