IT-Sicherheit: Von Clowns und Affen

IT-Sicherheit: Von Clowns und Affen

@ctmagazin | Editorial

Pfusch sehen wir nicht nur bei der Vernetzung von Arztpraxen und Kliniken, sondern auch in anderen Branchen, wie jetzt im Fall der Autovermietung Buchbinder.

"Die 737 Max haben Clowns entworfen, die von Affen überwacht wurden." Dieser Vergleich eines Boeing-Mitarbeiters ist inzwischen zum geflügelten Wort für desaströse Großprojekte geworden. Er passt nicht nur für Flugzeugbauer, sondern leider auch für Teile der IT in Deutschland.

Pfusch sehen wir nicht nur bei der Vernetzung von Arztpraxen und Kliniken, sondern auch in anderen Branchen, wie jetzt im Fall der Autovermietung Buchbinder. Da hat doch tatsächlich ein internationaler Konzern mit mehreren Millionen Kunden und neunstelligen Umsatzzahlen seine augenscheinlich komplette Firmendatenbank auf einem einzigen Rechner bei einem Dienstleister im Internet gesichert. Was kann da schon passieren?

In diesem Fall war es ein offener SMB-Port, über den 10 Terabyte völlig ungeschützt abrufbar waren. Aber selbst wenn der Port nicht offen gestanden hätte, wäre es wohl nur eine Frage der Zeit gewesen, bis ein anderes Sicherheitsleck aufgetaucht wäre.

Buchbinder ist jedoch kein Einzelfall. Schaut man sich bei Sicherheitsdiensten wie cyberscan.io oder shodan.io um, findet man tausende ähnlich schlecht gesicherte Rechner in deutschen Firmennetzen. Bei uns in der Redaktion gilt deshalb: Nach dem Leck ist vor dem Leck.

Hartmut Gieselmann

Bei der Auswertung der riesigen Datenmengen arbeitet unser Investigativ-Team vermehrt mit anderen Redaktionen wie beispielsweise der ZEIT zusammen. Denn Sicherheitsprobleme in der IT haben massive gesellschaftliche, wirtschaftliche und politische Auswirkungen.

Was uns Redakteuren die Arbeit sichert, ist gleichzeitig aber auch ein Armutszeugnis für den IT-Standort Deutschland. Fachkräfte fehlen überall, Aushilfen arbeiten selbst in hochsensiblen Bereichen. Die Digital Natives können zwar alle Selfies auf Instagram posten, aber kaum einer weiß, was eine Kommandozeile ist - geschweige denn, wie man programmiert.

Aber was will man auch erwarten, in einem Land, wo die Informatik an den meisten Schulen kein Pflichtfach ist. Wer hier etwas ändern will, muss den Hebel bei der Bildung ansetzen, sonst geht der Zirkus ewig weiter. (hag)

(PS: Das bestätigt wohl auch das aktuelle Datenleck an der Uni Erlangen Nürnberg.)


Dieser Artikel stammt aus c't 4/2020.

Kommentare