Fehlende Sicherheit spart nur scheinbar Geld ein
Datendiebstahl: lieber daraus lernen, anstatt peinlicher Ausreden
Der Klau von Daten droht zum alltäglichen Skandal zu werden. Wirklich schlimm sind aber die peinlichen Erklärungsversuche. Besser wäre es, auf eine entsprechende Sicherheitsarchitektur und passende Entwicklungsprozesse zu achten.
Gestern hat der SWR3 über die Sicherheitslücken bei libri.de berichtet. Interessant war dabei vor allem der Pressesprecher des TÜV Süd. Er versuchte zu erklären, wie es trotz Sicherheitszertifikat für libri.de möglich war, mit einfachen Mitteln auf Rechnungsdetails anderere Kunden zuzugreifen. Das Zertifikat hatte der TÜV Süd an libri.de als vertrauenswürdige Site. Die Quintessenz war, dass das Internet eben unsicher sei und wenn man an der Software was ändere, könne es halt zu neuen Sicherheitslücken kommen.
Richtig: Softwareänderungen können zu neuen Risiken führen. Aber: Das Problem bei libri.de ist genauso wie das unlängst bei SchülerVZ und viele andere in erster Linie ein Problem einer mangelhaften Sicherheitsarchitektur in der Software. Wenn es die von vornherein und entsprechende SDLs (Secure-Development-Lifecycles) gegeben hätte, wäre das Problem nie entstanden.
Denn im Prinzip ist es ganz einfach: Es gibt Informationen, auf die zugegriffen werden soll. Personen authentifizieren sich. Das System führt eine adäquate Autorisierung zu. Es lässt genau die berechtigten Zugriffe zu.
Das lässt sich bei Rechnungsdaten im Online-Handel ebenso realisieren wie bei sozialen Netzwerken. Das kann man auch durchgängig und konsequent machen, um sicherzustellen, dass wirklich nur berechtigte Zugriffe erfolgen dürfen. Nur: Dazu muss man von Beginn an bei der Softwarearchitektur und im weiteren Verlauf bei der Entwicklung der Software das Thema Sicherheit konsequent mit berücksichtigen.
- Datendiebstahl: lieber daraus lernen, anstatt peinlicher Ausreden
- Sicherheit hat ihren Preis
Lesen Sie mehr zum Thema
