Poodle: Dritte große Online-Schwachstelle dieses Jahr

DSAG: Sicherheitslücken werden unterschätzt

Mit Poodle taucht nach Heartbleed und Shellshock in diesem Jahr die dritte Sicherheitslücke auf. „Wir gehen zu unbekümmert mit Schwachstellen und zu leichtfertig mit Unternehmensdaten um“, warnt Dr. Marco Lenck, Chef der SAP-Anwender im deutschsprachigen Raum (DSAG). „Die Lücken bestehen ja nicht erst seit gestern, sondern blieben über Jahre unentdeckt. Wir wissen also nicht, wer in welchem Umfang Zugriff hatte und wie viele Schwachstellen es sonst noch gibt“, so Lenck. Für beide Seiten handelt es sich hierbei um keinen Kavaliersdelikt. So macht sich nicht nur der Datendieb, sondern aktuell auch derjenige, der den freien Zugriff ermöglicht, strafbar. „Wenn sich schon der Zugang zu Unternehmensdaten nicht ausreichend schützen lässt, sollte zumindest sichergestellt sein, dass die Dateien unbrauchbar sind.“ Das lässt sich durch Präventivmaßnahmen wie Verschlüsselungsverfahren oder Sicherheitszertifikate zuverlässig erreichen.

Poodle ist die dritte Sicherheitslücke seiner Art, die in diesem Jahr entdeckt wurde.
Lenck: Die Unsicherheit wächst mit jeder Meldung über weitere Sicherheitslücken. Dennoch gehen wir zu unbekümmert mit diesen Schwachstellen und zu leichtfertig mit unseren Daten um. Gleichzeitig wird unterschätzt, welchen Schaden Hacker damit anstellen können. Über Heartbleed können Angreifer Daten von Servern erbeuten, durch Shellshock ganze Maschinen kontrollieren und über Poodle Identitäten stehlen. Das mag überspitzt klingen, aber man sollte nicht die kriminelle Energie von Hackern verkennen.

Poodle gilt als weniger gefährlich, weil der SSL 3.0-Standard in vielen Bereichen bereits ersetzt wurde.
Lenck: Das mag sein, aber die Sicherheit, die diese Aussage erzeugt, ist trügerisch: Bei Poodle reicht es, dass ich in einem öffentlichen Netz – zum Beispiel in einem Café – E-Mails oder den Kontostand über den Webbrowser abrufe. Mein Tischnachbar liest dann vielleicht schon über eine Sicherheitslücke mit, von der ich gar keine Kenntnis habe. Jemand, der genau solche Daten abgreifen will, weiß, wo er danach suchen muss.

Wie sollen Unternehmen und Nutzer mit Sicherheitslücken umgehen?
Lenck: Ich denke, das Problem besteht nicht allein in den vielen Sicherheitslücken. Fakt ist doch, dass Nutzern und auch Unternehmen die Folgen dieser Sicherheitslücken nicht ausreichend bewusst sind. Wir müssen uns konkret vor Augen führen, was die direkten Folgen dieser Sicherheitslücken sind. Im besten Fall wird nur mein E-Mail-Account gekapert und jemand verschickt in meinem Namen SPAM-E-Mails. Wir müssen aber auch davon ausgehen, dass Daten wie beispielsweise Dateien von neuen Maschinen-Modellen, Geschäftszahlen oder ähnlich kritische Daten in fremde Hände gelangen. In diesem Fall reden wir bereits von Industriespionage und damit von ernsthaftem wirtschaftlichem Schaden. Es reicht nicht, Schwachstellen zu schließen, wenn sie auftauchen.

Was können Unternehmen in diesem Zusammenhang tun?
Lenck: Die Lücken bestehen ja nicht erst seit gestern, sondern blieben über Jahre unentdeckt. Wir wissen also nicht, wer in welchem Umfang Zugriff hatte und auch nicht, wie viele Heartbleeds, Shellshocks und Poodles es noch gibt. Die logische Konsequenz muss sein, anders mit unseren Informationen umzugehen: Wenn wir schon den Zugang zu unseren Daten nicht ausreichend schützen können, sollten wir zumindest sicherstellen, dass Hacker nichts mit erbeuteten Dateien anfangen können. Hier bedarf es geeigneter Präventivmaßnahmen wie etwa zuverlässiger Verschlüsselungsverfahren oder Sicherheitszertifikate.

Die DSAG setzt sich für Standards ein – wie passt das zu Heartbleed und Co, die Lücken in Standards ausnutzen?
Lenck: Standards müssen sein. Sie helfen, Prozesse in Unternehmen zu erleichtern. Wir erwarten, dass Fehler oder Lücken in Standards umgehend geschlossen werden, damit sie nicht etwa jahrelang missbraucht werden, um den Zugang zu Lösungen zu ermöglichen.

Dr. Marco Lenck ist Vorstandsvorsitzender der Deutschsprachigen SAP-Anwendergruppe (DSAG) e.V. Wie wichtig der Schutz von Unternehmensinformationen vor allem im Zeitalter der Digitalisierung für eine funktionierende Wirtschaft ist, erfährt er täglich als CIO. Durch seine langjährige Erfahrung als Vermittler zwischen den Fachbereichen und der IT kennt er die nötigen Rahmenbedingungen genau – sowohl an die Infrastruktur als auch an Sicherheit und Standards.

ERROR: Content Element type "templavoila_pi1" has no rendering definition!