Die neue Studie des BSI ist zu begrüßen, weil sie an einigen Stellen Klarheit schafft. Doch bleibt die Verantwortung und die Möglichkeiten der Hersteller zur Verbesserung der Situation zu sehr außen vor.

Die neue Sicherheitsstudie, die von BMI und BSI in Auftrag gegeben wurde, widmet sich zum ersten Mal auf ganzheitliche Weise der Bedrohung durch Identitätsdiebstahl. Dies ist außerordentlich zu begrüßen, wird doch in diesem Bereich viel Schindluder getrieben, und der Begriff „Identity Theft“ von vielen für viele verschiedene Dinge verwendet. Insofern ist die Studie sehr nützlich, um überhaupt Klarheit bei der Verwendung dieses Begriffs zu schaffen.

Darüber hinaus ist die Studie einzigartig, da sie sowohl eine technische aus auch eine rechtliche Expertise beinhaltet, und damit eine Verbindung schafft zwischen zwei Welten, die selten zusammengebracht werden. Auch dies macht die Studie zu einer empfehlenswerten Lektüre.

Im Vergleich zu anderen Ländern, so die Studie, stehen wir überwiegend sehr gut da, sowohl was die Technologie als auch die rechtliche Situation anbelangt. Das ist im Prinzip schon eine gute Basis. Ein Schwerpunkt bei den Empfehlungen der Studie ist die Qualifizierung von und Bewusstseinsbildung bei Anwendern, zu viele Internet-Rechner sind (vgl. Ergebnisse von Umfragen in den letzten Wochen) nicht auf aktuellem Software-Stand. Daher ist diese Empfehlung sicher richtig.

Es fehlt aber in diesem Bild die Forderung nach der Qualifizierung und Bewusstseinsbildung der Hersteller. Allen voran Microsoft hat in den letzten Jahren einen hervorragenden Job gemacht, um ihr Betriebssystem - und zunehmend auch ihre Anwendungen - sicher zu machen. Doch nicht nur das Betriebssystem offenbart Sicherheitslücken auf einem PC; die Anwendungen selbst bilden eine große Angriffsfläche, und da Web Service Technologie immer mehr von Anwendungsentwicklern verwendet wird, stehen auch bei Nicht-Verwendung durch den PC-Besitzer die Schnittstellen den Angreifern für Angriffe zur Verfügung.

Hierzu passt auch die Aussage im Bericht, dass die Produktsicherheit von Software in den letzten Jahren auch ohne Regulierung besser geworden ist. Dies trifft aber leider nur auf die großen Hersteller zu - und da auch nicht auf jeden. Apple ist gerade in der Kritik wegen erheblicher Sicherheitslücken rund um das iPad, und auch Adobe macht bei Flash nicht die beste Figur.

Kleinere, spezialisierte Softwarehersteller haben aber oft nicht einmal ein Security Response Team, das in der Lage ist, bei Sicherheitsproblemen schnell, effektiv und angemessen zu reagieren. Es fehlt einfach bei vielen Software-Herstellern das Verständnis für die Notwendigkeit, von Anfang an an Sicherheit zu denken. Entsprechend wäre es wichtig, wenn auch die Hersteller sich über die Qualifizierung im Bereich Sicherheit Gedanken machen.

Es bleibt der Eindruck, dass auch unbedarfte IT-Anwender für die Sicherheit der von ihnen verwendeten Anwendungen verantwortlich sind. Das mag bei einfachen, überschaubaren Funktionen noch vertretbar sein, aber wenn der Anwender die meisten Funktionen noch nicht einmal sehen, geschweige denn verstehen kann, dann ist er schlicht überfordernd.

Dabei liegt in dieser Situation auch eine Chance: Gerade kleine, mittelständische Softwareunternehmen in Deutschland und Europa sollten dabei unterstützt werden, um gegen die „Großen“ bestehen zu können, und es ist bedauerlich, dass der Bericht in seinen Forschungsempfehlungen nicht darauf eingeht, was Herstellern helfen kann, ihre Anwendungen sicher(er) zu machen - zumal das nicht über Nacht passieren kann, sondern seine Zeit braucht: Microsoft hat zehn Jahre benötigt, um einen ganzheitlichen Ansatz für sichere Software-Entwicklung zu etablieren und die Produkte auf den gewünschten Stand zu bringen.

Denn das wäre der einfachste und beste Weg: Die verwendete Software ist einfach nicht angreifbar.