Sicherheitslecks: Wie abhängig sind wir?

Wenn über Monopole in der IT-Branche die Rede ist, dann werden die meisten nur an Microsoft denken. Schliesslich hat kein IT-Anbieter mit seinen Produkten einen solchen Marktanteil. Und doch ist das nur eine von vielen Abhängigkeiten, denen sich IT-Anwender in den Unternehmen aussetzen - oft unbewusst. Solche Abhängigkeiten finden sich überall. Manchmal sind sie offensichtlich, etwa dort, wo ein Unternehmen seine Informatik an einen Service-Provider auslagert. Manchmal sind die Abhängigkeiten subtiler, etwa wo eine neue Branchenlösung angeschafft wird, von welcher wieder wegzukommen mit hohen Kosten verbunden ist.

Alle haben sie aber eine ganz besondere Abhängigkeit gemeinsam: Bei der Sicherheit ihrer Software hängen sie vom Hersteller ab. Wir sind uns gewöhnt, dass die Software, die wir erwerben, sicher ist und zum Beispiel Daten nicht Unbefugten zugänglich macht. Wir gehen natürlich auch davon aus, dass Geschäftspartner und Behörden ebenfalls sichere IT-Systeme einsetzen. Das Gesetz schreibt dies mit allerlei Geheimnispflichten und im Datenschutzgesetz sogar vor.

Doch IT-Sicherheit ist ein "moving target", ist also immer im Fluss. Ein heute als sicher geltendes Serversystem mag bald schon ein Sicherheitsrisiko sein, wenn durch Zufall ein Leck entdeckt und publik gemacht wird. Bisher geschah immer das Folgende: Der Hersteller bietet ein Programm zur Korrektur der unsicheren Software an und warnt vor der Lücke. Den "Patch" gibt es meist gratis über das Internet. Wer ihn hat, ist quasi geimpft.

Was heute als Selbstverständlichkeit gilt, muss keineswegs eine bleiben. Bisher war es zwar so, dass Softwarehäuser Patches für ihre Software, mit der Sicherheitslecks geschlossen werden konnten, gratis allen abgegeben haben. Doch eine rechtliche Pflicht haben die Anbieter nicht: Die Anwender ihrer Software haben mit ihnen - den Herstellern - oft keinerlei Vertragsbeziehung. Und selbst wenn sie eine solche hätten, wären etwaige Gewährleistungsansprüche nach kurzer Zeit mit Ablauf der Garantiefrist verjährt.

Da Software oft viele Jahre im Einsatz steht, sind wir Anwender auf den Goodwill der Softwarebranche angewiesen. Sicherheitslecks stopfen kann in den meisten Fällen nur der Hersteller. Hinterlegungsverträge für Software, über welche der Kunde selbst ein solches Wartungsrecht erhalten könnte, sind nicht die Regel. Ganz gleich, wie viel Marktanteil eine Softwarefirma hat - ihre Kunden sind vom Goodwill der Firmen abhängig.

Das ist aber nicht alles. Sicherheitslecks haben die Eigenschaft, dass sie sich nicht auf Dauer geheim halten lassen. Oft werden die Lecks nicht von den Herstellern selbst entdeckt; letzteren bleibt je nach Gnade des Entdeckers gar keine bis kurze Zeit, um ein Gegenmittel zu entwickeln. Ist die Information aber erst einmal publik, sind all jene, die über keinen Schutz verfügen, exponiert. Denn nun wissen auch die "Bösen" über die Schwäche.