Aktuelle IT-Systeme sind nach wie vor unsicher und damit anfällig für Hackerattacken. Foto: dpa

Um aus vergangenen Cyberattacken durch Hacker die richtigen Schlüsse zu ziehen, lohnt sich ein genauerer Blick auf die Rolle der Unternehmen.

Stuttgart - Die Meldungen über Hacks häufen sich: Der Angriff auf das Stuttgarter Staatstheater vor wenigen Tagen war nur eine Warnung, wie schnell es gehen kann – vor allem wenn man größere Sabotageangriffe auf Kraftwerke im Blick hat, bei denen Menschenleben in Gefahr sind. Bei der Analyse solcher Angriffe wird immer wieder auf den Anwender gezeigt: den dummen Nutzer, der sich im Internet unvorsichtig verhält, der dubiose Anhänge öffnet oder schlechte Passwörter benutzt.

Hacker nutzen Schwachstellen

In der Tat sind solche Schwachstellen häufig die erste Tür, die sich Hackern öffnet, bevor sie tiefer in ein System eindringen. In der Informatik und Mensch-Maschine-Interaktion wird schon seit Jahrzehnten daran geforscht, wie sich solche Systeme sicherer gestalten lassen. Insbesondere das Einloggen via Nutzername und Passwort gilt als unsicher, weil es der menschlichen Natur widerspricht. Nur: wieso hat sich in den vergangenen Jahren hieran nichts geändert? Und wieso sind die aktuellen Systeme nach wie vor unsicher und damit angreifbar für Hacker?

Dieser Frage nachgegangen sind Wissenschaftler um die Wiener Philosophin und Wirtschaftsinformatikerin Sarah Spiekermann und den Informatiker Marc Langheinrich von der Universität Lugano. Ihre Publikation in „Proceedings of the IEEE“, einer der führenden Fachzeitschriften im Bereich der Computertechnik, kommt zur rechten Zeit, denn sie zeigt, was die Computertechnik unsicher macht.

Entwickler vernachlässigen die Sicherheit

Die kurze Antwort lautet: Sicherheit wird nicht in die Systeme implementiert, weil sich viele Entwickler nicht dafür verantwortlich fühlen. Von den mehr als 124 Entwicklern aller Karrierestufen (ein Viertel davon in leitender Position; ein Drittel davon aus deutschen Unternehmen), die von den Forschern ausführlich befragt wurden, fanden 90 Prozent Sicherheit wichtig. Doch lediglich 63 Prozent fühlten sich auch dafür verantwortlich, Sicherheit in ihre Programme einzubauen. „Fast 40 Prozent fühlen sich nicht verantwortlich. Dabei gehört es unbestritten zu deren Aufgaben“, konstatiert Spiekermann.

Die Forscher fragten auch, welche Faktoren in der Vergangenheit dazu beigetragen hatten, dass die Entwickler Sicherheit in Systeme implementierten. Weil sie es wichtig finden? Weil es ihnen Spaß macht? Weil sie von ihrem Chef gezwungen wurden? „Der mit Abstand wichtigste Grund, dass Entwickler Sicherheit berücksichtigen, ist, dass sie sich verantwortlich fühlen“, erklärt Spiekermann das Ergebnis.

Konflikte in Organisationen

Doch gleichzeitig sagten 47 Prozent, dass sie nicht genug Zeit und Autonomie hätten, Sicherheit in ihre Systeme einzubauen. Sprich: es gab andere Vorgaben vom Chef, konkurrierende Prioritäten, so dass die Sicherheit hinten anstand. „Das deutet auf einen Konflikt in den Organisationen hin“, sagt Spiekermann. Während die deutschen Entwickler das noch großteils mit sich selbst ausmachen, haben sich ihre US-Kollegen vor zwei Jahren öffentlich und in großem Stil beschwert, dass sie gezwungen werden, unethische bis illegale Dinge zu tun.

Das zeigt: Entwickler haben ein hohes Berufsethos. Sie wollen gute Arbeit erbringen, die der Gesellschaft nutzt – doch offenbar werden sie von der Unternehmenskultur daran gehindert. „Die Organisationen müssen den Mitarbeitern also klar kommunizieren, dass sie ihnen die notwendige Zeit und Kontrolle für diese Aufgaben einräumen“, fordert Spiekermann. Die Frage ist nur, ob diese das überhaupt wollen. „Das Kernproblem ist, dass die Organisationen unter riesigem Druck stehen.“ Sicherheit kostet Geld und Zeit, doch Software soll immer billiger und schneller auf den Markt kommen.