Wie öffentliche Scham eine Revolution in der Computersicherheit erzwingen könnte

Die Zahlen sind deprimierend. Eine Schätzung 700 Millionen 2015 wurden Datensätze gestohlen. Doch trotz Milliardenausgaben für die Computersicherheit werden Schwachstellen, die solche Angriffe ermöglichen, nur langsam behoben. Ein Juni Prüfbericht fanden heraus, dass beispielsweise Finanzunternehmen im Durchschnitt mehr als fünf Monate brauchen, um bekannte Online-Sicherheitslücken zu schließen.





Die Sicherheitsbranche erhält jedes Jahr 75 Milliarden Dollar, um zu versuchen, Dinge zu sichern, und was man dafür bekommt, ist, dass jeder die ganze Zeit gehackt wird, sagte Jeremiah Grossman, Chef der Sicherheitsstrategie bei SentinelOne, auf der Black Hat-Sicherheitskonferenz in Las Vegas Mittwoch.

Doch Grossman und einige andere Veteranen der Sicherheitsbranche sind in letzter Zeit optimistischer geworden. Sie sehen die Chance, dass Unternehmen schon bald deutlich stärkere finanzielle Anreize haben, in die Sicherung und Wartung von Software zu investieren.

Eine neue gemeinnützige Organisation namens the Cyber-unabhängiges Testlabor (CITL) hat Methoden entwickelt, um die Sicherheit von Softwareprodukten wie Webbrowsern und Betriebssystemen zu bewerten und zu vergleichen. Ziel ist es, Verbrauchern und Unternehmen bei der Auswahl der sichersten Produkte zu helfen und diejenigen zu beschämen, die unsere Daten gefährden, damit sie es besser machen.



Diese Bemühungen kommen zu einer Zeit, in der Versicherungsunternehmen begonnen haben, sich dafür zu interessieren, die Risiken von Sicherheitsverletzungen zu verstehen, was neue finanzielle Anreize für Unternehmen schaffen könnte, der Sicherheit Aufmerksamkeit zu schenken. Versicherer könnten Unternehmen in ähnlicher Weise unter Druck setzen wie die Industrie bei der Förderung der Auto- und Elektrosicherheit. PwC berichtet vergangenes Jahr dass Unternehmen gezwungen sind, sich stärker auf Cyber-Versicherungen zu verlassen, da die Kosten für Datenschutzverletzungen in Unternehmen schnell steigen.

Peiter Zatko, ein bekannter Hacker namens Mudge, spricht diese Woche auf der Sicherheitskonferenz Black Hat.

CITL wurde von dem hochkarätigen Hacker Peiter Zatko, auch bekannt als Mudge, und seiner Frau Sarah, die ebenfalls Sicherheitsforscherin ist, gegründet. Auf der Black-Hat-Konferenz stellten die beiden am Mittwoch ihre ersten Ergebnisse vor, die zeigten, wie von ihnen entwickelte Analysemethoden verschiedenen Softwareprogrammen eine Reihe von Sicherheitsbewertungen zuweisen können.



CITL ist nachempfunden Verbraucherberichte , und wird sowohl Scores für Nicht-Experten als auch detailliertere Einschätzungen für Brancheninsider veröffentlichen. Wir versuchen seit Jahren, die Leute dazu zu bringen, sich um Sicherheit zu kümmern, und wenn jemand sagt: „Okay, was mache ich?“, sind wir ziemlich vage, was den nächsten Schritt angeht, sagte Sarah Zatko. Wir können Ihnen raten, welchen Browser Sie verwenden sollten, aber wir haben nicht viele Beweise, um dies zu belegen.

Die Zatkos präsentierten vorläufige Daten zum Vergleich der Angriffsanfälligkeit von Programmen für Apple-Computer. Der Google Chrome-Browser wurde im 75. Perzentil aller für dieses Betriebssystem analysierten Programme eingestuft, Safari kam auf Platz 59. Microsoft Office und der Mozilla Firefox-Browser waren anfälliger und lagen mit 37 bzw. 35 zurück. Die CITL-Analyse von Microsofts Windows 10 legt nahe, dass das Unternehmen auf seinem eigenen Betriebssystem aktuellere Methoden verwendet. Die genaueren Analysen von CITL zeigten, dass Microsoft und Mozilla es versäumt hatten, in ihren Programmen für Apple-PCs Standardmethoden zum Härten von Software gegen Angriffe zu verwenden.

Das CITL wird vom Forschungsarm des Pentagon, dem Air Force Research Lab, und der Ford Foundation finanziert. Es plant die Veröffentlichung seiner ersten großen Datensätze Anfang nächsten Jahres und führt bereits Gespräche mit Versicherungsunternehmen, die an der Nutzung seiner Daten interessiert sind.



Grossman hofft, dass die Analysen von CITL dazu beitragen könnten, Unternehmen dazu zu zwingen, Verantwortung für ihre Sicherheitsmängel zu übernehmen. Studien deuten darauf hin, dass Sicherheitsvorfälle den Aktienkurs eines Unternehmens kaum beeinflussen und gesetzliche Haftungsansprüche in der Regel scheitern. Unternehmen, die Software- und Sicherheitsprodukte verkaufen, bieten auch keine Garantien oder Garantien, die für traditionellere Waren und Dienstleistungen üblich sind.

Grossman prognostiziert, dass Daten von CITL und einigen Startups, die daran arbeiten, die Widerstandsfähigkeit von Unternehmen gegenüber Sicherheitsbedrohungen zu bewerten und zu vergleichen, auch Versicherer in die Lage versetzen werden, einen großen Wandel in der Einstellung zur Sicherheit zu erzwingen.

Er schätzt, dass Unternehmen derzeit rund 3,5 Milliarden US-Dollar pro Jahr für Versicherungen ausgeben, die im Falle einer Unternehmenspanne auszahlen, wobei die Ausgaben jährlich um 50 Prozent oder mehr steigen. Die Versicherer konzentrieren sich derzeit darauf, den Markt zu erweitern, und stützen Prämien oder Auszahlungen nicht auf eine genaue Prüfung des Stands der Technologie eines Unternehmens. Sie arbeiten jedoch daran, die dafür erforderlichen versicherungsmathematischen Daten zu sammeln. „Ich denke, es ist nur eine Frage der Zeit, bis sich die Herren der Informationssicherheitsbranche ändern“, sagte Grossman.



verbergen