Mit Sicherheit kann man keinen Blumentopf gewinnen

Wie auch beim Verlag des Reiseführers "Per Anhalter durch die Galaxis", ist auch die Geschichte unserer Arbeitsgruppe vor allem eine Geschichte von (teils diskussionsintensiven) Mittagessen und Kaffeetrinken. Gestern hatten wir noch einmal der zwei jüngsten Datenschutz- und Informationssicherheits-GAUs des Web 2.0 gedacht.

Es ist immer ein leichtes, in den (Blog-)Kommentaren zu solchen Geschichten auf den dämlichen Entwicklern herumzuhacken, die Sicherheitslücken nicht bedacht oder bewusst in Kauf genommen haben. Ich bin allerdings der Meinung, wir haben es – insbesondere bei Portalen – eher mit dem Problem zu tun, dass Sicherheit ein Thema ist, das bei nahezu allen Gliedern der Informationsverarbeitungskette (das Web-2.0-Äquivalent zur Nahrungskette) mit niedigster Priorität behandelt wird:

  • Der Nutzer  will ein schickes Portal mit "Fietschers": Bilder hochladen, ein Blog aufsetzen, Freunde gruschelnTM, Leute kennenlernen und mehr. Es ist ihm zuerst einmal egal, was mit seinen Daten passiert, solange er das Gefühl hat, er befindet sich nach einer Authentisierung in einem "geschützten Bereich", wo eben nicht jeder hineinkann. Er oder sie wird erst dann vielleicht auf Sicherheitsprobleme aufmerksam, wenn er Mails von seltsamen Firmen bekommt oder sie von irgendwelchen Widerlingen gegruscheltTM wird. Aber auch in diesem Fall resignieren die meisten und sagen sich, dass im Web eben sowieso nichts sicher ist. Schlimm ist es, wenn dann solche Dinge passieren wie bei Blogg und die über vier Monate angesammelten Kommentare in deinem A-Blog, von denen manche sogar geistreich und/oder witzig sind, verschwinden. Dann ist das Geschrei schon größer.
  • Der Portalbetreiber will "Fietschers". Jede zusätzliche Betätigungsmöglichkeit auf so einem Portal generiert mehr Nutzer. Mehr Nutzer führen zu mehr Page Impressions. Mehr Page Impressions verbessern die Reichweite und die Mediadaten. Bessere Mediadaten locken Investoren und Werbetreibende auf dein Portal. Du musst immer ein Feature mehr als die Konkurrenz haben. Du treibst die Entwickler an, noch dies und noch das einzubauen. Wenn irgendjemand mal aufmuckt und sagt "Aber was ist mit Backups" oder "Über diesen URL kommt doch jeder an die persönlichen Profile", wird er mit etwas Vernünftigem wie der Implementierung von Google-Maps-basierten Mashups oder einer Supergruschelfunktion beauftragt. Sicherheit kann warten. Es ist doch alles gut gegangen bis jetzt.
  • Der Webentwickler will sich auch nicht wirklich um Sicherheit kümmern. Er baut ein Portal auf bestehenden Komponenten auf, in der Hoffnung, dass sich die Leute, die sich diese Komponenten ausgedacht haben, schon selbst Gedanken über Sicherheit gemacht haben. Er hat nie wirklich etwas über Exploits, Backup-Methoden oder Verschlüsselung gelernt, weil das immer so langweilige Themen waren. Mashups machen mehr Spaß. Und PHP geht schneller als Java. Es ist doch alles gut gegangen bis jetzt.
  • Der Investor will sehen, dass sein Geld sich vervielfacht. Er investiert nicht in Sicherheit, sondern in Nutzer und Werbung und eventuell in Premium-Inhalte, die sich die Nutzer etwas kosten lassen. So kommt Geld herein. Sicherheit macht alles nur teurer und bringt keinen direkt ersichtlichen Gewinn. Es ist doch alles gut gegangen bis jetzt.

Und so werden weiter Portale gebaut, Nutzer kommen und melden sich an, Sicherheitslücken werden ausgenutzt, Backups versemmelt und Kleinbloggersdorf hat immer eine Sau, die durchs Dorf getrieben wird.

4 Gedanken zu „Mit Sicherheit kann man keinen Blumentopf gewinnen

  1. Pingback: Blogwerk » Passwörter

  2. Gabi

    Ich muss zugeben das die Ansicht der Investoren etwas für sich hat. Wenn ich n haufen kohle wo reinstecken würde, würde ich mir auch gedanken machen wie ich soviel geld wie möglich rausholen kann.

  3. Matthi

    Blogwerk,
    ich hätte es nicht schöner schreiben können, das mit den Passwörtern, weil ich es wirklich, also wirklich _haargenau_ so mache. Es ist schön, so etwas zu finden.
    Und Grindblog: das Thema ist langweilig, aber es macht große Freue, Deine Beiträge zu lesen. Aus Dir wird noch mal was 🙂
    Viele Grüße,
    Matthi
    P.S. Nein, mehr hatte ich nicht zu sagen, aber ist ja auch mal schön.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert