Seit Jahren schon hat sich das Thema IT-Sicherheit in den Nachrichtensendungen im Fernsehen und in den Tageszeitungen breit gemacht. Ein Skandal um geklaute Kreditkartendaten, öffentlich zugängliche Bewerbungsunterlagen oder  Geheimdienstakten auf verlorenen USB-Sticks jagt den Anderen.Vertrauliche Daten werden öffentlich oder kommen in falsche Hände.

Jedes mal, wenn ich derartiges höre, denke ich: haben die Verantwortlichen in den betroffenen Konzernen oder Behörden nicht schon mal etwas von der Existenz von Verschlüsselungstechniken und Passwörtern mitbekommen? An den technischen Möglichkeiten kann es doch nicht liegen. An Informationsmöglichkeiten und Experten scheint es auch nicht zu mangeln. Selbst Firmen die sich auf IT-Sicherheit spezialisiert haben sind betroffen.

Anscheinend wissen gerade diejenigen, die mit sensiblen Daten arbeiten nichts von IT-Sicherheit oder es handelt sich um Ignoranz, Bequemlichkeit und mangelndes Problembewusstsein.Testinstallationen werden ohne Modifikation im Produktiveinsatz verwendet. Dabei werden praktischer Weise gleich die Standardeinstellungen mit Standard-Passwörtern oder ohne Passwort übernommen. Dem Administrator ist es zu lästig beim Testen komplizierte Passwörter wiederholt einzugeben. Anwender können sich Passwörter nicht merken und verwenden entweder keine oder schwache Passwörter. Oder das Passwort hängt „öffentlich“ als Klebezettel am Monitor.

Die Gefahr droht nicht so sehr von bösen hochbegabten Hackern, die es gerade auf Ihren PC oder Server abgesehen haben, sondern von Kleinkriminellen, sogenannten Skript-kiddys, die mit fertiger Software, automatisiert nach den einfachsten Schwachstellen suchen. So wie Autoradios und Wertsachen aus unverschlossenen Autos gestohlen werden. Simples ausprobieren reicht schon.

Anscheinend existiert bei vielen IT-Anwendern kein Bewusstsein für IT-Sicherheit. Passwörter werden als störend empfunden, die Bedrohung wir ignoriert. Jede halbwegs moderne Software verfügt heute über ausreichende Sicherheitsmechanismen um die meisten potentiellen Angriffe leicht abzuwehren, man muss sie nur nutzen.

Was ist jetzt zu tun um das allgemeine Sicherheitsniveau zu erhöhen? Mein Vorschlag ist erstens dem Anwender durch technische Lösungen das Nutzen von Sicherheitsmaßnahmen zu vereinfachen und zweitens das Etablieren einer Sicherheitskultur.