Auch der beste SDL (Security Development Lifecycle), Rolling Updates in den aktuellen Betriebssystemen und noch so viele Patch Tuesdays bewahren anscheinend nicht davor, dass der eigene Dienstleister versagt: Die Parkhaussteuerung am Microsoft-Firmensitz sollte normalerweise nicht aus dem Internet erreichbar sein. Trotzdem konnte man auf die Server in Redmond problemlos zugreifen. Immerhin war das Problem schnell behoben.
Man kann glauben oder auch nicht, dass die Pornobranche der eigentliche Treiber für technologische Entwicklung im Internet ist. Unumstritten ist sie eine der Vorreiterinnen bei der Massentauglichmachung von Innovationen (Streaming, Flash, HTML5, Online-Payments, Mobile First, VR/AR …) – und eine wertvolle Quelle für (Security-)Informationen. So hat Google inzwischen davon Abstand genommen, Zahlen zur Verteilung der Versionen seines Android-Mobilbetriebssystems zu veröffentlichen – zu peinlich war möglicherweise die geringe Marktdurchdringung der neuesten Releases. Jährlich veröffentlichte Zahlen des Anbieters Pornhub zeigen nun, dass lediglich zwei Prozent der Nutzer von Android-Geräten bereits das im September veröffentlichte Update Android 10 installiert hatten. Bei iOS sieht das Bild erwartungskonform anders aus: Bereits auf 71 Prozent der erfassten Geräte lief das zeitgleich vorgestellte aktuelle iOS 13.
In vielen Unternehmen sind noch „Legacy“-Systeme im Einsatz. Bei Audits finden wir immer wieder Systeme, welchen aktuelle Patches fehlen, Server unter Windows Server 2008 oder Clients unter Windows XP. Das ist problematisch, da diese schwer ausreichend abzusichern sind, auch wenn es prinzipiell möglich ist.
Allzu bunt hat es in den letzten Jahren, um nicht zu sagen Jahrzehnten, die Berliner Justiz getrieben. Nach einer Emotet-Attacke auf das Kammergericht der Hauptstadt musste nun der Berliner Justizsenator höchstpersönlich Fehler einräumen. Das Haus sei “sicherheitstechnisch nicht auf dem Stand” gewesen, “auf dem wir sein müssten”. Es sei ein schwerfälliger Prozess, ein neues Fachverfahren für das Gericht einzuführen und damit das gesamte dortige Computersystem weniger angriffsanfällig zu machen. Am Geld werde es aber nicht scheitern: Es stünden nun erhebliche Mittel im IT-Haushalt bereit.
Dies ist dringend notwendig, ist im Kammergericht doch noch Word 95 im Einsatz. Schon 2017 fanden sich in einem Auditbericht ungewöhnlich eindringliche Worte: „Nicht supportete Software und Betriebssysteme sind ein ernst zu nehmendes Sicherheitsrisiko.” “Bitte warten Sie nicht länger! Budgetieren und unterstützen Sie ein umfassendes Transformationsprogramm.”
Das IT-Dienstleistungszentrum des Landes Berlin (ITDZ) wird das bisher IT-mäßig unabhängige Kammergericht nun “künftig unter seinen Schutzschirm nehmen”.