Security und Werbung

Testsieger, Marktführer und was dahinter steckt

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Werbung ist heute überall und unausweichlich, auch bei der IT-Sicherheit. Den Angaben und Zahlen vieler Hersteller sollte man aber mit einer gewissen Skepsis begegnen.
Werbung ist heute überall und unausweichlich, auch bei der IT-Sicherheit. Den Angaben und Zahlen vieler Hersteller sollte man aber mit einer gewissen Skepsis begegnen. (Bild: gemeinfrei / Pixabay)

Werbung und Marketing sind heutzutage allgegenwärtig, sogar in der IT-Sicherheit. Es geht darum, potenziellen Kunden einen Impuls zu geben, sich mit einem Thema oder Produkt auseinanderzusetzen und dies letztendlich zu erwerben oder Sympathie dafür zu entwickeln. Werbebotschaften sind mitunter schwer erkennbar, aber ihre suggestive Botschaft kommt trotzdem an.

Üblicherweise erwartet man Werbung verstärkt im Consumer-Bereich und weniger in spezifischen Segmenten, wie z.B. IT Sicherheit. Doch der Markt ist lukrativ und um gegenüber den Mitbewerbern zu punkten, sind auch Werbemaßnahmen ein legitimes, wenn nicht sogar zwingend erforderliches, Werkzeug.

Unsere Firewall wird empfohlen!

Auch in der IT wird daher kräftig geworben. Einerseits mit fachlichen Aspekten und statistischen Aussagen, aber auch mit Botschaften, die sich erst durch die Interpretation des Anwenders ergeben. Dies ist ein eleganter Weg, um ein Gegengewicht zu vergleichender Werbung (Seit dem Jahr 2000 in Deutschland erlaubt unter bestimmten Regeln) zu schaffen. Denn die Interpretation einer Botschaft oder einer Frage unterliegt bei einem komprimierten Informationsrahmen immer der Zielperson beziehungsweise Zielgruppe.

Paradebeispiel ist hier der Autofahrer, der von seinem Navigations-System aufgefordert wird „Bitte rechts halten!“ und auf der vielbefahrenen Autobahn auf dem Standstreifen stehen bleibt. Dass er bei der nächsten Abzweigung rechts fahren soll, anstatt geradeaus zu fahren oder links abzubiegen kommt ihm nicht in den Sinn.

Auch bei der häufig anzutreffenden Werbeaussage nach dem Prinzip Mehrheitsempfehlung („Mehr als 80 Prozent aller Befragten würden das Produkt weiterempfehlen!“) wird die Interpretation durch die Zielgruppe vorgenommen. Falls es sich bei dem Produkt um eine „Firewall“ handelt, wäre 80 Prozent ein akzeptables Ergebnis und könnte zum Kauf anregen. Was aber wirklich gesagt wird ist ggf. abweichend von der Interpretation des Anwenders.

  • Wir wissen nicht, ob die Befragten das Produkt überhaupt einsetzten.
  • Es ist unbekannt, ob den Befragten das Produkt überhaupt bekannt ist.
  • Warum wird es weiterempfohlen? Ist es so gut, oder will man das andere auch damit „Schiffbruch“ erleiden?
  • Welche Personen wurden befragt? Angestellte des Herstellers?
  • Eine Weiterempfehlung ist meistens ein „Bauchgefühl“ und keine technisch fundierte Qualitätsaussage.

Man sollte nun aber nicht den Fehler machen, und die Werbung verteufeln – denn seien wir ehrlich, den Fehler haben wir selbst gemacht! So wie bei Verträgen fast niemand das Kleingedruckte liest, so werden auch bei der Werbung die Aussagen vorbehaltlos konsumiert, ohne diese zu hinterfragen! Anwender-Interpretationsfehler wie das Parken auf dem Standstreifen der Autobahn lassen sich meistens schnell aufklären. Bei der IT Sicherheit sieht es anders aus, hier die richtige „Abzweigung“ zu nehmen ist deutlich schwieriger.

Anscheinend ist die IT Sicherheit geradezu prädestiniert, für „kreative Interpretationen“. Gerade deshalb sollte man in diesem Themenfeld sehr genau lesen, was Fakt ist und sich nicht vom eigenen Verstand zu Schlussfolgerungen verleiten lassen, die nicht belegt sind.

Wir sind Marktführer!

Das großartige ist, jeder ist irgendwo Marktführer, man muss nur die Definition entsprechend granular gestalten. Aber es geht auch wesentlich einfacher, beispielsweise indem man wieder auf die Interpretation des Anwenders vertraut.

Die Feststellung „Ich habe Platz 1 belegt, bei dem Vergleichstest …“ ist eine mächtige Aussage, denn sie zeigt den Klassenbesten. Aber ebenso wie bei manchen Fluggesellschaften, wird auch der Platz 1 in Wettbewerben mitunter doppelt vergeben. Dies ist dann der Fall, wenn identische Leistungen vorliegen oder doch so nahe beisammen sind, dass keine eindeutige Unterscheidung möglich ist (beispielsweise beim 2er-Bob-Wettbewerb der Männer, bei der Winterolympiade 2018).

Wirft man zum Beispiel einen Blick auf Testergebnisse von AV-Test aus Magdeburg für Virenscanner unter Windows im privaten Umfeld vom Februar 2019, findet man auch 6 Top-Produkte von denen 3 Tools allesamt in jeder Kategorie 6 Punkte erreichten. Im Test von AV-Test sind demnach die Tools von McAfee, F-Secure und Norton die Gewinner. Allerdings könnte nun jedes Top-Produkt für sich geltend machen, den Vergleichstest als Top-Produkt gewonnen zu haben. Erstellt man eine eigene Tabelle, setzt das eigene Produkt an erster Stelle und fügt noch einige Tools der anderen Hersteller hinzu, die weniger Punkte erreicht haben, schon hat man eine positive Marketing-Aussage, bei der alles korrekt ist.

Nun wird sicherlich keiner der AV-Herstellers es nötig haben, auf so plumpe Art, um Aufmerksamkeit zu buhlen und Qualitäten für sich reklamieren, die vom ursprünglichen Testergebnis abweichen. Aber wieder gilt, dass man das was man überprüfen kann, auch selbst verifizieren sollte. Beziehen sich Produkt-Anbieter, auf Leistungsbewertungen sollte man:

  • Den Test und die Bewertungskriterien kennen und verstehen
  • Einschätzen, ob die Kriterien für die eigene Anwendung überhaupt relevant sind („Einfache Konfigurierbarkeit“ ist beispielsweise weniger wichtig, wenn Default-Konfigurationen durch den Administrator vorgegeben werden)
  • Das Datum der Werteermittlung, die getesteten Versionen und die jeweils genutzte Hard- und Software-Basis für das OS kennen
  • Die Kosten für das Produkt, die Wartung und Lizenzaufwendungen berücksichtigen

Wobei die Krux ist, wir als Kunde erwarten nur das Beste, das was eben nur der Marktführer liefert. Denn wer will schon sein Geld für Produkte oder Dienstleistungen ausgeben, die „nur“ vom zweitbesten oder gar drittplatzierten sind? Aber trotzdem sollte man auch hier, die Interpretation dessen was gesagt, oder auch nur angedeutet wird, immer verifizieren und nicht vorbehaltlos ohne eigene Beurteilung akzeptieren.

Hacker und Cyberkriminelle sind allgegenwärtig!

Erschreckenderweise gehört es heute schon zum Alltag, dass irgendwo auf der Welt Unternehmen gehackt werden und eine Vielzahl von Daten entwendet werden. Die Reaktionen darauf sind meistens nur punktuell und zeitlich begrenzt – der Aktienkurs sinkt vorübergehend, man liest einige Tage in der Presse über den Vorfall und hier und da stornieren Kunden Aufträge. Aber das war es meistens auch schon. Mit einem massiven Schaden oder gar einem drohenden Konkurs müssen sich in der Regel nur kleine und ggf. mittelständische Unternehmen herumschlagen.

Die Security-Industrie kann aber von „schlechten Nachrichten“ durchaus profitieren, denn die Sorge der Unternehmen zu den Opfern zu zählen forciert die Nachfrage nach besseren Tools, die zuverlässiger von Cyberkriminellen und deren Aktivitäten schützen. Honeypot-Systeme ebenso wie ein IDS sind hier bewährte Tools, um eine Gefährdungslage einzuschätzen. Jedoch sind nicht jedes Telnet-Kommando oder jeder Netzwerk-Ping, welche protokolliert werden, gleich die Vorstufe zu einem Hacker-Angriff. Üblicherweise analysiert man Logs und oder zählt typische Verhaltensmuster. Wie das entsprechende Regelwerk eines IDS oder eines Honeypot-Systems agiert, ist immer individuell geregelt. Dies bedeutet, dass beispielsweise ein Ping auf einem System bereits als Angriff gezählt wird, während er auf einem anderen System ignoriert wird.

Ebenso gilt, dass eine steigende Gefährdungslage innerhalb einer einzelnen Branche mitunter darauf zurückzuführen ist, dass ein Security-Dienstleister die Logs der kooperierenden Unternehmen auswertet. Wenn der Auftraggeber aber ein Dachverband für die KFZ-Zulieferindustrie ist, liegt eine Zunahme der Gefährdungslage in dieser Branche auf der Hand, da andere Log-Dateien andere Branchen nicht analysiert wurden und somit in Relation betrachtet werden können. Liest man aber die Berichte und analysiert die Aussagen, kommt man zu der Interpretation, dass alle diese Scans/Angriffe von Cyberkriminellen gestartet wurden. Also Hacker, die nur darauf warten schlecht oder falsch konfigurierte System anzugreifen.

Ob es aufgrund der Scan-Ergebnisse zu Angriffen kam, wird nur selten detailliert ausgeführt. Die Wahrscheinlichkeit ist sehr hoch, dass bei den Scans auf Honeypot-Systemen und Intrusion-Detection-Systeme auch Hacker auf der Suche nach Schwachstellen dabei waren, kein Widerspruch! Aber es können auch IT-Administratoren gewesen sein, die Netzwerkstatistiken sammeln oder im Auftrag eines ISP die Sicherheit der Kundennetze überprüfen. Auch Bot’s waren mit Sicherheit dabei, die von WWW-Infrastrukturdiensten gestartet wurden. Ohne eine Analyse der detaillierten Daten, wie sie hoffentlich in verlinkten Reports zugänglich sind, gilt auch hier wieder, dass man nicht jede Aussage unvoreingenommen akzeptieren solle.

Begrifflichkeiten!

„Über X-Millionen neue Schadprogrammtypen wurden im Jahr 2018 entdeckt“! Diese Meldung schockiert jeden Security-Verantwortlichen, denn bei täglich durchschnittlich mehr als 21.000 Schadprogrammtypen ist an einen ruhigen Nachtschlaf eigentlich nicht mehr zu denken. Allerdings schlafen die meisten der Anti-Malware-Verantwortlichen trotzdem gut. Nicht weil sie verantwortungslos sind, sondern da sie wissen, dass hier von Varianten einer Schadsoftware die Rede ist.

Für Laien ist „Schadprogrammtypen“ gleichbedeutend mit „neuer Malware“. Wobei dies nicht ganz korrekt ist, denn in einem Jahr wurden zwar soundsoviele Millionen Samples bekämpft, aber wahrscheinlich handelt es sich zum Großteil um automatisch erstellte Varianten bereits existierender Malware. Diese Varianten entstehen, wenn ein Sourcecode neu verschlüsselt wurde oder mit anderen Methoden der Verschleierung bearbeitet wird.

Heutige Top-Produkte können aber mit anderen programmtechnischen Strategien diese Vielzahl von Varianten sicher erkennen und so der Schadsoftware wieder ein Schnippchen schlagen. Aber die Anzahl der real neu programmierten Schadsoftwareprogramme ist tausendfach geringer, als die oft angegebenen Millionenwerte. Denn um 8 Millionen neue Malware-Programme zu erstellen, gäbe es wahrscheinlich, dem Fachkräftemangel sei Dank, nicht genug Experten auf der Welt.

Die Kluft zwischen dem, was technische Experten sagen und dem, was Endanwender verstehen, zeigt sich an diesem Beispiel deutlich. Die Anti-Malware-Hersteller sagen korrekt, was sie geleistet haben, der Anwender interpretiert aber diese Aussage auf seine Art und Weise, da ihm entsprechendes Fachwissen fehlt. Erfreulicherweise können aber die Security-Unternehmen in Ihren Berichten hier eine Erklärung vorausschicken oder alternative Begriffe verwenden, die Missverständnisse reduzieren – deswegen wird niemand deren immense technologische Leistung als geringwertiger erachten.

Ergänzendes zum Thema
 
Die Kosten eines Cybervorfall

Der böse Durchschnitt

Das Thema, welches die wildesten Blüten treibt, sind die Kosten je Vorfall. Hier wird sehr viel Platz für Interpretationen gelassen während jedoch die Summe der belastbaren Basisfaktoren äußerst gering ist.

Üblicherweise spricht man von „Cyber-Kriminalität“, Cyber-Schadensfall oder „Internetkriminalität“ ohne die tatsächliche Angriffsart zu benennen. Denn ein Hacker der eine Backdoor installiert, eine erpresserische Ransomware-Attacke, der Missbrauch des Computer-Systems durch Bitcoin-Mining , eine Vireninfektion der die Störung eine Cloud-Systems durch eine beschädigte Software verursachen unterschiedliche Kosten.

Bei einem Versicherer, wie Exali, der u.a. gegen Cyber-Delikte versichert, kann man die pauschale Aussage wie „Gefahr durch Cyberkriminalität nimmt zu“ erwarten und dies genügt auch für das Versicherungsgeschäft. Aber bei einem Security-Unternehmen, das sich konkret mit der Bedrohung auseinandersetzt erwartet man spezifischere Daten!

Das Problem ist, dass man anscheinend nicht in der Lage ist, präzise Daten zu liefern oder diese nicht liefern will! Dies liegt auch oft daran, dass man sich auf Untersuchungen bezieht, die man selbst nicht durchgeführt hat, sondern von dritten adaptiert hat. Dies lässt viel Spielraum für Interpretationen bei den Kosten zu.

Ein Finanzdienstleister, der an der Börse spekuliert, hat ganz andere Ausfallkosten, als ein nationaler Paketzusteller oder ein kleiner Handwerksbetrieb, bei dem die Auftragsdisposition durch Ransomware lahmgelegt ist. Auch die Personalkosten sind immer ein individueller Faktor – in einem Niedriglohnland ergeben sich hier andere Kalkulationswerte, als in Deutschland oder England. Auch die Anzahl der betroffenen Systeme ist immer spezifisch zu betrachten inklusive der Folgearbeiten. 50 Systeme werden in einem Großunternehmen einfach neu aufgesetzt – Zeitverlust 2 Stunden – in einem KMU fallen dagegen 2 Arbeitstage an, da der Systemadministrator fast alles manuell machen muss und keine PC-Fertigungsstraße besitzt.

Aber im Durchschnitt werden alle unterschiedlichen Kosten zu einem Einheitsbrei vermengt, der alles berücksichtigt. Differenzierte Betrachtungen wie in einem Blog-Beitrag von Kaspersky Lab sind hier eher die Ausnahme. In einem Beitrag vom Juni 2018 berichtetet Kaspersky Lab, dass von 6000 weltweit befragten Mitarbeitern verschiedener Firmen (und Firmengrößen), die Kosten je Schadensvorfall in der Wahrnehmung angestiegen sind. So kostet ein Großunternehmen ein Vorfall durchschnittlich 1,23 Mio. US-Dollar, währen ein KMU durchschnittlich mit nur 120.000 US-Dollar zur Kasse gebeten wird. De facto ist es so, dass sich Meldungen über die durchschnittlichen Kosten je Cybervorfall, ohne weitere Recherchen nur sehr eingeschränkt für Rückschlüsse eignen. Der Durchschnitt verdingt sich hier als „Gleichmacher“, der eine realistische Kalkulation sehr erschwert.

Abschlussbemerkung

Veröffentlichten Zahlen und Aussagen im Security-Umfeld sollte man immer mit einer gewissen Skepsis begegnen. Denn meistens sind nicht alle relevanten Fakten genannt und forcieren so die Nutzung von individuellen Annahmen, die auf verschiedenen Erfahrungswerten basieren. Aber ebenso ist es üblich, Werte von anderen Berichten Analysen oder Personen zu übernehmen, ohne diese im Detail zu verifizieren.

Der Trend, der zum Ausdruck gebracht wird, Steigerung der Kosten, Wachstum von Schadsoftware oder Spezialisierung von Cyberkriminellen entspricht zwar mehrheitlich den Gegebenheiten, aber die genannten Fakten sind ebenso oft nicht qualitativ genug, um dies zu belegen. Daher sollte man dem Trend zwar Glauben schenken, aber für Details und realistische Werte selbst investigativ agieren, um unsinnige Aktivitäten zu vermeiden, oder Budgets für falsche Schwerpunkt-Themen auszugeben.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45947189 / Sicherheits-Policies)