27.02.2018 | Bochum, Autor: Tim Berghoff

Profit durch Sicherheitslücken

Zwischen Aktien und Bugbounties

Es gibt viele Aspekte um Meltdown und Spectre, die einen faden Beigeschmack haben. Einer davon ist der Verkauf eines millionenschweren Intel-Aktienpakets kurz vor Bekanntwerden der Sicherheitslücken in Intels Prozessoren.

Dass man mit Sicherheitslücken auch über die wichtigen und richtigen Bug Bounties hinaus Geld verdienen kann, dürfte spätestens seit den Berichten über Sicherheitslücken in Herzschrittmachern klar sein. Auch hier wurde ein ansehnlicher Gewinn erzielt, indem man Termingeschäfte geschickt mit dem Publikmachen einer Sicherheitslücke kombinierte. Auch, wenn Herzschrittmacher und Prozessoren in der Sache nur wenig miteinander zu tun haben, so scheint hier genau der Fall einzutreten, den wir vor etwas mehr als einem Jahr bereits in Ansätzen vorausgesagt haben: nämlich, dass das Wissen um eine Sicherheitslücke genutzt werden kann, um an Aktienmärkten gute Geschäfte zu machen.

Profit um welchen Preis?

All dies passiert jedoch auf dem Rücken der Anwender. Wenn Hersteller bereits früh um eine Sicherheitslücke wissen (wie seinerzeit St Jude Medical oder jetzt Intel) und aufgrund dieser Informationen zunächst ihre finanziellen Schäfchen ins Trockene bringen, bevor der Aktienkurs durch die Veröffentlichung der Berichte fällt, dann hat dies weitaus mehr als einen schalen Beigeschmack. Man könnte hier unterstellen, dass Sicherheit zu Lasten des Profits einzelner oder eines Unternehmens geht. Gerade im aktuellen Fall betreffen die potenziellen Auswirkungen der Hardware-Sicherheitslücken noch weit mehr Menschen als im Fall der angreifbaren Herzschrittmacher. Hier sollte Sicherheit oberste Priorität haben.

Vertrauen ist gut – aber geht das besser?

Dass Informationen mit dieser Tragweite erst beinahe ein halbes Jahr später veröffentlich werden, ist nicht dazu geeignet, das Vertrauen von Anwendern zu mehren. Das Gegenteil ist der Fall. Und dieses Misstrauen färbt auch auf andere Bereiche ab. Einer G DATA-Studie zur Folge sind sieben von zehn Anwendern nicht davon überzeugt, dass ihre Daten (beim Online-Shopping) sicher sind. Diese Zahl lässt sich sicher zu einem gewissen Grad auch auf andere Felder übertragen.

Dabei ist Vertrauen (sowohl in den Hersteller aus auch dessen Sicherheitskonzept) eine der wichtigsten Säulen, mit der das Gesamtkonstrukt „IT-Sicherheit“ steht – und auch fällt.


Share this article

G DATA | Trust in German Sicherheit