Software
Softwaresicherheit ist das Fundament des unternehmerischen Erfolges
Noch nie wurde es deutlicher als in der jetzigen Zeit, wie elementar die Sicherheit von Software für die Arbeit von Unternehmen und der Wirtschaft insgesamt ist. Zu allerlei kriminellen Solisten und Organisationen gesellen sich in der derzeit fragilen Weltlage nach Einschätzung von Fachleuten auch zunehmend auch Hacker, die in den Diensten autoritärer Regime stehen. Softwaresicherheit bedeutet allerdings nicht nur, sich gegen gefahren von außen zu wappnen. Auch innerhalb der Organisation oder des Unternehmens selbst gewährleistet eine sichere Software eine gute Bedienbarkeit und Funktionalität und trägt dazu bei, dass sensible Daten vor unbefugtem Zugriff geschützt sind. Im „Leitfaden zur Sicherheit softwarebasierter Produkte“ weist der Fachverband Bitkom auf die Chancen, aber auch auf die Gefahren und Bedrohungsszenarien hin. Die Fachleute des Verbandes weisen darauf hin, dass es insbesondere auf ein hohes allgemeines Verständnis für die Softwaresicherheit ankäme – und zwar auf der Seite der Entwickler wie auch auf Seite der Anwender.
Woran kann man sichere Software erkennen?
Das ist die Gretchenfrage, die sich leider nicht ganz so einfach beantworten lässt. Es gibt keinen hundertprozentigen Beweis, dass eine Software wirklich als sicher einzustufen ist. denn es kommt nicht nur auf die Eigenschaften der Software, sondern auch auf den Anwendungsbereich und die Anwender an. Allerdings gilt Markensoftware etablierter Hersteller zumeist als besonders sicher und wird von Branchen- wie Verbandsvertretern gerne empfohlen. Dort, wo eine solche Software nicht zur Verfügung steht (etwa für individuelle Anwendungen, bei denen keine Software „von der Stange“ erhältlich ist), dienen anerkannte Zertifikate als Indikatoren für hochwertige Produkte. Ein Beispiel dafür ist Adobe Premiere Elements für die professionelle Foto- und Videobearbeitung.
Auch diese können Sicherheitslücken allerdings nicht vollständig ausschließen, da sich solche Schwachstellen häufig erst im Laufe der Nutzung zeigen oder neu auftun. Der Kauf von Software oder Softwarelizenzen über vertrauenswürdige Anbieter ist ein weiterer Baustein für die Software- und Cybersicherheit. Ein Adobe Foto-Abo enthält nicht nur die umfassende Lizenz für die Nutzung, sondern impliziert selbstverständlich auch die Updates des Herstellers.
Gibt es fehlerfreie Software?
Von technischen Produkten wie der Waschmaschine oder dem PKW erwartet man eine einwandfreie Funktionsweise. Ist diese nicht gegeben, kommt es unter Umständen zu einer Rückrufaktion von Seiten des Herstellers, der die erkannten technischen Mängel beziehungsweise Sicherheitslücken beheben lässt. Software ist zwar nicht greifbar wie die genannten technischen Geräte. Wer jedoch einmal die Perspektive eines Entwicklers einnimmt, erkennt den hochkomplexen Aufbau des Programms. Dieser steht den benannten Geräten in keiner Weise nach. In allen genannten Fällen erfolgen die Konstruktion und Entwicklung durch Menschen, die nicht vollkommen frei sind von Fehlern. Zwar können diese Entwickler auf Fachwissen und einen Erfahrungsschatz zurückgreifen und arbeiten in der Regel auf Basis früher konzipierter Produkte. Dennoch zeigt sich manch ein Fehler erst nach einer Zeit der Nutzung oder ergibt sich als Sicherheitsproblem durch später erarbeitete Tests beziehungsweise Analyseverfahren. Was bei der Herstellung oder Entwicklung noch als sicher eingestuft werden konnte, erweist sich also zu einem späteren Zeitpunkt womöglich als Sicherheitslücke – ohne dass man dem Entwickler dies zum Vorwurf machen könnte.
Natürlich ist ein Rückruf von Software, die in verschiedenen unternehmerischen beziehungsweise organisatorischen Prozessen tagtäglich vielfältig genutzt wird, nicht in der gleichen Form wie bei physischen Produkten möglich. Da es bei Software allerdings unumgänglich ist, neu erkannte Sicherheitslücken zu schließen, bieten die Hersteller Updates an, die regelmäßig oder im Bedarfsfall durchgeführt werden. Dieser Vorgang erfolgt meistens über die Online-Verbindung des Arbeitsplatzes beziehungsweise des Netzwerkes, in bestimmten Fällen wird die Service-Wartung aber auch durch den Außendienst des Softwareherstellers beziehungsweise dessen Vertragspartner unmittelbar am betreffenden Arbeitsplatz durchgeführt. Häufig dient ein Update gleichzeitig auch dazu, die Software mit neuen Funktionen zu versehen und somit nicht nur sicherer, sondern auch besser zu machen.
Wie können Anwender zu einer höheren Softwaresicherheit beitragen?
Die meiste im Alltag genutzte Software ist kein fertiges Produkt, sondern unterliegt einem laufenden Entwicklungsprozess, an den sie durch Updates immer wieder angeglichen wird. Wenn ein Update nicht installiert wird, kann dies nicht nur zu Funktionsfehlern bei der Nutzung der Software führen, sondern auch eine neue Lücke in der Software- beziehungsweise Cybersicherheit darstellen. Die Installation von Updates ist also ein wichtiger Beitrag für die Sicherheit. Gleichzeitig sollten Nutzer die Software und ihren Arbeitsplatz als Ganzes so weit wie möglich an die eigene Arbeitsweise anpassen. Dazu gehört auch die Verwendung von Sicherheitssystemen, um einen unbefugten Zugriff physischer wie virtueller Natur zu unterbinden. Ein Passwortschutz ist hierbei das Minimum, je nach genutzter Software beziehungsweise eingesetztem System gibt es weitere Möglichkeiten darüber hinaus.
Wer haftet, wenn ein Softwarefehler zu einem Schaden führt?
Im Prinzip kann ein Hersteller beziehungsweise Entwickler auch bei Software gemäß den Grundsätzen der Produkt- und Produzentenhaftung haftbar gemacht werden. Allerdings beschränkt sich die Haftung auf Schäden an Rechtsgütern von besonderem Wert, etwa der Gesundheit oder des Eigentums. Damit es nicht zu einem Haftungsfall kommt, bietet der Hersteller Updates an, die mit einer Mitwirkungspflicht des Nutzers verknüpft sind: Entsteht eine Sicherheitslücke aufgrund der Tatsache, dass ein Update zur Verfügung stand, aber nicht installiert wurde, kann der Hersteller normalerweise nicht in Regress genommen werden. Wenn eine Organisation oder ein Unternehmen nicht mit Markensoftware, sondern mit Open Source arbeitet, so lässt sich in der Regel keine externe Stelle für einen entstandenen Schaden in Haftung nehmen – übrigens auch dann nicht, wenn die Sicherheitslücke eigentlich durch die Installation eines Updates behoben sein sollte.