Keine Updates in der IT, kein Datenschutz

Denken Sie auch, dass die vielen Aktualisierungen in der IT lästig sind? Doch ein Verzicht auf regelmäßige Updates würde den Datenschutz und die Datensicherheit aushöhlen: Viele Datenpannen geschehen, weil es offene Sicherheitslücken in der IT gibt.

Nervige Updates?

Kaum ein Tag vergeht, an dem nicht eine Aktualisierung für IT-Geräte heruntergeladen und eingespielt werden muss. Ob im Beruf oder im Privatleben: Die Apps auf Smartphones und Tablets, die Betriebssysteme und Anwendungen auf den PCs und Notebooks, ja sogar die Fernbedienung und das Smart-TV benötigen immer wieder eine Aktualisierung der Software.

Dabei sind neue Funktionen und Erweiterungen eher die Ausnahme. Schaut man sich an, warum eine Aktualisierung ansteht, wird das Update meist mit notwendigen Fehlerbehebungen begründet. Die meisten Fehler aber sind Probleme für den Betrieb des Geräts und für die Sicherheit der Daten.

IT-Fehler sind oftmals Schwachstellen

Die Fehler in der Software passieren meist ungewollt während der Entwicklung. Die Programmiererinnen und Programmierer entdecken ihre Fehler erst spät oder sogar zu spät. Internetkriminelle suchen aktiv nach Fehlern in der IT, um sie auszunutzen und zum Beispiel Berechtigungen und Zugriffsmöglichkeiten zu erlangen, die sie nicht haben sollten.

Die Fehler in der IT sind deshalb auch Schwachstellen oder Sicherheitslücken. Sie machen die gefürchteten und immer stärker zunehmenden Cyberangriffe erst möglich. Eine IT ohne Schwachstellen ließe sich nicht missbrauchen, doch leider gibt es keine fehlerfreie IT.

Wenn Updates zu spät kommen

Kommt es zu einem Angriff, bevor die Schwachstelle durch Updates, auch Patches genannt, behoben ist, haben die Internetkriminellen und Datendiebe meist leichtes Spiel. Viele Datenschutzverletzungen entstehen durch solche Cyberattacken, die IT-Schwachstellen ausnutzen. Tatsächlich sind IT-Sicherheitslücken und entsprechende Angriffe inzwischen eine der Hauptursachen für Datenpannen, wie die Datenschutzaufsichtsbehörden regelmäßig melden.

Nun könnte man denken, die Schwachstellen werden nicht rechtzeitig behoben, weil es keinen Patch dafür gibt. Das kommt zwar vor. Doch sehr häufig würde es durchaus schon ein Sicherheitsupdate geben, aber das jeweilige Unternehmen oder der betroffene Nutzende haben das verfügbare Update nicht installiert. Teils liegt dies an der Unkenntnis, dass es bereits ein Update gibt. Teils wird aber auch der Aufwand für die vielen Aktualisierungen gescheut.

So sagte zum Beispiel Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein: „Mit Sorge blicke ich auf das Thema Informationssicherheit“. So hätten immer noch viele Organisationen ihre Hausaufgaben nicht gemacht, um bekannte Schwachstellen in IT-Systemen zu beseitigen. „Die Datenpannen-Meldungen zeigen uns, wie solche Sicherheitslücken immer wieder ausgenutzt werden und oft auch Daten abfließen können“, so Marit Hansen weiter.

Viele Schwachstellen bleiben offen, obwohl ein Update verfügbar wäre

Ein Beispiel zeigt, wie gefährlich es sein kann, ein verfügbares Update nicht zu installieren. So berichtete das Bundesamt für Sicherheit in der Informationstechnik (BSI) davon, dass bei einem weltweit breit gestreuten Angriff Tausende Server mit Ransomware infiziert und kriminell verschlüsselt wurden, um Lösegeld zu erpressen. Dabei nutzten die Angreifer eine Schwachstelle in einer bestimmten IT-Lösung aus, die bereits lange bekannt war und für die es schon länger eine Fehlerbehebung gab.

Es ist zwar auch richtig und wichtig, eine bereits ausgenutzte Schwachstelle zu schließen, also „die Tür zu schließen“, durch die die Angreifenden gekommen waren. Doch weitaus besser wäre es, nicht erst nach dem erfolgreichen Angriff die Empfehlungen zur Behebung der Schwachstellen zu lesen und umzusetzen. Mit dem erfolgreichen Angriff ist es sehr oft bereits zu einer Datenpanne gekommen.

Tipp: Priorisieren, Automatisieren und die Bedeutung der Updates bedenken

Statt die Vielzahl der Updates zu beklagen oder sogar verfügbare Updates nicht zu installieren, sollten Unternehmen wie auch Privatpersonen überlegen, wie sie den zweifellos bestehenden Aufwand verringern, aber auch rechtfertigen können.

Zum einen sind nicht alle Updates gleichermaßen kritisch. Denn die möglichen Folgen einer offenen Schwachstelle unterscheiden sich. In Schwachstellen-Datenbanken gibt es deshalb zu Schwachstellen und Updates in aller Regel eine Bewertung, wie hoch das Risiko durch die jeweilige Schwachstelle ist.

Sind der mögliche Schaden und die Wahrscheinlichkeit eines Angriffs hoch, muss die betreffende Schwachstelle eine hohe Priorität zur Behebung erhalten. Dabei sollten möglichst Lösungen genutzt werden, die Updates automatisch herunterladen und installieren oder aber zumindest auf die verfügbaren Updates hinweisen.

Nicht zuletzt sollte man bedenken: Ohne Updates ist heute kein Datenschutz mehr möglich. Es würden Löcher bleiben, durch die Daten abfließen können, Datenpannen wären oft die Folge. Updates gehören deshalb zum Datenschutz dazu.