Auf Twitter hatte sich unlängst ein Sturm der Entrüstung gegen die Österreichische Telekom gerichtet. Grund war der Tweet einer Mitarbeiterin, der suggerierte, dass Passwörter in reiner Textform auf den Servern des Unternehmens gespeichert wurden. Das Problem eskalierte, weil
- die Mitarbeiterin dies öffentlich diskutierte
- falsche Behauptungen gemacht wurden
- die Mitarbeiterin nicht trainiert genug war
Falsches Versprechen
Was den Sturm so richtig in Schwung brachte war das Versprechen, dass die Passwörter bei der Firma gut geschützt seien, auch ohne Verschlüsselung. Zahlreiche Sicherheitsexperten machten sich darauf an die Arbeit, die Webseite zu untersuchen und dort Schwachstellen zu identifizieren. Das sollte als Beweis dienen, dass es eben nicht so weit her sei mit der Sicherheit wie gedacht. Andere Telekom-Ableger in Deutschland und den USA mussten sofort erklären, dass ihre Daten alle verschlüsselt seien. Und schließlich kam noch ein Hinweis, dass ein Nicht-Verschlüsseln sogar ein Verstoß gegen eine EU-Richtlinie sei.
Was Entwickler davon lernen können
Ein Kunde muss wissen, dass seine Webseite so sicher ist wie der Entwickler sie nach Stand der Technik machen kann. Man sollte einem Kunden niemals 100 Prozent Sicherheit versprechen, allerdings sollte man als Entwickler auch die neueste Technik und relevante Standards einsetzen, wenn es um die Sicherheit geht. Das betrifft nicht nur das Frontend, sondern vor allem auch das Backend und die auf dem Server gespeicherten Daten. Sollte aber jemand einen Hinweis geben das es ein Sicherheitsproblem gibt, dann sollte dieser sehr ernst genommen und keineswegs abgetan werden. In so einem Fall sollte so schnell wie möglich reagiert und das Sicherheitsproblem gelöst werden. Eine schnelle Reparatur kostet immer noch weniger, als wenn am Ende wichtige und vertrauliche Daten gestohlen und womöglich veröffentlicht werden.