Seit 30 Jahren sprechen wir im Tagesgeschäft der Informationssicherheit über die gleichen Dinge – schwache Passwörter und unzureichend sensibilisierte Endbenutzer, (zu) mächtige Administratoren, Bedrohungen durch Malware, Hacker und neuerdings auch in stärkerem Umfang das organisierte Verbrechen und (fremd)-staatliche Aufklärungsdienste. Selbst das derzeit stark diskutierte «social engineering» hat es – kaum zu glauben – auch damals und sogar vor der Erfindung der IT schon gegeben.
Natürlich hat sich Manches geändert – die ICT wurde komplexer, und entsprechend komplexer wurde auch die Informationssicherheit. Aus BS 7799 wurde die inzwischen unüberschaubare ISO 2700x Reihe, COBIT entwickelte sich von einer einfachen Checkliste zur Prüfung elementarer Sicherheitsfunktionen beim Einkauf von ICT-Ausrüstung zu einem (zu) mächtigen Audit-Werkzeug für die gesamte Informatik, und aus den bescheidenen Grundschutz-Anforderungen für KMU des BSI wurde eine Sammlung so mächtiger Grundschutzkataloge, dass nun ein eigenes, aufwändiges Projekt diese Sammlung vereinfachen, verschlanken und «back to the roots» führen soll.
Auch die Liste der Bedrohungen und Angreifer hat sich stark erweitert – jedoch leidet die Informationssicherheit unter dem Problem der Additivität ihrer Probleme. Neue Angriffsvarianten kommen stetig hinzu, die alten verschwinden jedoch nicht, so dass alle Aufwände auf der Schutz- und Verteidigungsseite ebenfalls additiv sind und wie schon seit 30 Jahren Fragen nach dem Sinn entsprechender Investitionen und Betriebskosten sowie nach den Grenzen des Einsatzes bzw. dem «richtigen» Schutzniveau herausfordern. In diesem Sinne ist die Informationssicherheit in den Köpfen vieler Entscheidungsträger noch immer ein unbeliebtes Element, das wenn überhaupt dann möglichst spät in entsprechende Vorgaben einbezogen wird.
Ebenfalls unverändert scheint das Zutrauen der eher verkaufsorientierten Mitglieder der Informationssicherheits-Gemeinschaft zu sein, dass der Kauf ihrer Produkte geeignet sei, jegliche Sicherheitsprobleme endgültig (im nächsten Release) zu lösen. Sicher, die Produkte sind funktional mächtiger, leistungsfähiger und optisch ansprechender geworden. Sie sind jedoch auch weiterhin nur allfällige Lösungsbausteine, die erst noch in entsprechende Gesamtdispositive eingepasst und dann auch entsprechend betrieben werden müssen.
Natürlich lässt sich argumentieren, dass diese eher evolutionäre Weiterentwicklung der Informationssicherheit bisher mehr oder weniger ihren Zweck erfüllt hat – der GAU ist ausgeblieben und die vernetzte Dienstleistungsgesellschaft, der vernetzte Bürger und die «always on»-Kultur mittels multifunktionaler, portabler Endgeräte ist nicht aufzuhalten.
Vergleicht man jedoch diese langsame Adaption der Informationssicherheit mit der sprunghaften Entwicklung in anderen Gebieten der Informatik (Smartphones und Tablets mit ihrem «App»-basierten Denken, Cloud-Angebote auf Basis einer weitgehenden Virtualisierung, Entwicklung leistungsfähiger, konvergenter Netzwerke etc.), dann ist es der Informationssicherheit bisher nicht gelungen, sich sprunghaft positiv weiterzuentwickeln und einen nachhaltigen Vorsprung auf die Palette der Angreifer zu erwirtschaften.
Entsprechend iterativ und oft auch reaktiv ist das Denken und Handeln vieler Beauftragter für die Informationssicherheit ausgeprägt – kleine Schritte und Erfolge angesichts beschränkter Mittel, aber selten ein «Quantensprung» oder wirkliche Neuerung bei der Gestaltung der Informationssicherheit und bei Dispositiven gegenüber potentiell mächtigen und gut ausgestatteten Angreifern.
Dabei gäbe es durchaus neue Ansätze, um die Informationssicherheit für einmal aus der Rückenlage zu holen – z.B. durch:
- innovative Ideen zur Austrocknung des Schwarzmarktes für neue Sicherheitslücken durch den systematischen Aufkauf «von Amtes wegen»,
- die länderübergreifende, rasche und bürokratisch unbehinderte Verfolgung von Straftätern,
- die herstellerunabhängige Bereitsteilung eines ausreichenden sicheren Hardware-basierten Sicherheits-«Kerns» in jeder verkauften ICT-Hardware, auf dem dann alle weiteren Sicherheitsfunktionen aufbauen können,
- die Umgestaltung der heutigen Netzwerke zu grundsätzlich ausreichend gut chiffrierter und bei Bedarf authentisierter Datenübermittlung oder
- die endgültige Ablösung unsicherer Zugangsverfahren (Passworte, kurze PINs etc.) zu ICT-Systemen durch die Endbenutzer.
Dies und vieles mehr wäre möglich und würde der Informationssicherheit endlich einmal einen wirklich grossen, sprunghaften Fortschritt vis-à-vis ihrer Gegner erlauben – jedoch steht zu befürchten, dass auch weiterhin kleine Schritte und ein oft noch zu reaktives und produktbasiertes Denken die Informationssicherheit dominieren. Für diejenigen, die in der Informationssicherheit arbeiten, ist dies ggf. eine gute Nachricht – die Arbeit, die Kunden und die Gegner werden uns nicht ausgehen.
Für die Kunden der Informationssicherheit mag dies nicht so positiv erscheinen, denn dieser Ansatz wird weiterhin hohe Fixkosten bei beschränktem Wirkungsgrad mit entsprechendem Schadenspotential verursachen. Vertrauen unsere Kunden der ICT jedoch weiterhin in wachsendem Ausmass virtuelle und (z.B. durch das Internet der Dinge) physische Werte an, wird die Informationssicherheit als Disziplin mit einem eher iterativen und reaktiven Ansatz auf Dauer scheitern.
Neue, mutige, unkonventionelle Ideen durch eine neue Generation von Verantwortlichen sind also gefragt – der Autor als einer der «old hands» der Szene ist gespannt (und bleibt bis dahin ein eher vorsichtiger Nutzer der ICT).
Prof. Dr. Hannes Lubich war bis im Jahr 2020 im Verwaltungsrat von United Security Providers. Als Forscher und Dozent an der ETH Zürich war er mitverantwortlich für den Aufbau des Internets und des CERT in der Schweiz. Von 2009 bis 2019 war er Professor für ICT System & Service Management an der Fachhochschule Nordwestschweiz (FHNW), zudem dozierte er bis 2014 an der ETH Zürich. Zwischenzeitlich arbeitete er auch als CISO der Bank Julius Bär sowie als Strategieberater bei Computer Associates und der British Telecom.
Ich gehe mit Ihnen einig, dass die IT Sicherheit „neue, mutige, unkonventionelle Ideen“ braucht um jahrzehnte alte Dogmen, Prozesse und Verfahren neueren Nutzungsverhalten und Bedrohungen anzupassen, und die Komplexität heutiger IT Ökosysteme zu vereinfachen.
Während ich bei den erwähnten organisatorischen Massnahmen wie „länderübergreifende, rasche und bürokratisch unbehinderte Verfolgung von Straftätern“ oder „Austrocknung des Schwarzmarktes“ doch schon rein politisch und logistisch viele Probleme sehe die einen solchen Weg erschweren dürften, ist der eine oder andere Sicherheitshersteller mit guten Ansätzen unterwegs das Dilemma zumindest im eigenen, zu schützenden IT Ökosystem angehen zu können. Ich persönlich sehe die Zukunft anstelle der heutigen Insellösungen in vernetzten Sicherheitslösungen die intelligent untereinander Sicherheitsrelevante Informationen austauschen, und auch weitgehend autonom in einer vordefinierten Art und Weise auf Bedrohungen reagieren können.
Auf Anhieb fallen mir das Hersteller wie Sophos (Synchronized Security) oder Fortinet (Security Fabric) oder Cisco (Firepower) ein, welche da entweder rein evolutionäre Wege gehen bisher dedizierte Komponenten untereinander zu vernetzen, oder aber teilweise auch revolutionäre neue Technologien einbringen um alte Dogmen (z.Bsp. 2 Vendor Strategie – Unterschiedliche AV für Gateway und im internen Netzwerk) zu kippen mit dem Ansatz eigentlich bisher dedizierten Sicherheitskomponenten die neu als System miteinander agieren eine bessere und einfachere Sicherheit bieten sollen wie abgeschottete Insellösungen.
Auch ich verfolge mit Interesse die frischen, neuartigen Wege die verschiedene Hersteller gehen um IT Sicherheit einfacher, autonomer und zeitgemässer umzusetzen. Die Zeit wird zeigen, ob da nur ein weiterer Hype oder zukunftsträchtige, breitflächig nutzbare Technologien heranwachsen.
Ich stimme mit dem Kommentar überein, dass es Hersteller gibt, die im Rahmen ihrer Möglichkeiten im Markt versuchen, auch neue, explorative Wege der Risikodetektion und Risikoreduktion zu beschreiten. Jedoch ist anzumerken, dass Technologien und Produkte, egal wie fortgeschritten sie sein mögen, immer nur einen Teil der nötigen Gesamtlösung darstellen – wenn die relevanten Prozesse, Rollen und Regulative nicht ebenfalls diesem explorativen Ansatz folgen, wird der Einsatz von Technologie immer tendenziell zu kurz greifen.