Home / Allgemein / Das Sicherheitsdilemma

Das Sicherheitsdilemma

Sicherheit ist das Megathema der IT. Doch trotz aller Anstrengungen lässt sich das Problem definitiv nicht lösen. Es ist ein ewiges Hase-und-Igel-Rennen, in dem Angreifer und Verteidiger immer wieder die Rollen wechseln.

Mal sind Sicherheitsindustrie und Anwender die Igel, mal Cyberkriminelle und Spione, je nachdem wer zurzeit über die besseren Werkzeuge verfügt. Im Moment scheinen die Angreifer die Nase vorn zu haben. Die aktuellen Sicherheitspannen und Softwarefehler (OpenSSL) sind so zahlreich, dass Softwareanbieter mit dem Patchen kaum nachkommen. Dafür gibt es mehrere Ursachen: Software wird immer Angriffspunkte bieten und je älter diese Software ist, desto größer sind die Einfallstore, die sich Kriminellen öffnen. Sie arbeiten mit aktuellen Werkzeugen während die von Unternehmen benutzte Software mitunter 10 oder 20 Jahre alt ist und deshalb die aktuellen Sicherheitsstandards nicht einhalten kann. Moderne Anwendungssoftware hält zwar in der Regel die aktuellen Security-Vorgaben ein, aber trotzdem leidet auch die heutige Softwareentwicklung unter Sicherheitsmängeln.

Komplexität erzeugt Fehler

Vor allem 2 Phänomene sind es, die immer wieder für Angriffspunkte (Vulnerabilities) sorgen: Komplexität und Kombination. Komplexität erzeugt Fehler. Die daraus resultierenden Schwachstellen können ausgenutzt werden. Software enthält zudem viele kleine Routinen, die aus verschiedenen Programmen und Zeiten stammen, und die, weil sie funktionieren, immer wieder übernommen  werden, ohne sie auf Herz und Nieren zu prüfen. Beim Heartbleet-Bug zum Beispiel, der die Krypto-Bibliothek OpenSSL missbraucht, um sensible Daten (z.B. Passworte) auszulesen.

Neben dieser grundlegenden technischen Anfälligkeit von Software mindern mindestens 2 weitere Phänomene die IT-Sicherheit grundsätzlich: Cyberkriminelle und Spione nutzen technische, organisatorische und soziale Exploits um an ihr Ziel zu gelangen. Während Anbieter und Anwender eine unübersichtlich große Menge möglicher Schwachstellen absichern müssen, brauchen Cyberkriminelle nur ein Schlupfloch, das sie ausnutzen können.

Kriminelle benötigen nur ein Schlupfloch

Um ein Bild zu bemühen: Während Anbieter und Anwender einen Millionen Kilometer langen Zaun mit vielen Tausend Toren Instand halten und den Verkehr der durch diese Tore fließt, regeln müssen, brauchen die Angreifer nur ein Karnickelbau oder ein Loch im Zaun, um an ihr Ziel zu gelangen. Natürlich ist das Bild schief, weil es innerhalb des Zauns noch weitere Schutzzonen gibt und manche Bereiche des Zauns stärker gesichert sind als andere. Außerdem kann prinzipiell jedes der schützenswerte Objekte innerhalb des Zauns plötzlich zum Angreifer mutieren…..

Zweitens gehen Anwender immer den bequemsten Weg und Sicherheitsmaßnahmen sind in der Regel nicht bequem. Allein die Liste der beliebtesten Passworte, in der „Passwort“ genauso unter den Top-Ten zu finden ist wie „1234567890“ belegt die These vom bequemen Anwender. Ebenfalls spricht Bände, dass enorm viele Router das vom Hersteller gesetzt Passwort  auch im Betrieb weiter verwenden, oder dass offenbar unzählige Nutzer ein einziges Passwort für alle ihre Passwort geschützten Zugänge benutzen.

 

Totale Überwachung will niemand

Hinzu kommt noch ein weiteres gesellschaftliches/rechtliches Problem: Steigende Sicherheit entwickelt sich umgekehrt proportional zur Freiheit. Je weniger verschiedene Möglichkeiten Nutzern eingeräumt werden (zum Beispiel online zu gehen), desto eher lassen sich die zugelassenen Zugangskanäle absichern. Je mehr Inhalte im Netz für illegal erklärt werden, desto besser lassen sich die Verbleibenden überwachen und Verbotene lokalisieren. Denkt man diesen Weg zu Ende, gelangt man zu Big-Data-Szenarien, in denen jede Netzverbindung analysiert und jedes Datum überprüft wird, um mögliche illegale Aktivitäten zu unterbinden. Zwar ist überhaupt nicht gesagt, ob das funktionieren würde, aber sicher ist, dass ein solches Szenario in totaler Überwachung endet. Bleibt natürlich die Frage, wer die Überwachung übernimmt? Staaten? Das ist angesichts der Internationalität des Phänomens eher unwahrscheinlich. Und natürlich – wer überwacht den Überwacher? Ginge das überhaupt?

Da niemand eine solche lückenlose Überwachung will, kann man mit Fug- und Recht von einem Sicherheitsdilemma sprechen, mit dem wir wohl oder übel leben müssen. Jede Organisation strebt je nach Sensibilität ihrer Daten im Rahmen ihrer ökonomischen Möglichkeiten zu Recht nach größtmöglicher Sicherheit für ihre Daten und Systeme. Je größer die wirtschaftliche Bedeutung von Daten werden wird, desto stärker wird dieses Sicherheitsbedürfnis. Aber die kriminelle Energie, diese Daten zu stehlen steigt parallel dazu. Deshalb endet dieser Kampf wohl nie.

Leave a Reply

Your email address will not be published. Required fields are marked *

*