Seit 30 Jahren sprechen wir im Tagesgeschäft der Informationssicherheit über die gleichen Dinge – schwache Passwörter und unzureichend sensibilisierte Endbenutzer, (zu) mächtige Administratoren, Bedrohungen durch Malware, Hacker und neuerdings auch in stärkerem Umfang das organisierte Verbrechen und (fremd)-staatliche Aufklärungsdienste. Selbst das derzeit stark diskutierte «social engineering» hat es – kaum zu glauben – auch damals und sogar vor der Erfindung der IT schon gegeben.
Natürlich hat sich Manches geändert – die ICT wurde komplexer, und entsprechend komplexer wurde auch die Informationssicherheit. Aus BS 7799 wurde die inzwischen unüberschaubare ISO 2700x Reihe, COBIT entwickelte sich von einer einfachen Checkliste zur Prüfung elementarer Sicherheitsfunktionen beim Einkauf von ICT-Ausrüstung zu einem (zu) mächtigen Audit-Werkzeug für die gesamte Informatik, und aus den bescheidenen Grundschutz-Anforderungen für KMU des BSI wurde eine Sammlung so mächtiger Grundschutzkataloge, dass nun ein eigenes, aufwändiges Projekt diese Sammlung vereinfachen, verschlanken und «back to the roots» führen soll.
Auch die Liste der Bedrohungen und Angreifer hat sich stark erweitert – jedoch leidet die Informationssicherheit unter dem Problem der Additivität ihrer Probleme. Neue Angriffsvarianten kommen stetig hinzu, die alten verschwinden jedoch nicht, so dass alle Aufwände auf der Schutz- und Verteidigungsseite ebenfalls additiv sind und wie schon seit 30 Jahren Fragen nach dem Sinn entsprechender Investitionen und Betriebskosten sowie nach den Grenzen des Einsatzes bzw. dem «richtigen» Schutzniveau herausfordern. In diesem Sinne ist die Informationssicherheit in den Köpfen vieler Entscheidungsträger noch immer ein unbeliebtes Element, das wenn überhaupt dann möglichst spät in entsprechende Vorgaben einbezogen wird.
Ebenfalls unverändert scheint das Zutrauen der eher verkaufsorientierten Mitglieder der Informationssicherheits-Gemeinschaft zu sein, dass der Kauf ihrer Produkte geeignet sei, jegliche Sicherheitsprobleme endgültig (im nächsten Release) zu lösen. Sicher, die Produkte sind funktional mächtiger, leistungsfähiger und optisch ansprechender geworden. Sie sind jedoch auch weiterhin nur allfällige Lösungsbausteine, die erst noch in entsprechende Gesamtdispositive eingepasst und dann auch entsprechend betrieben werden müssen.
Natürlich lässt sich argumentieren, dass diese eher evolutionäre Weiterentwicklung der Informationssicherheit bisher mehr oder weniger ihren Zweck erfüllt hat – der GAU ist ausgeblieben und die vernetzte Dienstleistungsgesellschaft, der vernetzte Bürger und die «always on»-Kultur mittels multifunktionaler, portabler Endgeräte ist nicht aufzuhalten.
Vergleicht man jedoch diese langsame Adaption der Informationssicherheit mit der sprunghaften Entwicklung in anderen Gebieten der Informatik (Smartphones und Tablets mit ihrem «App»-basierten Denken, Cloud-Angebote auf Basis einer weitgehenden Virtualisierung, Entwicklung leistungsfähiger, konvergenter Netzwerke etc.), dann ist es der Informationssicherheit bisher nicht gelungen, sich sprunghaft positiv weiterzuentwickeln und einen nachhaltigen Vorsprung auf die Palette der Angreifer zu erwirtschaften.
Entsprechend iterativ und oft auch reaktiv ist das Denken und Handeln vieler Beauftragter für die Informationssicherheit ausgeprägt – kleine Schritte und Erfolge angesichts beschränkter Mittel, aber selten ein «Quantensprung» oder wirkliche Neuerung bei der Gestaltung der Informationssicherheit und bei Dispositiven gegenüber potentiell mächtigen und gut ausgestatteten Angreifern.
Dabei gäbe es durchaus neue Ansätze, um die Informationssicherheit für einmal aus der Rückenlage zu holen – z.B. durch:
- innovative Ideen zur Austrocknung des Schwarzmarktes für neue Sicherheitslücken durch den systematischen Aufkauf «von Amtes wegen»,
- die länderübergreifende, rasche und bürokratisch unbehinderte Verfolgung von Straftätern,
- die herstellerunabhängige Bereitsteilung eines ausreichenden sicheren Hardware-basierten Sicherheits-«Kerns» in jeder verkauften ICT-Hardware, auf dem dann alle weiteren Sicherheitsfunktionen aufbauen können,
- die Umgestaltung der heutigen Netzwerke zu grundsätzlich ausreichend gut chiffrierter und bei Bedarf authentisierter Datenübermittlung oder
- die endgültige Ablösung unsicherer Zugangsverfahren (Passworte, kurze PINs etc.) zu ICT-Systemen durch die Endbenutzer.
Dies und vieles mehr wäre möglich und würde der Informationssicherheit endlich einmal einen wirklich grossen, sprunghaften Fortschritt vis-à-vis ihrer Gegner erlauben – jedoch steht zu befürchten, dass auch weiterhin kleine Schritte und ein oft noch zu reaktives und produktbasiertes Denken die Informationssicherheit dominieren. Für diejenigen, die in der Informationssicherheit arbeiten, ist dies ggf. eine gute Nachricht – die Arbeit, die Kunden und die Gegner werden uns nicht ausgehen.
Für die Kunden der Informationssicherheit mag dies nicht so positiv erscheinen, denn dieser Ansatz wird weiterhin hohe Fixkosten bei beschränktem Wirkungsgrad mit entsprechendem Schadenspotential verursachen. Vertrauen unsere Kunden der ICT jedoch weiterhin in wachsendem Ausmass virtuelle und (z.B. durch das Internet der Dinge) physische Werte an, wird die Informationssicherheit als Disziplin mit einem eher iterativen und reaktiven Ansatz auf Dauer scheitern.
Neue, mutige, unkonventionelle Ideen durch eine neue Generation von Verantwortlichen sind also gefragt – der Autor als einer der «old hands» der Szene ist gespannt (und bleibt bis dahin ein eher vorsichtiger Nutzer der ICT).