Praxistaugliche Theorien statt theorieabstinente Praxisnähe

Die bange Frage lautet: Was wird die nächste grosse Attacke sein? Denn IT-Sicherheit ist keine statische und absolute Eigenschaft, sondern hängt vom dynamisch sich ändernden, relativen Kräfteverhältnis zwischen Angreifern und Verteidigern ab. Theoretisch sind die meisten IT-Systeme hoch unsicher. Die Ursachen sind unter anderem Bastel-Architekturen, Implementationsfehler und fehlendes Auditing. Ein umfängliches Beseitigen dieser Sicherheitsrisiken würde die IT-Security-Budgets der meisten Firmen um ein Vielfaches übersteigen. Praktisch ist es zudem sowieso relativ schwierig, in die ungeordnete Ansammlung von Sicherheitslöchern mit Erfolg einzudringen und tatsächlich Schaden anzurichten. Für erfolgreiche Angriffe sind neue Ideen notwendig, die nicht alle Tage entstehen. Darum scheint es sinnvoll, bei der Weiterentwicklung der Unternehmens-IT-Sicherheit sich darauf zu beschränken, die nächsten Angriffsideen zu antizipieren und die von Hackern anvisierten Löcher zu stopfen.

Doch das Vorhersehen von Angriffstechniken ist schwierig. Es würde einen offeneren Erfahrungsaustausch und vermehrte geheimdienstliche Aufklärungsarbeit verlangen. Beides ist mit der Geschäftskultur vieler Firmen inkompatibel: Zum einen glauben noch immer viele Praktiker an Security durch Obscurity, und zum anderen birgt ein Mehr an Schnüffelstaat und international vernetzter Schnüffelei viele diffuse Risiken. Ausserdem würde eine ausschliesslich auf Antizipation setzende Sicherheitsstrategie die Initiative völlig den Angreifern überlassen und das Risiko schaffen, Architektur-Flickwerk hervorzubringen.

Sinnvoller ist es deshalb, Investitionen in die IT-Sicherheit so auszuwählen, dass sie in möglichst vielen zukünftigen Angriffsszenarien von Nutzen sind und ein schnelles Reagieren ermöglichen. Dafür müssen erstens transparente Architekturen implementiert werden, die die Designprinzipien für verteilte Systeme konsequent umsetzen. Zweitens muss die Infrastruktur zur Systemüberwachung und zur effizienten und effektiven Aufbereitung und Nutzung der Überwachungsdaten ausgebaut werden. Ein gutes Anschauungsbeispiel für die Folgen des Fehlens einer solchen Infrastruktur ist der SBB-Blackout. Drittens sind organisatorische Massnahmen notwendig: Das Top-Management muss Prozesse zum Management des operationellen Risikos installieren. Die Verantwortlichkeiten im mittleren Management müssen klar definiert werden. Und die Sicherheitskultur im ganzen Unternehmen muss permanent weitergebildet werden, durch regelmässige Schulungen und die systematische Kontrolle des konkreten Verhaltens. Alle weiteren Massnahmen sollten dann nach der ökonomischen Bedeutung dessen, was geschützt wird, priorisiert werden.

Und es gibt noch eine weitere Investition, die sehr lohnenswert sein kann: Um die vorhandenen formalen Methoden nutzen zu können, sollte man mehr in die Ausbildung von Mitarbeitern zu investieren, die gut mit formalen Modellierungswerkzeugen umgehen können. Bislang scheitert dies daran, dass einerseits die Theoretiker zu wenig Fachbereichsverständnis und andererseitsdie Informatiker und Fachexperten zu wenig Theorieverständnis besitzen. Die Konsequenz ist, dass die einen viel zu feingranular modellieren und die beiden anderen die formalen Instrumente ablehnen. Sie berufen sich darauf, dass man auch bisher ohne Methoden sicher war. Hier sind auch die Ausbildungszentren aufgefordert, statt der gerne gewünschten theorieabstinenten Praxisnähe praxistaugliche Theorie zu vermitteln.