Die Komplexitätsfalle

Im Jahr 2025 scheint die Cybersecurity-Landschaft komplexer zu sein als je zuvor: Organisationen setzen zunehmend auf digitale Kanäle, Systemrisiken konzentrieren sich auf wenige, sehr mächtige Anbieter und die Vernetzung von Systemen nimmt stetig zu. Gleichzeitig geraten die geopolitische Stabilität und bewährte Strukturen ins Wanken. Während diese Entwicklungen Effizienz und Innovation fördern, bringen sie auch eine erhebliche Herausforderung mit sich: eine erhöhte Komplexität. Aus Sicht der Cybersecurity ist Komplexität jedoch häufig der Hauptgegner der Sicherheit.

Beispiele für fragwürdige Komplexität

Komplexe Systeme haben eine vergleichsweise hohe Angriffsfläche aufgrund ihrer Komponentenvielfalt, ihrer Nichtlinearität, ihrer Abhängigkeiten und der reduzierten Sichtbarkeit. Darüber hinaus beinhalten komplexe Systeme oft eine Non-Mainstream-Funktionalität, die nur in seltenen Situationen unter bestimmten Umständen tatsächlich benötigt wird, die aber mächtige Features und sogar Schwachstellen enthalten können, die ein Angreifer ausnutzen kann.
Bevor wir konkrete Beispiele betrachten, zunächst einige relevante Fakten. Eine einzelne Webtransaktion durchläuft heute durchschnittlich 35 verschiedene Technologiekomponenten und -systeme, im Gegensatz zu 22 vor nur fünf Jahren. Die Zahl der Betriebsfehler, die zu Anwendungsausfällen führen, hat sich seit dem Jahr 2000 um den Faktor 8 erhöht. Die Anzahl neuer Schwachstellen im CVE-System ist von 18 pro Tag im Jahr 2016 auf 134 pro Tag im Jahr 2025 gestiegen.

Die Anomalie der günstigen und schnellen ­Komplexität

2018 stellte Thomas Dullien die "Anomalie der günstigen und schnellen Komplexität" vor – ein Phänomen in modernen Systemen, wonach komplexe Geräte oft günstiger herzustellen sind als einfache. Dieses Konzept widerspricht der historischen Regel, dass komplexere Geräte typischerweise teurer in der Herstellung sind. Die Folge ist eine zunehmende Unsicherheit, da strukturell leistungsfähigere Geräte im Angriffsfall einen höheren Schaden hervorrufen.

Weitere Beispiele für fragwürdige Komplexität und missbrauchbare Macht:

• Der USB-Standard ist auf Benutzerfreundlichkeit und Universalität ausgelegt. Damit schuf er aber unbeabsichtigt eine komplexe Angriffsfläche, die von Angreifern regelmässig ausgenutzt wird.
• Der Crowdstrike-Vorfall im Juli 2024 hätte durch eine bewusstere Einschränkung der Funktionalität von Kernel-Modulen möglicherweise verhindert werden können.
• HTML-Rendering mit Javascript erhöht das Risiko bösartiger Code-Ausführungen, da Javascript als unsichere Programmiersprache bekannt ist. In vielen Anwendungsfällen würde statisches HTML genügen.
• Die Log4Shell-Misere hätte ebenso vermieden werden können, wenn selten genutzte dynamische Features standardmässig deaktiviert gewesen wären.
• Speculative Execution: Moderne Chips beginnen Berechnungen, bevor bekannt ist, was tatsächlich berechnet werden soll. Dies hat zur Folge, dass sensitive Daten abgegriffen werden können, z.B. mit den Angriffen Spectre und Meltdown.
• Im Software-Engineering sind veraltete Komponenten, eingebundene und ungenutzte Bibliotheken sowie undokumentierte Befehle weit verbreitet, wie unlängst beim ESP32-Chip festgestellt wurde.

Online finden Sie noch mehr Beispiele für fragwürdige Komplexität – darunter der Crowdstrike-Vorfall, HTML-Rendering mit Javascript, Log4Shell und Speculative Execution.

Lösungsansätze zur Komplexitätsfalle

Eine Reduktion der Komplexität muss nicht auf Kosten der Leistungsfähigkeit geschehen. Systeme sollten mit Einfachheit und Sicherheit im Hinterkopf entworfen werden. Dazu gehören eine bewusste Planung von Vielfalt und Redundanz: Kritische Systeme sollten mit dedizierten Variationen bei der Wahl der Technologien erstellt werden, sodass nicht alle Komponenten gleichzeitig aufgrund eines einzigen Fehlers oder Angriffspunktes ausfallen. Die Einführung moderner Sicherheitskonzepte wie Zero-Trust-Architekturen kann zudem helfen, da minimaler Zugriff und ständige Überprüfung verstärkt werden, was die Möglichkeit zur lateralen Bewegung innerhalb von Netzwerken reduziert.

Und schliesslich ist die Umsetzung sicherer Entwurfsprinzipien zu nennen: Durch Sicherheit als definierte Kernanforderung werden weniger Schwachstellen und weniger reaktive Reparaturen erforderlich. Letztlich ist eine nachhaltige und langfristig optimierte Strategie mit bewussten Verschnaufpausen angezeigt (vergleiche E-Collecting), anstelle möglichst schnell den Markt mit halbfertigen Produkten zu penetrieren.