Standards für die IT-Sicherheit

Ein Plädoyer zur Stärkung der Cyberdimension

Uhr
von Nicolas Mayencourt, Gründer und CEO, Dreamlab Technologies & Marc K. Peter, Professor, FHNW, GL-Mitglied, Dreamlab Technologies.

Seit den 1970er-Jahren digitalisieren wir unser Leben und vergrössern so unsere Abhängigkeit von der IT. Konsumenten übergeben ihre Daten, Unternehmen ihre Wertschöpfung und Nationen ihre Infrastruktur dem Internet. Dies treibt die Cyberkriminalität und das digitale Wettrüsten an. Es ist an der Zeit, die Herausforderungen rund um veraltete IT-Infrastrukturen und fehlende Standards für die IT-Produktsicherheit zur Förderung der digitalen Gesellschaft und des Cyber-Peace anzugehen.

(Source: a-image / iStock.com)
(Source: a-image / iStock.com)

In den 70er- und 80er-Jahren waren IT-Systeme wie ein unbebautes Stück Land. Die damals schon wichtigsten zwei grossen amerikanischen Hersteller boten lediglich ein Spielfeld, auf dem Einzelne und Kleingruppen Ideen umsetzen konnten. Es gab noch keine Standardsoftware. Was immer man mit Computern tat, war Neugierde, Erfindung oder Kreativität.

Mit der Digitalisierung entstand die Abhängigkeit

Auf dem Weg in die 90er-Jahre zeichneten sich langsam Bedürfnisse ab: Mail, Browser, Office-Anwendungen, Ablage – das wollten die Anwender und Anwenderinnen. Es entstand die New Economy, die versprach, dass alles gut wird; die Wirtschaft transparenter, offener, demokratischer – und damit auch die Welt. Alle können mitmachen, alle können gewinnen.

Spätestens Anfang 2000 erkannten die Informatikunternehmen, dass die IT die Welt tiefgreifend ändern wird. Sie begannen, die Bedürfnisse mit Standardprodukten zu bedienen. Mit entsprechend ausgestatteten Systemen erreichten sie grössere Teile der Gesellschaft. Zugleich entstand damals der Beginn der grossen Abhängigkeit. Bis 2000 diente die IT als Unterstützung für analoge Prozesse. Wenn es ein technisches Problem gab, lief das Geschäft analog weiter. Das änderte sich nun: Der digitale Weg wurde der primäre, bald auch der einzige.

Viele investierten ihr Geld und ihre Energie in neue Ideen. Doch die Blase platzte und viele Visionen erwiesen sich als überbewertet. Übrig blieben Grosskonzerne, die sich professionell organisierten. Die Gesellschaft wurde im Cyberraum neu abgebildet und reproduzierte sich digital als E-Mail, E-Commerce und E-Banking. Mit allen bereits bekannten Problemen und einem Unterschied: Alles wuchs exponentiell. Multinationale Riesenkonzerne entstanden, die bald die Mehrheit der Daten weltweit kontrollierten. Die Konsumenten übergaben ihre Daten, Unternehmen ihre Wertschöpfung und Nationen ihre Infrastruktur dem Internet.

Die Abhängigkeit im Cyberraum treibt kriminelle Geschäftsmodelle

Die Geschichte des Hackens ist eng mit der IT-Entwicklung verknüpft. Zu Beginn war Hacking ein Ausleben von Kreativität. Es ging darum, ein Problem mit unkonventionellen Mitteln zu lösen. Die Herausforderung war es oft, die Technologie auszutricksen.

Mit dem Film War Games wurde 1983 das Zeitalter der Hacker einem breiteren Publikum vorgestellt. Dies, nachdem bereits der erste Virus in Umlauf gebracht und der erste Cyberkriminelle (AT&T-Hack) verurteilt wurde. Anschliessend entstanden die erste Schadsoftware (der Morris-Wurm führte 1988 beinahe zum Zusammenbruch des gesamten Internets) und bekannte Hackertools wie SATAN, Back Orifice, John the Ripper und Auditor. Und man merkte: Da ist eine Gefahr. Andere erkannten: Da ist eine Möglichkeit.

Es entstanden weitere Root-Kits und Werkzeugkoffer für digitale Einbrecher. Nach Tricks und Angriffen von Einzelpersonen mischten bald schon Staaten mit und die organisierte Kriminalität wurde aktiv. Sie trieb im Cyberraum dasselbe wie in der analogen Welt: Spionage, Erpressung, Betrug, Bankraub; und dies seit spätestens den 2010er-Jahren hochprofessionell und mit exponentiell wachsender Reichweite. Digitale Verbrechen wurden hochprofitabel.

Das digitale Wettrüsten auf beiden Seiten beginnt

Im Cyberraum entbrannte ein Rüstungskampf. Unternehmen und Behörden implementierten Firewalls, Antivirusprogramme und Intrusion-Detection-Systeme.

Angreifer fanden Wege, trotzdem einzudringen, zu stehlen und zu zerstören. Darauf wurde mit einer weiteren IT-Sicherheitsschicht mit SOCs (Security Operations Centers) und Threat Intelligence reagiert. Die IT-Infrastruktur wird jedoch weiter angegriffen und die digitale Dimension der Angreifer wie auch der Verteidiger immer komplexer. Aber: Alle Sicherheitselemente sind eigentlich bloss Pflaster, die eine Schwachstelle zudecken, bis eine neue auftaucht. Das Grundproblem wird dabei jedoch nicht gelöst, denn die Technologie an sich ist unsicher. Sie ist seit den 80er-Jahren in den Grundsätzen gleichgeblieben, da diese nicht für eine hypervernetzte Welt entwickelt wurde. Entsprechend geht das digitale Wettrüsten auf beiden Seiten weiter, anstatt die Ursachen zu bekämpfen.

Die Bilanz: Was haben wir durch die Digitalisierung erreicht?

In vielen Bereichen wurde die Welt durchaus transparenter, offener und demokratischer. Gleichzeitig haben wir uns innerhalb von 50 Jahren in eine massive Abhängigkeit von der Cyberdimension katapultiert. Unsere Daten und wichtige IT-Infrastrukturen werden von Grosskonzernen, Staaten und dem organisierten Verbrechen gesteuert und genutzt.

Der digitale Kanal bildet die bestehenden Probleme nicht bloss ab, er verstärkt sie. In einer nächsten Phase werden wir uns nicht nur mit allen Menschen verbinden, sondern auch noch mit allen Dingen. Durch das Internet of Things, der Smart City und 5G-Hyperkonnektivität machen wir uns noch abhängiger von einer veralteten IT-Infrastruktur mit tausenden von bekannten Schwächen und Angriffsflächen.

Wie schützen wir die Cyberdimension?

Es ist an der Zeit, über Qualität und Zuverlässigkeit zu sprechen. Anstelle einer IT-Sicherheits- beziehungsweise Cyberermüdung müssen wir die zentralen Themen ansprechen und lösen. Dazu gehören die Erneuerung der veralteten IT-Infrastruktur, Klarheit über die Verantwortlichkeiten einer digitalen Gesellschaft (inklusive Sensibilisierung und Bildung), Debatten und Klarheit zu den rechtlichen Grundlagen (inklusive digitale Rechte) sowie Standards für die IT-Produktsicherheit und die globale Zusammenarbeit zum Erreichen einer notwendigen Cyberstabilität (Cyber-Peace).

Wir haben heute die Mittel und das Wissen, um sichere IT-Plattformen zu bauen. Wir haben die Chance, die Welt nicht bloss digital abzubilden, wie sie ist, sondern zu transformieren und zu verbessern. Packen wir es gemeinsam an, um einen nachhaltigen Wettbewerbsvorteil zu schaffen!

Die Autoren:

Nicolas Mayencourt, Gründer und CEO, Dreamlab Technologies. (Source: zVg)

Marc K. Peter, Professor, FHNW, GL-Mitglied, Dreamlab Technologies. (Source: zVg)

Webcode
DPF8_182913