Sicherheit anders

Sicherheit anders. Was der Untertitel unseres Blogs heißten soll, haben wir uns vorher nicht überlegt, denn wer mit großen Plänen ein Blog anfängt, fällt meistens auf die Nase. Irgendwas muss aber dran sein, sonst wäre aus dem Blogunter- kein Vortragstitel geworden. Oder ist das nur eine selbsterfüllende Prophezeiung? Egal.

Angefragt war ein Vortrag zur Zukunft der IT-Sicherheit auf dem Pressetag CeBIT Vision. So etwas könnte ich natürlich zusammenspinnen und mich darauf verlassen, dass sich keiner mehr daran erinnern würde, wäre es erst so weit, dass sich meine Vorhersagen prüfen ließen. Aber das habe ich nicht übers Herz gebracht. Herausgekommen ist statt dessen ein Vortrag über ungelöste Probleme. Von denen haben wir einige.

Erstens ändert sich die Umgebung ständig. Heute haben wir Sicherheitsprobleme in Anwendungen, die es vor ein paar Jahren noch gar nicht gab. (Andererseits sind wir manchmal unglaublich langsam: im Web kämpfen wir immer noch mit Sicherheitsproblemen, die seit zehn Jahren bekannt sind.)

Zweitens wissen wir nicht so genau, wie wir sichere Systeme und Anwendungen konstruieren. Genauer gesagt verfügen wir über Methoden, aber deren Anwendung führt zu wenig überzeugenden Ergebnissen. Oft gießen wir nämlich einfach eine gehörige Portion Security-Soße – extrascharf, enthält mindestens 50% Kryptographie – über ein System und hoffen einfach, dass das helfen möge. In der Lehrbuchwelt von Alice und Bob tut es das vielleicht sogar. Im richtigen Leben nicht, das zeigen uns die Bezahlverfahren der 90er Jahre. Viele davon sind sicher, keines hat den Konkurrenzkampf gegen die Kreditkarte gewinnen können.

Drittens wissen wir auch nicht so genau, wie man die Sicherheit eines Systems sinnvoll bewertet. Auch hier haben wir Lehrbücher und sogar Standards. Aber ein Common-Criteria-Zertifikat sagt keineswegs aus, dass ein System auch sicher ist. Praktisch demonstriert hat das vor ein paar Jahren Xerox mit seinen Digitalkopierern: kurz nach Ausstellung des Sicherheitszertifikats erschienen Meldungen über üble Sicherheitsprobleme.

Viertens fehlt uns bereits die Grundlage für bessere Bewertungen, ein Verständnis für die Ökonomie der Sicherheit. Das ist ein Forschungsthema, aber wir verfügen noch nicht überhandhabbare Methoden. Kosten und Wirkung von Sicherheitsmaßnahmen können wir deshalb oft nur durch Versuch und Irrtum ermitteln, und wenn wir ausnahmsweise mal empirische Ergebnisse bekommen, wissen wir nichts damit anzufangen.

Fünftens können wir mit den Benutzern nicht angemessen umgehen. Vielleicht wollen wir das aber auch gar nicht, denn damit verlören wir einen bequemen Sündenbock. Also verlangen wir weiter, dass sich der Benutzer den willkürlichen Regeln unserer Sicherheitstechnik anpasst, statt die Technik dem Benutzer anzupassen.

Sechstens haben wir die Komplexität nicht im Griff. Auf Sicherheitsprobleme reagieren wir häufig, indem wir unsere Systeme um Sicherheitsfunktionen erweitern. Wer sich die beachtliche Liste von Verwundbarkeiten in Sicherheitssoftware anschaut, den dürften allerdings Zweifel befallen, ob wir damit wirklich Sicherheit gewinnen.

Ungefähr das habe ich gestern erzählt. Und mir danach überlegt, dass ich neben den unterschätzten Risiken vielleicht auch unauffällige Sicherheitstechnik sammeln sollte. Denn daran erkennen wir gute Sicherheitstechnik: dass sie sich einer nützlichen Anwendung unterordnet und darin unauffällig ihren Dienst verrichtet.

PS: Wer trotzdem noch mehr oder weniger gewagte Prognosen fürs nächste Jahr sucht, schaut sich am besten in Anton Chuvakins Sammlung um.