In meiner Jugend ging ein Raunen durch die Medienwelt, als ein damals populärer Autor, Neil Postman, behauptete, dass Menschen meiner Generation Nachrichten überhaupt nur noch dann einen nennenswerten Informationsgehalt zuschreiben würden, wenn diese im Fernsehen übertragen würden. Das war noch vor dem Siegeszug des Internets. [1]
Inzwischen haben wir uns daran gewöhnt, praktisch alle Aktivitäten, beruflicher wie privater Natur, mit oder am Computer durchzuführen: Wir schreiben E-Mails, bedienen Online-Tools, surfen im Internet, kaufen online ein, streamen Videos, hören Musik oder spielen Games. Und die Entwicklung schreitet weiter rasant voran.
Komplexe Anwendungen migrieren in die Cloud, Userinterfaces werden immer „luftiger“ und scheinen sich von einem überhaupt noch als physisch wahrnehmbaren Träger abzulösen. Morgens schaue ich nach dem Aufwachen nicht mehr auf die Uhr, sondern frage Alexa nach der Uhrzeit. Wetter und Nachrichten lese ich beim ersten Kaffee von einer kleinen, dünnen Glasscheibe in meiner Hand ab (die ich in Ausnahmefällen auch noch zum telefonieren verwende) und technisch wäre der vollständige Ersatz von Bildschirmen durch Brillengläser oder sogar Kontaktlinsen bereits möglich.
Digital-or-die
„Digital-or-die“ hieß vor einigen Jahren ein Slogan, der Unternehmen des Dienstleistungssektors auf die bevorstehende digitale Disruption vorbereiten sollte. In Anlehnung an Postman würde ich heute sagen, dass nicht lediglich nur das relevant erscheint, was medial vermittelt wird: Sondern dass dasjenige, was nicht auf der ersten Seite einer Suche bei Google erscheint oder mind. 10k Retweets bei twitter oder Views bei Youtube erhalten hat, faktisch nie existiert hat.
Das ist krass!
Vor allem, wenn man sich vergegenwärtigt, dass Computer, trotz ihrer Universalität, eigentlich relativ einfache Maschinen sind! Unter den ergonomischen Tasten eines MacBooks oder der Touchscreen eines Samsung Galaxys tun Transistoren, Rechenwerke und Antennen ihren Dienst, deren zugrunde liegende Technologien sehr mehrheitlich schon vor Jahrzehnten erforscht, zwischenzeitlich lediglich extrem beschleunigt und miniaturisiert worden sind. Und genauso beruht das Internet auf recht elementaren Konzepten der Nachrichtentechnik, wie sie schon viel früher aus der gewöhnlichen Telefonie und der Theorie elektrischer Schaltkreise gut bekannt waren. [2]
Aus der prinzipiellen „Maschinenartigkeit“ der Computer folgt aber ebenso deren prinzipielle Anfälligkeit für Fehler und Missbrauch: Ein digitales Bild beweist nicht, dass sich ein Sachverhalt tatsächlich wie dargestellt ereignet hat, menschliche Stimmen können digital verändert werden, das Vorliegen eines Zertifikates beweist nicht zwingend die Authentizität einer Nachricht, ebensowenig wie die Mail eines Bekannten oder Geschäftspartners wirklich von diesem stammen muss, selbst wenn sie plausibel erscheint oder in dieser Form genauso von uns erwartet worden ist! Mit einer „medialen Zwischenschicht“ aus Computern und Internet haben wir tatsächlich eine ebenso reduzierte wie fehleranfällige Repräsentation der Wirklichkeit geschaffen, die für uns alle aber so selbstverständlich und allgegenwärtig geworden ist, dass wir sie praktisch gar nicht mehr von der Realität zu unterscheiden wissen. Würde ein entfernter Teil der Welt verschwinden, wir würden es tagelang nicht bemerken, solange nur unsere HTTP-Anfragen sinnvoll beantwortet werden!
Das ist die Zeit der Informationssicherheit! Darum geht es:
Vertraulichkeit
Dies ist das elementarste Schutzziel der Informationssicherheit (und zugleich dasjenige, das am meisten gefährdet ist): Nur derjenige, für den eine Information gedacht oder der berechtigt ist, diese zu kennen, darf überhaupt Zugriff auf diese erhalten. Geschäftsgeheimnisse, Vertragsdetails, Kontoumsätze oder private Korrespondenz sind offensichtliche Beispiele.
Integrität
Aber auch die Sicherheit von Informationen, die öffentlich zugänglich sind, ist prinzipiell gefährdet; deren Wert hängt maßgeblich davon ab, ob garantiert werden kann, dass die Informationen unverändert sind und sich tatsächlich auf den geschilderten Sachverhalt oder die behauptete Urheberschaft beziehen. Beispiele sind Nachrichten, Zertifikate, Ausweisdokumente oder behördliche Anordnungen.
Verfügbarkeit
Die Verfügbarkeit ergänzt die beiden andere Schutzziele um die Erfordernis, überhaupt in ausreichendem Maße auf die benötigten Informationen zugreifen zu können. Die vertrauliche Geschäftsvereinbarung muss mindestens in der Bürozeit zugänglich, das behauptete Zertifikat bei Bedarf jederzeit einsehbar sein, um seine Funktion erfüllen zu können usw.
In der Regel treten die o.g. drei Schutzziele gemeinsam auf und sie sind zugleich die Grunderwartung an jede vertrauensvolle Beziehung in der privaten wie in der geschäftlichen Domäne. In der Vergangenheit war der persönliche Kontakt mit dem Urheber einer Nachricht oder die unmittelbare Inaugenscheinnahme eines behaupteten Sachverhalts ihr Garant. Noch heute werden beispielsweise Kaufverträge über Immobilien in einem Präsenztermin in Gegenwart eines Notars unterzeichnet. Bei Streitigkeiten vor Gericht wird man sich in wichtigen Fällen noch immer in einem Lokaltermin direkt von dem in Frage stehenden Sachverhalt überzeugen. Durch die fortschreitende Virtualisierung von Beziehungen und Geschäftsprozessen treten physischer Nachweis und persönlicher Kontakt zwischen Geschäftspartnern (als auch Privatpersonen) aber im Alltag immer mehr in den Hintergrund.
Mit dem Siegeszug des Internets und dem Trend zum Cloud Computing kommen auch Schutzkonzepte, die in der Vergangenheit noch wirksam waren, insbesondere die Sicherung von Informationen in einer physisch vor dem Zutritt durch Dritte geschützten und netzwerktechnisch durch Firewalls vor Zugriff „von außen“ isolierten Umgebung an ihre Grenzen. Veränderte Arbeitsformen, aktuell insbesondere die stark zunehmende Verbreitung des Arbeitens im Homeoffice führen zum sog. „Verschwinden des Perimeters“, also quasi einem Nach-außen-Stülpen früher abgeschlossener und geschützter Netzwerkinfrastrukturen. [3]
Wie geht es weiter?
Vor uns steht ein tiefgreifender Paradigmenwechsel, wonach die Gewährleistung von Integrität der Informationen nicht mehr allein aus der Sicherheit der eingesetzten Hardware und Netzwerkverbindungen abgeleitet wird (die leider nicht garantiert werden kann), sondern die betroffenen Daten selber um zusätzliche Eigenschaften und Methoden angereichert werden, die es ermöglichen sollen, deren Veränderung oder Fälschung erkennbar zu machen.
Ein dafür schon lange bekannter Weg ist die Bildung einer Prüfsumme, die bei einer Manipulation der Daten fehlschlägt (derartige Verfahren werden bspw. auch bei der Prüfung von Kreditkartennummern oder IBANs eingesetzt). Solche Verfahren lassen sich um sog. „Zertifikate“ ergänzen, die die Authentizität des Senders nachweisen sollen. Dabei handelt es sich um eine Art „elektronisches Siegel“, das die Herkunft einer Nachricht bezeugen soll, wobei eine als vertrauenswürdig eingestufte Zertifizierungsstelle dafür verantwortlich ist, entsprechende Zertifikate nur nach sorgfältiger Überprüfung des Urhebers einer Nachricht zu vergeben. Derartige Methoden stellen eine Verbesserung dar, weil sie die Manipulation von Informationen wenn schon nicht verhindern, so doch immerhin nachträglich erkennbar werden lassen.
Aber auch diese Methoden greifen zu kurz; zum einen, weil die zugrundeliegenden Technologien ihrerseits kompliziert und fehleranfällig sind, zum anderen, weil der Ansatz, einigen wenigen, zentralen Instanzen eine übergeordnete Sicherheitsfunktion in einem fortlaufend in allen Dimensionen wachsenden und nach Autonomie strebenden Internet zuzuschreiben, grundsätzlich widersprüchlich erscheint. Für eine bestimmte Art von Nachrichten, nämlich Transaktionen, stellt hier der Einsatz einer sog. „Blockchain“ eine fundamentale Verbesserung dar, indem die Rolle der zentralen Verwaltung des Datenbestandes (in diesem Falle eines Journals bzw. digitalen Kassenbuches) zugunsten eines „Konsensverfahrens“ aufgegeben wird. Im Gegensatz zum klassischen Ansatz, bei dem ein Hauptbuch in der Regel von nur einer Instanz verwaltet wird, werden hier dezentral beliebig viele prinzipiell gleichgestellte Kopien des Kassenbuches von unterschiedlichen Parteien unterhalten. Indem neu hinzuzufügende Transaktionen in allen Kopien übernommen werden und es dabei zu einer Übereinkunft (Konsensus) über den jeweils aktuellen Stand des Kassenbuches kommen muss, kann die Verbreitung von gefälschten Transaktionen praktisch ausgeschlossen werden. [4]
Zero-Trust
Und auch der Art, wie wir Netzwerke designen und den Datenaustausch technisch organisieren, stehen tiefgreifende Veränderungen bevor, die in der Fachwelt als sog. „Zero-Trust-Ansätze“ bezeichnet werden. Wichtigster Grundsatz des Zero-Trust-Modells ist es, niemandem innerhalb oder außerhalb des Netzwerks zu vertrauen. Daraus ergibt sich die Forderung, sämtliche Anwender und Anwendungen zu authentifizieren und den Datenverkehr grundsätzlich zu verschlüsseln. Die Verschlüsselung ist bei der Speicherung und Übertragung von Daten auf Netzwerk- und Anwendungsebene erforderlich. Dieser Paradigmenwechsel hat erhebliche Auswirkungen auf die IT-Security-Architektur, da in Zukunft nicht mehr nur an den Netzwerkgrenzen, sondern im kompletten Netzwerk Sicherheitssysteme vorgesehen werden müssen [5]. Dabei wird auf Grundlage der ausgetauschten Daten permanent der Vertrauensstatus aller im Netzwerk angemeldeten Systeme, Anwendungen und Nutzer überprüft und bei Verdachtsfällen der Zugang eingeschränkt oder unterbrochen.
In sehr kurzer Zeit werden wir auch sehen, dass die zuvor aufgezählten Verfahren um die Tätigkeit von KI bzw. Machine Learning ergänzt werden (ein erstes Beispiel dafür sind verhaltensbasierte Virenscanner der neuesten Generation, wie sie bei Netfonds bereits im Einsatz sind). Expertensysteme werden fortlaufend das Inventar aller informationsverarbeitenden Systeme in einer Organisation überwachen, auffälligen Netzwerkverkehr kontrollieren, ausgetauschte Daten auf ihre Integrität überprüfen und jegliche Form der Abweichung analysieren und deren Verursacher erforderlichenfalls isolieren. Der Informationsverbund der Zukunft wird so immer weniger ein einfaches Netzwerk aus zusammen gestöpselten Computern, Datenspeichern und Servern sein, sondern immer mehr einem lebendigen Organismus ähneln, der mit einer eigenen Immunabwehr ausgestattet ist, Bedrohungen autonom begegnen kann und dabei sogar Selbstheilungskräfte entfalten wird.
Gleichermaßen sind wir alle aufgerufen, fortwährend wachsam und kritisch gegenüber allen Informationen, Nachrichten und Anschauungen zu sein, die uns per E-Mail, Internetartikel, Post oder Stream erreichen. Nur als „menschliche Firewalls“ werden wir in der Lage sein, uns selbst, unsere private Umgebung und unseren Arbeitsplatz vor Täuschungsversuchen, „Fake-News“ und wirklichen Angriffen auf unsere Sicherheit zu bewahren. Dafür wird auch notwendig sein, dass wir alle, angepasst an den jeweiligen Umfang, in dem wir uns innerhalb der digitalen Welt bewegen, entsprechende Kompetenzen aufbauen. Nur so wird sich jeder von uns auf Dauer gegenüber der Macht der Computer (und derer, die diese missbrauchen) behaupten können.
Bild: Canva
Hintergründe und Quellen:
[1] https://de.wikipedia.org/wiki/Neil_Postman
[2] https://de.wikipedia.org/wiki/Turingmaschine
[3] https://www.cloudflare.com/de-de/learning/access-management/what-is-the-network-perimeter
[4] https://de.wikipedia.org/wiki/Distributed-Ledger-Technologie
[5] https://www.security-insider.de/was-ist-ein-zero-trust-modell-a-752389/
„Die Macht der Computer“ – ein Artikel, dessen Abfassung im Jahre 2021 jenseits der Macht der Computer liegen dürfte.
Charmant und amüsant verfasst – wer hätte das von einem Artikel über IT-Security erwartet!?
Großes Lob!