Ich blicke dieses Jahr auf rund 30 Jahre Erfahrung als Cyber Security Experte und Unternehmer zur\u00fcck. Was als Gedankenspiel in meiner EDV Anfangszeit begann, setzte sich mit einer intensiven Auseinandersetzung mit EDV-Systemen und deren Verl\u00e4sslichkeit fort. W\u00e4hrend das Fachgebiet der EDV-Revision schon in den sechziger Jahren entwickelt wurde, begann die Diskussion um „Datensicherheit“ eigentlich erst Ende der achtziger Jahre. Zuerst im Umfeld der Grosssysteme und mit ersten Angriffsbeschreibungen auf Host-Systeme, sp\u00e4ter aber zunehmend auch auf Netzwerke.<\/p>\n
Parallel entwickelte sich die Kryptologie von einer rein milit\u00e4risch gepr\u00e4gten Fachrichtung zu einer Wissenschaft, die Hoffnung und L\u00f6sungen f\u00fcr die zuk\u00fcnftige Sicherung von Daten versprach. Viele der grundlegenden Umsetzungsans\u00e4tze wurden in den 90er Jahren entwickelt. Ein wesentlicher Meilenstein war der Schritt: „From Obscurity to Security“, also der Verwendung von publizierten Algorithmen und deren Anwendung f\u00fcr die Sicherung von „Transaktionen“ (was dies wirklich bedeutete, war nur den wenigsten im Ansatz klar). Diese bedeutet n\u00e4mlich u.a., dass die Verschl\u00fcsselungsverfahren f\u00fcr die breite Masse einsetzbar wurden, da die Implementierung nun softwarebasiert erfolgen konnte und diese Implementierung nachvollziehbar war. Der Anfangserfolg von Phil Zimmermann’s PGP<\/a> liefert den Beweis dazu.<\/p>\n In dieser Zeit konzipierten wir bei r3 security engineering<\/a> bereits Sicherheitsverfahren im Hinblick auf die neue Welt des Internets. Wir schufen f\u00fcr die damalige Telekurs einen Standard (TBSS = Telematics Base Security Services) der\u00a0 die Grundlage geliefert hat, wie man im E-Banking ein einheitliches Sicherheits-Front End h\u00e4tte anbieten k\u00f6nnen. Also ein System, welches die sicherer Authentifizierung und Verschl\u00fcsselung, unabh\u00e4ngig von der E-Banking-L\u00f6sung, realisiert h\u00e4tte. Wie viele andere bahnbrechende Ideen wurde auch diese durch die uneinige Bankenlobby erfolgreich versenkt. Statt dessen haben wir heute f\u00fcr jedes Online-Banking eine eigene Sicherheitsl\u00f6sung (sic!).<\/p>\n Ein grosser Dank gilt Bruce Schneier<\/a>, er hatte erstmals ein Kryptobuch<\/a> publiziert, welches auch f\u00fcr den Nichtmathematiker lesbar und verst\u00e4ndlich war (was nat\u00fcrlich bei den Hardcore-Kryptologen gar nicht gut ankam). Er hat aus meiner Sicht wesentlich dazu beigetragen, dass sich die Verschl\u00fcsselungsverfahren schneller ausbreiteten.<\/p>\n 1999 wurde das Thema Informationssicherheit erstmals auch f\u00fcr die Chefetage zum Thema: „Mein Sohn hat \u00fcbers Wochenende mit meinem Laptop gespielt, jetzt geht er nicht mehr“. So oder \u00e4hnlich wurden die ersten Viren wahrgenommen. Von da an war das Thema Sicherheit zumindest bei Grossunternehmen etabliert, wenngleich noch mit schmalen Budgets und wenig Know-how. In diese Phase f\u00e4llt auch die starke Entwicklung der PKI-Infrastrukturen und dem Entstehen des eCommerce sowie der Schaffung der ersten Gesetze dazu (z.B. Signaturgesetze). Verschiedene EU-Forschungsprojekte, an welchen auch wir teilnahmen, hatten seit ca. 1993 die Grundlagen f\u00fcr die Umsetzung in Europa geschaffen. Mit der Dotcom-Krise starben auch hier viele ausgezeichnete Konzepte, die bis heute nicht wiedergekommen sind.<\/p>\n Die Nullerjahre waren gepr\u00e4gt durch die Konsolidierung des Anbietermarktes. Nachdem die amerikanischen Beh\u00f6rden 1997 mit der Strategie gescheitert waren, Verschl\u00fcsselungsverfahren zu schw\u00e4chen (die ber\u00fchmte 56bit Netscape-Verschl\u00fcsselungs-Diskussion<\/a>), begannen sie, subtiler zu agieren.\u00a0 Sie habe sich \u00fcber Tarnfirmen systematisch an Sicherheitsfirmen zu beteiligt um diese zu beherrschen (man m\u00f6ge mir hier den Beweis erlassen, wir bewegen uns hier in einem Umfeld, welches f\u00fcr Transparenz nicht wirklich empf\u00e4nglich ist). Gleichzeitig wurden Backdoors in Software eingebaut und die Spionageaktivit\u00e4ten (Echelon<\/a>) massiv ausgebaut. Transantlantische Netzverbindungen wurden angezapft und so ist heute eigentlich jegliche Art von Netzwerkverkehr f\u00fcr Geheimdienste und deren Auftraggeber transparent (was durch die Politik in der Regel einfach ignoriert wird).<\/p>\n Die Nullerjahre waren auch NULL was die Entwicklung der Cybersecurity angeht. Grundlegende Konzepte, welche in den Neunziger entwickelt wurden, wurden kaum mehr weiterentwickelt (das hat sicher auch damit zu tun, dass Cybersecurity auf die Ebene der strategischen Kriegsf\u00fchrung kam). De facto treten wir hier seit Langem an Ort. Ist das f\u00fcr die Praxis von Bedeutung? Nicht wirklich, denn die Grund\u00fcbel oder politisch korrekter ausgedr\u00fcckt, Schwachstellen in den Infrastrukturen wurden nicht verringert, sondern erh\u00f6ht. Mit dem Einsatz von Windows als fl\u00e4chendeckender Infrastruktur setzte man auf ein Betriebssystem, welches zu Beginn nur als Desktop-OS konzipiert war. Kein Mensch h\u00e4tte in den achtzigern Jahren darauf gewettet, dass dies eine\u00a0 Konkurrenz f\u00fcr „ernsthafte“ Betriebssysteme sein w\u00fcrde. Oder anders formuliert: Die Sicherheit der Welt h\u00e4ngt heute von einem Betriebssystem ab, welches als Schreibmaschinen-Ersatz (DOS) f\u00fcr die erste Intel-Prozessorgeneration konzipiert wurde. Gleiches gilt aber auch f\u00fcr die Kommunikationsschicht. Das Internet war und ist technisch gesehen eine Spielerei. Die UDP\/TCP Protokolle waren als Konzepte interessant und im wissenschaftlichen, bzw. universit\u00e4ren Umfeld auch spannend. Eine Anwendung als globales Netz, an dem die Schicksale ganzer Volkswirtschaften h\u00e4ngen, h\u00e4tten wohl alle Erfinder weit von sich gewiesen. Es gibt in der Internet Architektur haufenweise L\u00fccken, die nachtr\u00e4glich gef\u00fcllt werden mussten (meist nur schlecht oder recht). Ein Thema davon ist die Sicherheit. Noch wichtiger w\u00e4re es gewesen, die jederzeitige Nachvollziehbarkeit der Verlinkung zu implementieren. Dies h\u00e4tte es erm\u00f6glicht, jederzeit zu wissen, wer einen eigenen Inhalt verlinkt hat.\u00a0 Damit h\u00e4tte man auf einen Schlag\u00a0 haufenweise Probleme verhindert, z.B. Fake news,\u00a0 copyright infringements etc.<\/p>\n Kurz und gut, alles was wir in der Cyber Security tun ist „aufgesetzt“. Wir stehen bei der Entwicklung etwa dort, wo Volvo war, als sie den ersten 3-Punkt Sicherheitsgurt<\/a> serienm\u00e4ssig eingebaut hatten. Vorher war das System „Auto“ brandgef\u00e4hrlich, die Sicherheitsmittel mehr als bescheiden. Trotzdem hat es Jahre gedauert, bis die Gurtpflicht eingef\u00fchrt wurde. Dummerweise hat ein Unfall im Internet wesentlich gr\u00f6ssere Auswirkungen, als wenn ich mit 120 Sachen in einen Baum rase.<\/p>\n Die Cyber Security Industrie setzt im Jahr weltweit rund 90 Mia. USD um, das Sicherheitsbefinden der Anwender ist seit Jahren r\u00fcckl\u00e4ufig und die erfolgreichen Angriffe nehmen zu. Fasst man die wesentlichen Fehler zusammen, welche die Industrie (Wir!) gemacht haben, dann lassen sie sich wie folgt summieren (vgl. auch den 2011 mit Rolf Oppliger<\/a> verfassten Artikel „Biggest misconceptions in information security<\/a>„):<\/p>\n Schaut man in die nahe Zukunft, dann gibt es ein paar beunruhigende Tendenzen\/Prognosen:<\/p>\n Es stellt sich die berechtigte Frage, was der Unternehmer selbst tun kann, um seine Risiken m\u00f6glichst in den Begriff zu bekommen:<\/p>\n Schlussfolgerung: Was f\u00fcr die Digitalisierung gilt, gilt auch f\u00fcr die Cybersecurity. Man h\u00e4tte vieles schon lange machen k\u00f6nnen, hat es aber aus verschiedensten Gr\u00fcnden nicht gemacht, Bequemlichkeit ist nur einer davon. W\u00e4hrend der Unternehmer in seinem Betrieb einigermassen Ordnung herstellen kann, sind ihm die H\u00e4nde gebunden, wenn es um die internationalen Themen geht. Hier ist die Politik gefordert.<\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Ich blicke dieses Jahr auf rund 30 Jahre Erfahrung als Cyber Security Experte und Unternehmer zur\u00fcck. Was als Gedankenspiel in … \n
\n
\n