Zur Sicherheit brauchen wir Hacker

Die Wirtschaft wird sich selbst helfen müssen. Die Bundespolitik führt eine Cyber-Sicherheits­strategie für Deutschland zwar auf der Agenda, aber Projekte wie die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) kommen nicht aus den Startlöchern.

Ein Grund: Der Staat und die Hacker-Community konnten sich nie anfreunden. Ein weiterer Grund: Security-Fachleute gehen lieber in die Wirtschaft. Und wenn Unternehmen heute Hilfe gegen Plagen wie DDoS-Reiterei (Seite 16) oder Ransomware-Erpressung (Seite 18) finden, dann kommt sie von dorther: aus der Wirtschaft selbst.

Fatalerweise warten viele Firmen dennoch zuerst ab, welche Vorgaben die Politik macht. Das ist angesichts des Investitionsrisikos verständlich, aber zugleich hochriskant. Die Kostenfrage an die IT-Sicherheit ist mit Blick auf die Ausgaben nicht gut gestellt; besser wäre die Frage, welche Ausgaben ein allfälliger Sicherheitsvorfall aufwürfe (Seite 8). Dass er kommt, ist absehbar; dass er trifft, ist abwendbar.

Darum konzentrieren sich diese Seiten auf Lösungen, die zwar (noch) nicht Vorschrift sind, dafür aber das Risikospektrum der Firmen-IT gezielt ausdünnen. Bestes Beispiel: Die Authentifizierung mit Handvenenerkennung (Seite 10) funktioniert mittlerweile zuverlässig, sauber, stabil und ist nicht manipulierbar. Wie damit eine Zutrittskontrolle zu Sperrbereichen oder Rechenzentren einzurichten ist, hat Wolfgang Rackowitz zuletzt auf der diesjährigen CeBIT Security Plaza anhand von zahlreichen Realbeispielen erläutert. Und das war nur einer von etlichen hochinteressanten Vorträgen, die ich auf der Messe moderieren durfte.

Aber auch abseits der publikumswirksamen Trends (Big Data etc.) und Angstmacher (Darknet etc.) gibt es erprobte Lösungen, zum Beispiel für ein Password-Management (Seite 14), das einfach genug ist, sodass Mitarbeiter nicht zur Selbsthilfe greifen müssen – selbst dort, wo ständig wechselnde Beschäftigte am selben Rechner arbeiten (Seite 5) oder auf denselben Multifunktionsdrucker zugreifen (Seite 12).

Und wir werfen einen Blick in die Zukunft, in eine mögliche Zukunft: Vielleicht sind dort Maschinen mit künstlicher Intelligenz die besseren Hacker. Das hat das Cyber-Grand-Challenge-Turnier, bei dem hackende Maschinen auf Maschinen losgelassen wurden, gezeigt (Seite 6). Es hat aber auch gezeigt: Den Maschinen fehlt die Bosheit, der Wille zum Tricksen und Betrügen. Ausrichter des Turniers war übrigens das US-Militär in Gestalt der DARPA (Defense Advanced Research Projects Agency). Ich kann mir zwar vorstellen, dass das deutsche Verteidigungsministerium strategische Forschung mit Hacker-Teams treibt. Aber leicht fällt es hierzulande wahrhaftig nicht.

Quelle: Security Solutions 1/2017 in c’t 11/2017