KOLUMNE Informationssicherheit – ein Blick in die Kristallkugel Der Chemiker Hans-Jürgen Quadbeck-Seeger bemerkte einst: «Je langfristiger die Prognose, desto ähnlicher wird sie der Fata Morgana.» Gilt dies für die reale Welt, so gilt es noch stärker für die virtuelle, dynamische Welt der ICT. Dennoch muss sich die Informationssicherheit trotz möglicher Unschärfen und Fehleinschätzungen ausser mit dem Tagesgeschäft auch intensiv mit längerfristig relevanten Bedrohungen und Abwehrstrategien beschäftigen. Aufbauend unter anderem auf Überlegungen von Alexander Kott und Ananthram Swami vom US Army Research Laboratory sowie Patrick McDaniel von der Pennsylvania State University ist in einem zehnjährigen Zeithorizont mit folgenden Informationssicherheitstrends zu rechnen. Der Autor Hannes P. Lubich, Professor für Informatik, Fachhochschule Nordwestschweiz 1. Neue Computer-Paradigmen Quanten- und Neurocomputer werden eine starke Parallelisierung der Rechenleistung für das «Data Mining» oder Angriffe auf verschlüsselte Daten erlauben, wobei diese Rechenleistung auch in den Händen nicht vertrauenswürdiger oder kontrollierbarer Organisationen liegen wird. Ob Quantencomputer die heutige Chiffriertechnik in zehn Jahren bereits vollständig aushebeln können, ist aber fraglich. 4. Systeme mit gemischten Vertrauensverhältnissen ICT-basierte Wertschöpfungsketten werden sehr lang und hochgradig dynamisch, Vertrauensattribute müssten also entlang dieser Kette bewirtschaftet werden. Entgegen den Interessen der Informationssicherheit wird «der Markt» aber Wertschöpfungsketten mit sehr inhomogenem Vertrauen zulasten der Konsumenten erzwingen. 2. Zusätzliche Komplexität durch softwaredefinierte ICT-Umgebungen Alles wird «software-definiert» (Netze, Software, virtuell provisionierte Infrastrukturen usw.) – die Orchestrierung, Kontrolle und Nachvollziehbarkeit werden erheblich schwieriger. Und eine falsch verstandene Agilität in Entwicklung und Betrieb im Sinne disziplinloser «Ad hoc»-IT-Dienste wird die Informationssicherheit erheblich behindern. 3. «Big Data» und «Intelligence» Die weltweiten Datenbestände werden so anwachsen, dass alles «Big Data» ist. Aus einer heute eher nachgelagerten, gezielten Datenanalyse wird für Angreifer wie für Verteidiger eine breit gefasste «Predictive Intelligence» mit verbindlichen Konsequenzen in allen Geschäfts-, Gesellschafts- und Lebensbereichen. Bild: M. Drr & M. Frommherz / Fotolia.com 5. Widerstandsfähigkeit, Selbst-Adaptierung und aktive Verteidigung Durchhaltefähigkeit gegen Angriffe, Selbstadaptierung zur Schadensminderung sowie Fähigkeiten zur automatisierten «Selbstheilung» werden etablierte Designprinzipien der ICT. Systeme sind in der Lage, erkannte Angreifer ihrerseits zu attackieren und so von weiteren Angriffen abzuhalten, Unklar bleibt, was dabei zumutbar und erlaubt ist, und wie sehr sich die Bedrohungslage dadurch «aufschaukeln» wird. Die Automatisierung dieser Fähigkeiten ohne menschliche Kontrolle wird zu signifikanten physischen und virtuellen Schäden führen. Massnahmen Um in Zukunft handlungsfähig zu bleiben, werden drei Massnahmenpakete benötigt: 1. Prävention und Widerstandsfähigkeit «by Design» als Grundprinzip der ICT, 2. konzeptionelles und operatives Beherrschen des «Dreisatzes der Sicherheit»: Detektion, Eingrenzung, Wiederherstellung sowie 3. ausreichend genaues und adaptives Antizipieren beziehungsweise Üben des unvermeidbaren «Ernstfalls». Der Informationssicherheit wird also die Arbeit nicht ausgehen – hoffen wir, dass auch das nötige Budget und Personal vorhanden sein wird. 88 CYBERSECURITY
