Informationssicherheit –
Michael Waidner

IT-Sicherheit als Ziel

Die meisten von uns verwenden täglich IT-Systeme, teils bewusst, oft aber auch unbewusst (z. B. Produktionsstraßen, Herzschrittmacher oder das Stromnetz). Wir benutzen IT-Systeme, weil sie uns einen bestimmten Vorteil bringen: Kommunikation und Unterhaltung, Information und Wissen, Automatisierung und Optimierung von Prozessen.

Dabei erwarten wir stets ein gewisses Maß an IT-Sicherheit:5 Niemand soll uns vom Zugriff abhalten können (availability). Zugleich wollen wir, dass unsere Daten nicht unerlaubt von anderen abgegriffen (confidentiality), die Dienste, die wir verwenden, nicht unerlaubt von anderen manipuliert werden können (integrity). Im Zweifel verlangen wir, dass sich zu wichtigen Vorgängen die Verantwortlichen festgestellen lassen (accountability).

IT-Systeme verursachen aber auch Risiken: Trotz unserer Erwartungen an Qualität und IT-Sicherheit können unsere Daten möglicherweise missbraucht werden, wir können einem Betrüger zum Opfer fallen, von einem falschen Freund hintergangen oder gemobbt werden.

Zunehmend werden Alltagsgegenstände mit digitalen Fähigkeiten (Speicher und Prozessoren) ausgestattet und vernetzt. Waren Produktionsanlagen früher meist isoliert, so werden diese zunehmend in die allgemeine IT ihrer Betreiber integriert. Die Grenze zwischen digitaler und physischer Welt verschwindet allmählich. Auch dies erzeugt Risiken: Nach einem digitalen Angriff versagen vielleicht die Bremsen in unserem Auto, Waren werden an die falsche Stelle geschickt, der Strom fällt aus, oder wir werden falsch behandelt, weil unsere Patientenakte manipuliert wurde.

Sicherheitstechnologie soll dafür sorgen, dass das Risiko unter einem bestimmten Niveau bleibt. Niemand fährt mit einem Auto ohne Bremsen – das wäre zu riskant. Aber nur wenige lassen sich, um im Beispiel zu bleiben, davon abschrecken, dass im Straßenverkehr in Deutschland alleine 2010 mehr als 3.600 Menschen starben.6

Cloud Computing: Neue Technologien, neue Risiken

Neue Technologien wie etwa das Cloud Computing haben den Nachteil, dass wir die damit einhergehenden Risiken oft noch nicht kennen und nur grob abschätzen können.7 Beim Cloud Computing werden die Daten der Nutzer irgendwo im Internet gespeichert und verarbeitet, durch Systeme, die sich eine gewisse Anzahl an Nutzern teilen. Meist werden sowohl das Risiko als auch der Nutzen neuer Technologien zu Beginn überschätzt. Dies führt zu der paradoxen Situation, dass wir Neues für zu riskant halten, es aber trotzdem nutzen.

Zweifel an der Sicherheit ist dementsprechend eines der Hauptbedenken, wenn nach der Bereitschaft zur Nutzung von Cloud Computing gefragt wird. Firmen und private Nutzer befürchten, die Kontrolle über ihre Daten und Prozesse zu verlieren.8

Im Allgemeinen ist es dem Cloud-Betreiber möglich, die Daten seiner Kunden zu lesen. Verschlüsselung der Daten schon beim Nutzer würde dies zwar verhindern, doch eine solche Verschlüsselung findet selten statt und ist derzeit auch nur für reine Speicherdienste vorstellbar, nicht aber für komplexere Aufgaben wie etwa eine Personalverwaltung in der Cloud.9 Wie weiß der Nutzer, ob der Cloud-Betreiber seine Daten ausreichend vor dem Zugriff durch andere Nutzer und die eigenen Angestellten schützt? Wie weiß er, wo die Daten physisch gespeichert sind und ob dabei alle rechtlichen Vorgaben eingehalten werden? Bei außereuropäischen Betreibern werden die Daten womöglich außerhalb der EU gespeichert und ohne Wissen der Nutzer fremden Behörden zugänglich gemacht. Die rein technischen Probleme hinter diesen Fragen stellen sich in gleicher Weise auch in herkömmlichen Rechenzentren, insbesondere im Outsourcing, und können im Cloud Computing auch auf dieselbe Art gelöst werden. Die Nutzer können allerdings nicht direkt kontrollieren, ob und wie ein Betreiber diese Probleme gelöst hat. Stattdessen müssen sie auf seine Versprechungen und auf Auditierungen und Zertifizierungen Dritter vertrauen. Die direkte Auditierung durch einzelne Nutzer wird meist nicht zugelassen und ist auch nur selten praktisch durchführbar.

Die an sich bekannten technischen Probleme werden dadurch verschärft, dass die verwendeten Virtualisierungs- und Managementlösungen sehr neu und daher noch relativ fehleranfällig sind. Dasselbe gilt für die Techniken zum Programmieren von Anwendungen für die Cloud.10 Neue Ressourcen können meist durch die Nutzer selbst dynamisch angefordert werden, ohne Zutun eines Administrators, was diesen Nutzern völlig neue Zugriffsmöglichkeiten auf die Cloud eröffnet.

Auch Kriminelle und Saboteure können Clouds nutzen, z. B. indem sie in der Cloud ein Angriffstool installieren und von dort beliebige Ziele im Internet angreifen. Fälle dieser Art traten in der Anfangszeit des Cloud Computing häufiger auf, sind mittlerweile aber durch sorgfältigere Registrierungsverfahren und entsprechende Kontrollen durch die Cloud-Betreiber eher selten.

Generell besteht die Angst, sich an einen bestimmten Betreiber zu binden: Wie kann man den Anbieter je wieder wechseln? Was geschieht, wenn der Betreiber Bankrott macht oder aus anderen Gründen nicht mehr verfügbar ist? Was passiert dann mit den Daten? Sind dann alle Investitionen in die nun verschwundene Cloud verloren? Auf Dauer werden sich Standards herausbilden, die den Wechsel zwischen Clouds erleichtern. Noch aber existieren nur sehr wenige solcher Standards.

Diesen Risiken stehen hohe Erwartungen gegenüber. Clouds bieten meist nur wenige standardisierte und automatisierte Dienstleistungen an, die dafür aber sehr effizient und damit kostengünstig erbracht werden können. Die Dienstleistungen reichen von Rechnern und Festplatten in der Cloud (infrastructure as a service) bis hin zu komplexen Dienstleistungen wie Dokumentenverwaltung (software as a service). Die Abrechnung erfolgt meist nach Verbrauch (CPU-Stunden, Speicherverbrauch, Lizenzen o. Ä.), und die Nutzer können ihren Verbrauch meist nach Bedarf unkompliziert und schnell nahezu beliebig erhöhen oder senken. Kommerzielle Nutzer erhoffen sich deutliche Kosteneinsparungen. Insbesondere kleinere Unternehmen und Privatleute finden in der Cloud aber auch Angebote, die für sie bis dahin überhaupt nicht realisierbar gewesen wären.

Ob Nutzen oder Risiken überwiegen, hängt davon ab, wofür genau eine Cloud dienen soll. Manche Anwendungen sind risikoarm, z. B. viele Test- und Schulungssysteme. Solch risikoarme Anwendungen dominierten dementsprechend auch den Anfangsmarkt im Cloud Computing. Mit der zunehmenden Erfahrung, Reife und Standardisierung der Cloud-Technologie wandern mehr und zusehends auch sensitivere Daten und Anwendungen in die Cloud.

Mittlerweile hat sich auch die Erkenntnis durchgesetzt, dass man die Sicherheit einer Cloud nicht absolut, sondern nur im Vergleich zu den realistisch denkbaren Alternativen betrachten kann. Man darf vermuten, dass die meisten Unternehmen ohne eigene IT-Abteilung und die meisten privaten Nutzer mit einer gut gewählten Cloud besser fahren werden als mit einer selbst betriebenen IT. Für Großunternehmen und -einrichtungen lassen sich die Effizienz und Kostenvorteile von Clouds oft auch intern, durch Private Clouds, oder durch klassisches Outsourcing realisieren.

Sicherheitstechnologie dient dazu, Nutzen und Risiken in der Balance zu halten. Man kann IT-Sicherheit leicht als »Innovationsbremser« missverstehen. Wie das Beispiel Cloud zeigt, gibt es aber tatsächlich keine Innovation in der IT ohne gleichzeitige Innovation in der IT-Sicherheit.

IT-Sicherheit als Problem

Das Thema Sicherheit stellt offensichtlich ein großes Problem für die IT-Industrie dar. Forscher und Anbieter von Sicherheitslösungen sind sich einig, dass die Sicherheitslage gleichbleibend problematisch ist.11

Wir alle kennen Beispiele für Angriffe auf IT-Systeme:12

Die Vorbereitung und Durchführung von Angriffen erfolgt oft sehr professionell. Es hat sich eine arbeitsteilige...