Technik macht blind

McK: Herr Schneier, legen Menschen an die Sicherheit von Computersystemen andere Maßstäbe an, als wenn es um die eigene physische Unversehrtheit draußen auf der Straße geht?

Bruce Schneier: Wir kennen uns mit der wirklichen Welt um uns herum gut aus, und wir besitzen einen Instinkt, wie Dinge funktionieren. Technik – egal, ob es um Flugzeuge oder das Netz geht – trübt diese intuitive Wahrnehmung und beeinflusst unsere Reaktion auf Risiken. Die meisten Leute, zumindest in den USA, besitzen eine große Technikgläubigkeit. Sie denken, Technik biete ihnen Sicherheit. Wenn man nur das richtige Computersystem kauft und die angemessene Portion Sicherheitsprogramme darüber stülpt, dann, meinen sie, seien die Rechner wie von Zauberhand gesichert. Ein aktuelles Beispiel sind die falschen Hoffnungen, die die Leute in Gesichts-Scanner und computerisierte Passagier-Profile im Luftverkehr setzen. Auch da herrscht der Irrglaube, eine genügend große Technik-Installation werde alle Probleme lösen. Das klingt sehr verlockend, aber es stimmt natürlich nicht.

Sollten wir also grundsätzlich – auf der Straße wie am Bildschirm – mit mehr Vorsicht agieren?

Dasselbe kritische Denken wie im Alltag sollte auch bei der IT-Sicherheit die Richtschnur sein. Wir sollten uns dem Thema Sicherheit immer mit der gleichen Skepsis nähern, an Vor- und Nachteile denken und daran, welche Maßnahmen zu welchem Preis sinnvoll sind.

Hat die Angst vor Terroranschlägen die Aufmerksamkeit gegenüber Risiken und Bedrohungen verändert?

Zurzeit halten viele Menschen Terrorismus für das einzige, oder sagen wir: das größte Risiko. So eine Konzentration ist immer gefährlich, weil wir blind werden für die Folgen. Nehmen Sie die erweiterten Vollmachten, die den Ermittlungsbehörden in den USA jetzt durch das „Patriot-Gesetz“ eingeräumt werden. Viele Sicherheitsvorkehrungen gegen Polizeimissbrauch, die über Jahrzehnte entstanden sind, wurden damit aufgeweicht, weil die Leute nur noch auf eine einzige Gefahr starren. Dabei geht es bei Sicherheit, auch online, immer um eine Balance.

Im Bereich der elektronischen Sicherheit werden auch gern Horrorszenarien skizziert, in denen Cyberterroristen Staudämme öffnen oder einen landesweiten Stromausfall verursachen.

Die Angst vor Cyberterrorismus ist größtenteils eine Folge der Panikmache in den Medien. Und dann passiert dasselbe wie eben beschrieben: Wir überschätzen dieses Risiko bei weitem, während wir das eigentlich ernste Problem – nämlich die weniger spektakulären elektronischen Verbrechen – vernachlässigen.

Ihr neues Buch heißt „Beyond Fear“, Jenseits der Angst. Wie kommt ein Unternehmen dorthin, indem es mehr Sicherheit installiert und Experten wie Sie einstellt?

Angst ist immer nur die Motivation, etwas zu tun. Wichtig ist, dass wir diese Frage auf einer rationalen Basis untersuchen. Dann kann man sich immer noch entscheiden, ob man mehr Technik anschafft oder nicht. Das geht aber nur, solange man sich Sicherheitsfragen ohne irrationale Angst stellt. Letztlich geht es weniger darum, welche Vorkehrungen ich treffe, es geht vielmehr darum, wie ich den Prozess des Nachdenkens und Entscheidens am vernünftigsten organisiere.

Welche Grundsätze sollten neben dem Bewusstsein für Risiken in das Design eines Sicherheitssystems einfließen?

Wir Menschen haben als erfolgreiche, intelligente Gattung eigentlich schon aufgrund unseres Instinkts eine recht gute Voraussetzung. Wir sind, wenn man so will, automatisch gute Risikomanager – es sei denn, wir werden von zu viel Technik geblendet.
Es spielt eigentlich keine Rolle, wie gut eine Sicherheitsmaßnahme ist, sondern ob sie sich lohnt. Kaum jemand trägt zum Beispiel im Alltag kugelsichere Westen, und zwar nicht, weil sie nicht funktionieren, sondern weil wir uns entscheiden, dass sie den Aufwand nicht wert sind. Die Kosten lassen sich auf verschiedene Weise messen: Unannehmlichkeit, Geld, Zeit, persönliche Freiheit, Mobilität.

Woher weiß ein Unternehmen oder ein IT-Manager, welche Sicherheitsmaßnahmen lohnen und welche nicht?

Weil Technologie die Sinne trübt, empfehle ich immer fünf Fragen, um alle relevanten Punkte zu bedenken. Sie gelten übrigens nicht nur für die Entscheidung, ob ich Windows kaufe oder eine Firewall installiere, sondern auch dafür, ob ich nachts eine Straße entlanglaufe. Frage 1: Was sind die Güter oder Werte, die ich schützen will? Das ist in vielen Fällen schwerer zu beantworten, als man denkt. 2: Wie sehen die Risiken aus, und wer sind die Gegner? 3: Wie effektiv funktioniert die vorhandene oder geplante Sicherheitsmaßnahme? 4: Welche anderen Risiken und Gefahren birgt sie in sich? Neue Gefahren tun sich immer auf, aber sie sollten stets geringer sein als die eigentlichen Risiken. 5: Wie hoch sind die Kosten insgesamt, und wie hoch sind die unvermeidlichen Opportunitätskosten – etwa durch den erschwerten Zugang der eigenen Angestellten zum Firmennetz?

Wie soll ein Unternehmen beispielsweise Frage 3 beantworten? Ob IT-Sicherheit wirklich funktioniert, weiß man oft erst, wenn es zu spät ist.

Dann muss man sich eben auf unsicherem Gelände entlangtasten. Dieses Problem tritt bei jedem Entscheidungsprozess auf: Die Leute erwarten immer eine allein selig machende Antwort. Es gibt aber keine magische technische Lösung. Leben ist Risiko! Manchmal gibt es einfach keine Antworten auf diese Fragen, manchmal kennen wir sie nur noch nicht. Aber deswegen darf man sich nicht lähmen lassen oder die Fragen gar nicht erst stellen. Man muss die Ungewissheiten abwägen und dennoch eine Entscheidung treffen.

Wie wichtig sind die Leute, die eine Risikoanalyse durchführen und sich für oder gegen ein Sicherheitssystem entscheiden?

Gute Sicherheitsvorkehrungen sind auch deshalb so schwer zu treffen, weil eine Menge unterschiedlicher Parteien beteiligt sind, die alle ihre eigene Wahrnehmung und Risikotoleranz mitbringen. Sie haben ihre eigene Agenda und unterschiedlichen Einfluss, und das gilt auch für die Seite der potenziellen Angreifer. Jedes Sicherheitssystem basiert auf einer Sicherheitspolitik, die von jemandem bestimmt werden muss. Deswegen sind Sicherheitsmaßnahmen nie wertneutral: Sie verlagern Macht und Einfluss von einer Partei zu einer anderen.

Manager in einem Unternehmen ziehen oft nicht am selben Strang. Die Netzwerk-Experten wollen andere Sicherheitsmaßnahmen als der Vertrieb oder der Kundendienst ...

Genau. Jede Partei hat außer der Sicherheit auch noch andere Dinge auf der Agenda, und oft setzen sich andere Belange und Prioritäten auf Kosten der Sicherheit durch. Einige Maßnahmen oder Schutzvorkehrungen geben uns auch nur das Gefühl von Sicherheit – das nenne ich Sicherheits-Theater. Darunter fällt beispielsweise die Annahme der meisten Menschen, Gespräche am Handy seien dank digitaler Technik sicher. Stimmt nicht, aber auch ein solches Sicherheits-Theater ist nicht völlig nutzlos, denn es schreckt dumme und faule Angreifer ab.

Was sind die häufigsten Fehler von Unternehmen, wenn es um den Entwurf und Betrieb eines IT-Sicherheitssystems geht?

Firmen unterschätzen die Gefahren durch Insider, also Mitarbeiter, und sie überschätzen den Wert ihrer Technologie. Sie glauben: Wir haben eine Firewall, also kann uns nichts passieren. Außerdem lassen die meisten den Wandel außer Acht. Sicherheitstechnik entwickelt sich aber ebenso kontinuierlich weiter wie neue Risiken heranwachsen. Schlimmer noch, für jede neue Technik entstehen bald neue Anwendungsmöglichkeiten. Was anfangs eine gute Sicherheitsmaßnahme war, verliert seine Wirkung, wenn das System plötzlich anders eingesetzt wird.

Können Sie das etwas genauer erläutern?

Nehmen Sie ein Zahlungssystem, das angelegt wurde, um kleine Beträge abzuwickeln, und durch das plötzlich tausende von Dollar fließen. Die Sicherheitsvorkehrungen mögen für kleinere Summen sinnvoll und ausreichend gewesen sein. Aber jetzt klaffen große Lücken – und niemand sieht sich das System noch einmal gründlich an. Solche Fehler passieren ständig. Man hat ein System eingerichtet, und es ist bequem, seine Funktion einfach auszuweiten.

Der Schlüssel zu guter Sicherheit liegt also weniger in der richtigen Technik als vielmehr bei den Menschen, die sie entwerfen, installieren, warten und bedienen.

Klar, Sicherheit dreht sich immer um den Menschen, die Technik ist nur der stumme Diener. Nehmen wir Firewalls. Die meisten funktionieren schlicht und einfach nicht. Und zwar nicht, weil sie technisch schlecht sind, sondern weil sie falsch installiert wurden. Oder Netzwerke, bei denen die Administratoren keine Updates und Patches installieren. Mangelnde Wartung führt zu enormen Sicherheitslöchern. Die Liste lässt sich beliebig verlängern, und die Fehler drehen sich immer um den Faktor Mensch. Die technischen Probleme sind damit verglichen relativ leicht zu lösen.

Stellt sich nicht bei jedem System die grundlegende Frage, wie man seine Benutzung für berechtigte Anwender so einfach und für Angreifer so kompliziert wie möglich macht?

Sicherheitsvorkehrungen, die sich nur auf die wenigen Bösewichter konzentrieren, funktionieren in der Regel nicht besonders gut. Wenn ein Geldautomat nur die Abwehr im Sinn hätte, könnten ihn die meisten Leute nicht benutzen. Man sollte nie vergessen, dass sich die meisten Mitglieder unserer Gesellschaft an die Gesetze halten. Die legitimen Anwender sind die treibende Kraft eines gut durchdachten Systems – sie bestimmen, wie es funktioniert.
Nehmen wir noch einmal das Beispiel der Firewalls. Einer der Hauptgründe, warum sie so schlecht installiert sind, liegt an der Frustration der berechtigten Nutzer. Die Firewall blockiert ihre Arbeit so sehr, dass der Systemadministrator irgendwann nachgibt und den Zugang erleichtert. Das stellt die Anwender zufrieden – aber es ist keine sonderlich gute Sicherheitslösung mehr.

Menschen, die mit Technik und Sicherheit umgehen, muss man vertrauen können. Welche Risiken muss ein Unternehmen abwägen?

Vertrauen ist der schwierigste Teil der Gleichung. Allerdings gibt es eine Reihe von Sicherheitsmaßnahmen, um Vertrauen zu regeln und zu kontrollieren. Zunächst einmal gilt es, die Vertrauenswürdigkeit von Personen festzustellen, bevor man ihnen Geheimnisse anvertraut. Die Eingrenzung von Befugnissen ist eine weitere bewährte Methode: Man gibt seinen Angestellten ebenso wenig den Generalschlüssel für die Firma, wie man ihnen das Master-Passwort für das Unternehmensnetz geben sollte. Die dritte wichtige Komponente ist Redundanz. Zwei oder mehr Leute sind notwendig, um bestimmte Dinge zu tun oder zu autorisieren.
Um auf das Beispiel Geldautomat zurückzukommen: Es gibt Leute, die jene Maschinen mit Geld füllen, andere, die sie warten, man braucht Bankangestellte, die Zugang haben, und die Fahrer von Geldtransportern. Bei den Personen, die zu einem IT-System Zugang haben, muss man an einen groß gefassten Kreis denken, der weit über den engen Unternehmenskern hinausgeht. Der Los Angeles International Airport beispielsweise beschäftigt 59.000 Menschen. Und die müssen alle, in unterschiedlichem Grad, vertrauenswürdig sein.

Die Kontrollfunktionen sollte also am besten in konzentrischen oder sich überlappenden Kreisen angelegt sein.

Verteidigung lebt von der Tiefenstaffelung. Man sollte sich nie nur auf eine Schutzvorrichtung verlassen. Wenn man mehrere Schichten hat, gibt es immer noch eine zweite Barriere. Redundanz gehört zu dieser Strategie. Deswegen legen wir Backups von Computerdaten an. Das ist eine höchst wirksame Sicherheitsmaßnahme ...

... wenn der Ernstfall eingetreten ist.

Ja, aber Post-facto-Sicherheitsmaßnahmen sind nicht verkehrt. Im Gegenteil: Man kann viel Geld für Prävention ausgeben, aber Backups sind oft eine weitaus billigere Alternative. Und sie funktionieren. Das macht uns schon die Natur deutlich vor. Für ein menschliches Leben ist ein Backup eine denkbar schlechte Sicherheitsmaßnahme. Ein Hummer hingegen legt bis zu 35.000 Eier – für die Spezies Hummer ist Redundanz eine hervorragende Sicherheitsstrategie. Entweder hat man viele Nachkommen und hofft, dass ein paar überleben, oder man hat nur wenige Nachkommen und investiert viel Zeit und Energie in das Überleben.

Worauf achten Sie in einer Firma, wenn Sie deren Sicherheitssystem evaluieren oder neu anlegen?

Ich schaue auf die Motivation der Sicherheitsbeauftragten. Im IT-Bereich ist die Bezahlung ziemlich ähnlich, deswegen zählt für mich die Unternehmenskultur. Wie behandelt die Organisation die Leute, die mit Sicherheit befasst sind? In vielen Firmen werden sie leider als Problem betrachtet – als diejenigen, die ständig nerven oder nur kommen, wenn etwas schief geht. Ein Unternehmen mit gutem Sicherheitssystem zeigt seine Wertschätzung für das Sicherheitspersonal. Wenn ein IT-Profi Spaß an der Arbeit hat und von seinen Kollegen gut behandelt wird, leistet er bedeutend bessere Arbeit, als wenn er ignoriert oder ausgegrenzt wird.

Der gesunde Menschenverstand legt nahe, dass jedes Sicherheitssystem ein Mix aus Prävention und Reaktion sein sollte. Die Wirklichkeit sieht oft anders aus.

Das bringt uns zu den häufigsten Fehlern in Firmen zurück. Es ist im IT-Bereich ein weit verbreiteter, böser Irrtum zu glauben, dass Prävention ausreicht. Man muss immer alle drei Komponenten berücksichtigen: Schutzvorkehrungen, Überwachung und Reaktion. Die meisten Unternehmen fallen auf ihr eigenes Gerede von guter Prävention herein, installieren ein System und vernachlässigen Kontrolle und schnelles Handeln, wenn sich Lücken auftun oder Angriffe stattfinden.

Moderne IT-Systeme werden immer komplexer. Rechnernetze sind globale Angelegenheiten, in die sich Telearbeiter, Zulieferer und Kunden einloggen können, mehr und mehr drahtlos. Ist dieses technische Innovationskarussell vorteilhafter für die Angreifer oder für die Verteidiger?

So wie das elektronische Wettrüsten im Moment läuft, fürchte ich, dass die Bösewichter die Nase vorn haben. Schlicht und einfach deshalb, weil der technische Fortschritt so viele neue Sicherheitslöcher schafft, die ständig gestopft werden müssen. Deswegen predige ich immer wieder: Leute, habt nicht diesen gefährlichen Irrglauben, dass tolle Technik die Sicherheitssorgen beheben könnte!

Also sind erfolgreiche Attacken und Fehlschläge auf lange Sicht unausweichlich.

Das ist der Preis für die wachsende Komplexität von Systemen, die alle miteinander verwoben sind. Aus diesem Geflecht von Interaktionen entstehen neue Eigenschaften mit unbeabsichtigten Folgen. In gewisser Weise sind alle Sicherheitspannen das Resultat solcher ungeplanten Systemeigenschaften. Sicherheitsvorkehrungen versagen normalerweise an den Nahtstellen zweier Systeme oder zweier Systemteile, denn auf diese wunden Punkte konzentrieren sich Angreifer: die vergessenen Hintereingänge, die fünf Minuten, in denen die Wache auf der anderen Seite des Gebäudes ist, der ungeschützte Privat-Laptop, mit dem sich jemand drahtlos ins Unternehmensnetz einloggt.

Welche unterschiedlichen Spielarten von Systemversagen gibt es, und wie kann man sich dagegen wappnen?

Grundsätzlich gibt es zwei Arten von Systemversagen: aktiv und passiv. Wenn ein Sicherheitsgefüge vor einer Attacke in die Knie geht, ist das passives Versagen. Ein System kann aber auch falschen Alarm schlagen, wenn überhaupt kein Angriff vorliegt. Wenn etwa ein Gesichts-Scanner am Flughafen irrtümlich glaubt, einen Terroristen identifiziert zu haben, spricht man von aktivem Versagen. In den meisten Unternehmen sind aktive Fehler weitaus häufiger als passive. Die aktiven Fehler sind auch die wichtigeren. Sie bestimmen, ob ein System implementiert wird oder nicht – was nicht passieren wird, wenn es öfter falschen Alarm auslöst, als eine wirkliche Attacke zu vereiteln. Als Planer sollte man sich deswegen immer auf aktives und passives Versagen einstellen. Und: Egal, wie gut mein Sicherheitssystem angelegt ist, es wird versagen.

Das muss nicht immer katastrophale Folgen haben ...

Stimmt, dann spricht man von sicherem Versagen – also einer begrenzten Panne. Das System fährt herunter oder schottet sich ab. Ähnlich wie bei einem Auto, das eine Panne hat und deswegen nicht gleich Feuer fängt oder in den Straßengraben rast, sondern sein Tempo verlangsamt und stehen bleibt. Dann greifen Redundanz-Maßnahmen wie Backups. Ein Systemingenieur verbringt eine Menge seiner Zeit mit genau dieser Frage: Wie sorge ich dafür, dass ein System möglichst sicher versagt?

Kein Manager denkt gern über die Unvermeidbarkeit einer Systempanne nach. Finden Sie mit Ihren düsteren Szenarios Gehör?

Es ist etwas einfacher geworden, die Sinne der Gesprächspartner für die realen Bedrohungen zu schärfen, aber zu viele Leute sind immer noch zu technikgläubig. Dazu kommen geografische Unterschiede, was den Preis angeht, den Unternehmen für Sicherheit zu zahlen bereit sind. Insbesondere in Japan herrscht noch immer diese Inselmentalität vor, die davon ausgeht, dass Sicherheitsattacken vor allem in Europa und Amerika passieren. Auch in südeuropäischen Ländern wie Spanien, Portugal und Italien wird der Wert von Sicherheitssystemen niedriger gehängt – selbst bei Banken. Dabei ist Sicherheit natürlich längst ein globales Problem.

---

Dieser Text stammt aus unserer Redaktion Corporate Publishing.