Umdenken gefordert

Experten: „Krieg um IT-Sicherheit ist verloren“

(Bild: stock.adobe.com)

„Der Krieg um die IT-Sicherheit ist verloren.“ Mit dieser Aussage haben Experten am Mittwoch bei einer Diskussionsveranstaltung im Rahmen der Berlin Science Week aufhorchen lassen. Sie fordern daher ein Umdenken: weg von der reinen Prävention hin zur schnellen Reaktion auf Cyberattacken.

Absolute IT-Sicherheit gibt es nicht mehr. Sichere IT-Systeme zu schaffen, um kritische Infrastruktur zu schützen, mag daher ein hehres Ziel sein, ist aber nur mehr ein unzureichender Ansatz, sind sich die Experten einig. „Der Ansatz, Systeme einfach nur zu sichern, ist fehlgeschlagen“, erläuterte Thomas Stubbings von der Cyber Security Platform Austria im Rahmen der vom Austrian Institute of Technology (AIT), dem Complexity Science Hub Vienna und der ETH Zürich organisierten Diskussionsveranstaltung.

Martin Stierle vom AIT erklärte den „Krieg um die IT-Sicherheit“ sogar für verloren: „Wir versagen dabei, sichere Systeme zu produzieren. Es ist unmöglich.“ Es brauche daher eine neue Strategie. „Wir müssen das Spiel unserer Angreifer spielen“, erklärte Stubbings. Das bedeute, in Systeme zu investieren, die Attacken sofort identifizieren können und nicht erst dann, wenn es zu spät ist. Auch das „ethische Hacken“, also das gezielte Abklopfen der eigenen IT-Security auf Lücken durch Computerexperten, sei eine wichtige Präventionsmaßnahme.

(Bild: stock.adobe.com)

Angreifer immer im Vorteil
Der strategische Vorteil liege naturgemäß immer außerhalb: „Der Angreifer muss nur einmal richtigliegen, der Verteidiger die ganze Zeit.“ Eines der wesentlichsten Probleme, IT-Sicherheit zu gewährleisten, besteht in der enormen Komplexität der Systeme.

Genau an dieser Stelle würde Lutz Prechelt von der Freien Universität Berlin ansetzen. Man könne ohnehin fix davon ausgehen, dass es keine 100-prozentige IT-Sicherheit gibt. Daher stelle sich die Frage nach der Organisation der Systeme: „Muss alles, was vernetzt ist, wirklich vernetzt sein?“, forderte Prechelt ein Umdenken, etwa ob es notwendig sei, dass selbst Wasserversorger digital und vernetzt sein müssen. Sinisa Matesic von der ETH Zürich setzte dem entgegen, dass dieser Zug längst abgefahren sei: „Alles bewegt sich in Richtung digital.“

(Bild: thinkstockphotos.de)

„Digitales Fukushima“ 
Entscheidend, so die Experten, sei daher auch eine Bewusstseinsbildung für IT-Gefahren. Ein großer Gegenspieler sei allerdings die menschliche Trägheit, brächten doch Smartphone & Co. neben Alltagsneurosen auch viel Effizienz und Bequemlichkeit ins Leben. Möglicherweise bräuchte es erst ein „digitales Fukushima“, um die Menschen aus ihrer Cyber-Lethargie zu reißen.

Oft scheitert es aber auch an ganz trivialen Hürden, wie Edith Huber von der Donau-Universität Krems erklärte: „Die Leute verstehen das Problem IT-Sicherheit einfach nicht. Die Sprache ist Englisch. Gehen Sie einmal auf die Straße und fragen Sie jemanden: Hatten Sie schon einmal eine Phishing-Attacke?“