Aachen - "Für Sicherheit gibt es keine Endstation"

"Für Sicherheit gibt es keine Endstation"

Von: Axel Schmidt
Letzte Aktualisierung:
2_02240767_1910722.jpg

Aachen. Taher Elgamal begann seine Karriere als Kryptograf vor über 30 Jahren und gilt als der Erfinder von SSL. Im Gespräch mit der COMPUTERWOCHE skizziert er seine Sicherheitsphilosophie und betont wie wichtig es sei, die richtigen Risiken einzugehen.

Elgamal: Warum sollte man das anstreben? Ich halte das für albern.

Elgamal: Wenn Sie das Beste aus Ihren Vermögenswerten machen wollen, müssen Sie Ihr Geschäft richtig managen. Genau so müssen Sie auch an das Thema Sicherheit herangehen. Es ist ein Teil der Managementaufgabe. Es geht eben nicht nur darum, einige Technologien zusammenzustellen oder Leute anzuwerben. Es geht darum, welchen Teil des Betriebes Sie in die Hand nehmen wollen, um sicherzustellen, dass das Thema Sicherheit richtig umgesetzt wird.

Elgamal: Ich kann es auch philosophisch formulieren: Die Reise ist das Ziel. Ganz gleich, wie Sie es nennen, im Endeffekt muss jedem klar sein, dass es für Sicherheit keine Endstation gibt. Viele Leute meinen, sie können sich mit Sicherheit auseinandersetzen und dann einen Abschluss finden. Aber so funktioniert das eben nicht.

Elgamal: Was ich sage ist, dass Unternehmen lernen müssen, welche Risiken sie eingehen wollen, anstatt die falschen Fragen zu stellen. Die Absenz jedweden Risikos führt mit Sicherheit zum Scheitern. Alles läuft auf die Frage hinaus, welche Risiken man eingehen will, weil der daraus resultierende Nutzen interessant ist. Hinzukommt natürlich wie viel man investieren will, um einen Schaden zu verhindern.

Elgamal: Zweifellos. Andererseits: Wie lange predigen Sicherheitsberater diesen Benutzern schon, dass sie vorsichtiger und wachsamer gegenüber offensichtlichen Risiken sein sollen? Trotzdem machen sie, was sie schon immer getan haben.

Elgamal: Die meisten Sicherheitsleute sind wie Linkshänder, die Rechtshändern das Schreiben beibringen wollen. Sie betrachten die Dinge aus einer vollkommen anderen Perspektive.

Elgamal: Es bedeutet, dass wir uns zuerst mit den Prioritäten befassen müssen, bevor wir Lösungen oder Richtlinien entwickeln. Übrigens konnten sehr viele Lösungen aus diesem Grund keine wirkliche Sicherheit schaffen. Nehmen Sie E-Mail zum Beispiel: Mit Content Filtering oder Volumenbeschränkungen konnte man dafür sorgen, dass einige E-Mails nicht die Grenzen der eigenen Organisation verließen. Den Inhalt hat das aber nicht von der Reise abgehalten, denn die Benutzer fanden alternative Wege. Sie kopierten dann einfach sensible Daten auf USB-Sticks oder CDs und verschickten diese mit der Briefpost - in den meisten Fällen unverschlüsselt, damit der Empfänger auch keine Probleme beim Lesen der Daten hatte.

Elgamal: Technologie alleine ist jedenfalls keine Antwort. Erst seit Kurzem haben Unternehmen damit angefangen, Risk-Manager-Positionen zu schaffen, die sich mit potenziellen Gefährdungen für ihr Unternehmen auseinandersetzen. Natürlich hat ein Teil ihres Alltagsgeschäfts auch mit Technologie zu tun, das Meiste jedoch nicht: Sie bewerten das Geschäft und entscheiden dann, wohin die Mittel gehen.

Elgamal: Nein, das Risiko bestimmt die Sicherheit. Nehmen Sie Hacker-Angriffe: Das Ziel kann hier lauten, nicht alle Hacks zu verhindern, sondern nur die, die dem Geschäft schaden können.

Elgamal: Nein, wir sind auf dem Weg. Sie erinnern sich? Und wir treffen Vorkehrungen für eine sichere Reise. Aber der Zug, mit dem wir fahren, benötigt mehr als nur solide Gleise und zuverlässige Bremsen. Wir brauchen auch das richtige Personal, das auch bei hohen Geschwindigkeiten gute Entscheidungen treffen kann. Es kann auch darauf ankommen, Reiniger parat zu haben, damit die Windschutzscheibe immer sauber ist und der Schaffner immer gut sehen kann, was vor sich geht. Das Wichtigste ist jedoch das Teamwork. Denken Sie nur an all die nassen Blätter, die auf den Gleisen liegen. Sie stellen eine große Gefahr für unseren Zug dar, die ihn zum Entgleisen bringen kann. Also brauchen wir Unterstützung, die sich darum kümmert. Und natürlich müssen wir immer das größere Ganze sehen, damit wir unsere Ressourcen richtig verteilen und die Prioritäten entsprechend anpassen.

Elgamal: Es ist so, wie ich bereits gesagt habe: Für Sicherheit gibt es keine Endstation. Man muss bedenken, was man erreichen will. Mit anderen Worten: Was ist das eigene Geschäftsziel? Außerdem muss man sich im Klaren sein, dass es mehrere Sicherheitsschichten gibt: Wenn unsere wertvollsten Vermögenswerte sehr nahe am Internet sind, ist ein Angriff fast zwangsläufig erfolgreich. Wenn sie sich aber hinter mehreren Schichten befinden, haben wir eine deutlich größere Chance, sie zu schützen. Wir können dann vielleicht sogar sehen, wenn jemand einen Angriffsversuch unternimmt, entdecken welche Technologien versagen und welche Nutzer betroffen sind. Sicherheit hat sehr viel mit taktischer Kriegsführung zu tun.

Elgamal: Natürlich hat man seine Wachen im Einsatz, aber die können nur einen Teil der Aufgabe erledigen. Bestenfalls schlagen sie Alarm, wenn die Armee des Feindes auftaucht, doch man sollte stets auf den Ernstfall vorbereitet sein. Vielleicht wird die gegnerische Armee dann sogar abziehen, weil sie einen Angriff für zu gefährlich erachtet. Genauso gilt natürlich, dass man niemals an zu vielen Fronten gleichzeitig kämpfen sollte. Wenn man merkt, dass einige der eigenen Rechner etwas Eigenartiges tun, muss man verhindern, dass sich das im Netzwerk ausbreitet. Es macht einen beträchtlichen Unterschied, ob man einen einzelnen Rechner hat, der von Malware befallen ist oder ein komplettes Netzwerk.

Elgamal: Ganz einfach. Ich würde den oder die Assistentin des CEO anrufen und sagen, dass der CEO in einem Meeting mit einem hochrangigen Manager sitzt. Und weil er für das Gespräch Zugriff auf das eigene Netzwerk braucht, soll ich ihm nun seinen Benutzernamen und sein Kennwort besorgen.

Elgamal: Es ist der am meisten verwendete Hack.

Elgamal: Nein, es ist nur ein Fakt, den ich über die Jahre gelernt habe. Aus diesem Grund sage ich auch, dass wir uns nicht nur auf Technologien verlassen können. Menschen werden sie umgehen, also müssen wir auch den sozialen Faktor berücksichtigen.

Elgamal: Definitiv. Sicherheit hat sich zu einer Branche entwickelt. Als ich vor über 30 Jahren mit Kryptografie begonnen habe, sah das noch ganz anders aus. Die einzigen, die sich damals dafür interessierten waren Nachrichtendienste. Erst das Auftauchen des Internets machte es möglich, dass Sicherheit sich als Branche etablieren konnte. An der ersten RSA-Konferenz 1990 nahmen 50 Besucher teil, bei der letzen waren es über 15.0000. Wir waren es, die diese Branche aufgebaut haben. Doch letztendlich konnte das nur gelingen, weil mit dem Internet ein Risiko für Anwender entstand, das man in den Griff kriegen musste. Bisweilen ist es nötig, sich in Geduld zu üben. Denken Sie nur daran, wie lange es bei den Automobilherstellern gedauert hat, bis sie Basisausstattungen wie Sicherheitsgurte implementiert haben.

Elgamal: Technologie, die einen Zweck verfolgt - und das ist natürlich etwas ganz Anderes als Technologie um der Technologie willen. Man möchte vielleicht das eine verhindern oder das andere ermöglichen, doch es muss stets ein Grund für uns vorhanden sein, das zu tun. Vielleicht spart es Geld, schützt das Individuum oder ermöglicht die Interaktion zwischen Ländern. Dann wird Technologie interessant.

CW: Herr Dr. Elgamal, vielen Dank für dieses Gespräch!

© IDG / In Zusammenarbeit mit computerwoche.de
Leserkommentare

Leserkommentare (0)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert