Digitalisierung ohne Informationssicherheit hat keine Zukunft

Wien (pts007/10.07.2020/09:05) – Die Monate, in denen wir die Auswirkungen diverser Quarantänemaßnahmen auf unseren Alltag kennenlernen durften, haben der Bedeutung der Informationstechnologie entschieden Nachdruck verliehen. Zwar ist das Internet schon lange in vielen Branchen integraler Bestandteil von Beruf und Alltag, aber die physischen Beschränkungen aufgrund der Covid-19-Pandemie hätten ohne moderne Telekommunikation noch wesentlich einschneidender für Behörden, die Wirtschaft und die Gesellschaft sein können. Audio-, Video- und Chat-Plattformen haben Schlimmes verhindert. Dem Ruf nach mehr Digitalisierung fehlt allerdings die wichtigste Zutat – die Informationssicherheit.

Publizierte Software ist sicher, oder?

In der Welt der Softwareentwicklung gibt es den inoffiziellen Spruch, dass ein Produkt fertig ist, wenn man es installieren kann. Der Rest ergebe sich ja dann im Betrieb. Das mag nicht die Regel sein. Einige Branchen betreiben sehr gewissenhafte Qualitätssicherung. Oft ist die Popularität der Feind der Qualität. Die Verbreitung von Software ist leider keine geeignete Metrik für die Inhalte. Im Falle der Telekonferenzplattform Zoom konnte man auch gut erkennen, dass dieses Produkt eigentlich für einen ganz anderen Zweck bzw. eine andere Zielgruppe gedacht war.

Darüber hinaus sind Fehler in Software gängig und lassen sich nur mit sorgfältigen Tests, Prozessen zum Aufspüren von Fehlfunktionen und Feedbackschleifen zurück zum Code beseitigen. Dieser Weg bedarf Zeit, die Start-ups nicht unbedingt haben. Als Folge daraus ist der Stand der Sicherheit in publizierter bzw. verfügbarer Software bestenfalls unbekannt.

Bevor ein Programm zur Verfügung stehen kann, muss es Design, Prototypen und schließlich eine Implementation geben. Erste Voraussetzung ist das sogenannte Secure Design. Werden am Anfang grundlegende Fehler gemacht, so kann die spätere Implementation daran nichts mehr ändern. Bildlich gesprochen kann ein Auto mit einer Bambuskarosserie bestimmten Herausforderungen nie genügen. Bei Software ist es genau so. Die zweite Voraussetzung ist das Secure Coding, also das Programmieren mit Methoden, die Fehler in der Software minimieren. Das ist die Theorie. Die Praxis sieht anders aus.

Secure Design und Coding sind nicht optional

Secure Design/Coding sind keine Features, welche sich leicht ein- oder ausschalten lassen. Man hat sie entweder berücksichtig, oder sie fehlen. Einen Mittelweg gibt es nicht. Darüber hinaus bietet eine sichere Software gegenüber der gleichartigen, schneller entwickelten, beliebteren und günstigeren Lösung auf den ersten Blick keine unmittelbaren Vorteile. Der Code funktioniert ja in beiden Fällen. Der Unterschied kommt erst in Ausnahmesituationen zum Vorschein. Psychologisch sind Vorteile, die man im normalen Betrieb nie sieht, sehr schwer zu bewerben.

Im Falle von Zoom war es zwar einfach, auf die Verfehlungen im Bereich der sicheren Implementation hinzuweisen, aber die Schwächen waren vorher ohne kritisches Hinterfragen weltweit bei allen Installationen in täglicher Verwendung. Es wurden zu wenig Fragen gestellt. Dasselbe Problem findet sich vielfach in Wohnzimmern und Büros weltweit. Ganze Wirtschaftszweige verlassen sich auf Produkte, die sehr komplex sind, über Netzwerke wechselwirken und möglicherweise nie für die Aufgaben, die sie heute verrichten, gedacht waren. Dokumenterstellung und -verarbeitung ist ein weiteres verbreitetes Beispiel.

„Digitalisierung!“ rufen und Ausbildung stützen!

Um die Digitalisierung mit Informationssicherheit zu versehen, läuft man in ein didaktisches Dilemma. Methoden der sicheren Softwareentwicklung und des sicheren Designs kann man erst lernen, wenn man ein Grundverständnis von der Funktionsweise von Computern, gängigen Programmiersprachen (Plural, also mehr als eine), Netzwerkprotokollen und Betriebssystemen hat. Ohne Vorwissen lassen sich die grundlegenden Prinzipien nicht erfassen. Aus diesem Grund sind Themen der IT-Security fast ausschließlich Wahlfächer, die man nach seiner Grundausbildung belegt. Die Praxis in Unternehmen bestätigt dies.

Laut Recruitern großer Tech-Firmen aus dem Silicon Valley müssen Sicherheitsspezialisten in mindesten drei verschiedenen Bereichen mehrere Jahre lang gearbeitet haben, um überhaupt für eine Stelle in der Informationssicherheit in Betracht zu kommen. Dieser Ansatz verläuft komplett diametral zur Ausrichtung vieler Ausbildungsstätten. Der viel beschworene Fachkräftemangel im Bereich der Digitalisierung hat oft Ausgebildete zum Ergebnis, die in Rekordzeit wenig gelernt haben – gesehen vom Standpunkt der Sicherheit aus.

Eine erfolgreiche Digitalisierung bedingt daher eine solide und nachhaltige Ausbildung von Programmiererinnen und Programmierern sowie allen weiteren Spezialisten und Spezialistinnen im Prozess der Softwareentwicklung. Bits und Bytes ständig zu erwähnen, das Internet zu verwenden oder dauernd die Allmacht der Apps zu beschwören ist nicht ausreichend für eine sichere Zukunft. In der IT-Sicherheit ist Oberflächlichkeit keine Tugend.

DeepSec 2020 im Zeichen der Wissenschaft

Die diesjährige DeepSec In-Depth Security Konferenz möchte ihren Beitrag an einer informationssicheren Digitalisierung stellen. Es wird Fachvorträge, Trainings und Austausch von Expertinnen und Experten geben. Der Zweck ist die Weiterbildung von Fachpersonen in der Informationstechnologie, um zukünftig die bestehende Hardware und Software sicher zu gestalten. Das Angebot richtet sich an die Tätigkeitsbereiche Produktentwicklung, Softwareentwicklung, Geschäftführung, Systemadministration, Forschung und Lehre. Zusätzlich wird ein Internet of Things (IoT) Hacking Village zusammen mit Partnern aufgebaut. Man kann sich direkt mit Expertinnen und Experten austauschen und sehen, dass viele Smart Systeme alles andere als sicher sind.

Programme und Buchungen

Die DeepSec 2020 Konferenztage sind am 19. und 20. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 17. und 18. November statt. Die DeepINTEL Security Intelligence Konferenz findet am 18. November statt.

Der Veranstaltungsort für die DeepSec Veranstaltung ist das Hotel The Imperial Riding School Vienna – A Renaissance Hotel, Ungargasse 60, 1030 Wien.

Tickets für die DeepSec Konferenz selbst und die Trainings können Sie jederzeit unter dem Link https://deepsec.net/register.html bestellen. Bitte beachten Sie, dass wir aufgrund Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.

(Ende)

Aussender: DeepSec GmbH Ansprechpartner: René Pfeiffer Tel.: +43 676 5626390 E-Mail: deepsec@deepsec.net Website: deepsec.net/