Know-how-Schutz bremst

Security-Experten verlieren Bezug zur IT

| Autor / Redakteur: Bruno Kerouanton / Stephan Augsten

Durch Abschottung tragen die IT-Hersteller dazu bei, dass Sicherheitsexperten und Auditoren keine Erfahrung sammeln können.
Durch Abschottung tragen die IT-Hersteller dazu bei, dass Sicherheitsexperten und Auditoren keine Erfahrung sammeln können. (Bild: Frank Wagner - Fotolia.com)

Die IT entgleitet immer weiter unserer Kontrolle. Die Entwicklung erinnert stark an die Automobilindustrie: Der Blick auf Systeminterna wird künstlich erschwert, um das Know-how nach Möglichkeit zu schützen. Doch dies geht zu Lasten der Qualifikation künftiger Sicherheitsexperten und Auditoren.

Vor wenigen Jahrzehnten war es Kunden möglich, ein Auto zu kaufen und Reparaturen selbst durchzuführen. Die Unterlagen dazu waren leicht zu bekommen und Probleme konnte man selbst diagnostizieren und beheben.

Dann jedoch wurden immer mehr Teile versiegelt und originalverpackt angeliefert. Das macht die Autoreparatur schwierig, wenn nicht unmöglich. Es sei denn, man geht zu einer „akkreditierten“ Vertragswerkstatt, welche über die Kenntnisse und die Befugnis verfügt, das Fahrzeug instand zu setzen.

Der nächste Schritt bestand in der Einführung von automatisierten OBD-Systemen (On-Board-Diagnose, die der Reparaturwerkstatt sagen, welche Teile im Auto versagt haben und ausgetauscht werden sollten. Dies vereinfacht ungelernten Mitarbeiter die Diagnose. Der Nachteil dieser Entwicklung ist, dass Autos heute Black Boxes sind, mit denen sich nur die Hersteller auskennen.

Automechaniker tauschen oftmals ganze Bausteine des Autos aus, „weil das Diagnose-Tool [sie] dazu aufgefordert hat“. Sie haben auch immer weniger Kontrolle darüber, was unter der Motorhaube wirklich los ist. Damit sind die Werkstätten völlig abhängig vom Hersteller.

Wenn IT-Fachleute nicht mehr professionell ausgebildet werden

Die gleiche Entwicklung betrifft den IT-Sektor. Dies ist nicht nur auf Cloud Computing zurückzuführen, sondern auch auf den US-amerikanischen DevOps-Trend. Vor nicht allzu langer Zeit lernten Studenten in IT-Engineering-Schulen Low-Level-Sprachen (wie Assembler) und hatten Kenntnisse zu Interna von Computer- und Betriebssystemen.

Standard ist heute, dass High-Level-Programmiersprachen wie C# oder Java erlernt werden. Dies ist immer noch akzeptabel. Der allerneueste Trend geht jedoch dahin, nur auf übergeordnete Sprachen wie HTML5 und JavaScript für Cloud-basierte Anwendungen zu bauen. Mit Ausnahme einer Handvoll größerer Entwicklungsunternehmen beherrscht aber niemand diese Sprachen so richtig gut.

Diese Sprachen hängen stark von gebrauchsfertigen Bausteinen ab, die nicht im Unternehmen entwickelt wurden, und deren interne Funktionen meist geschützt und undurchsichtig sind. Gleiches passiert bei Cloud-basierten Systemen, die mit einer Reihe von APIs und Web-Diensten ausgestattet sind.

Entwickler sind somit zwar in der Lage, mit anderen Teilen zu kommunizieren, aber im Wesentlichen handelt es sich um Blackboxes. Dadurch ergeben sich neue Herausforderung für die IT-Branche, insbesondere für Entwickler und IT-Sicherheitsexperten:

  • Entgleiten den IT-Experten die Informationssysteme, wenn sie nicht mehr in der Lage sind, die inneren Abläufe der Systeme, Sprachen und Anwendungen zu verstehen – besonders, wenn sie von diesen abhängig sind?
  • Geht das Know-how, das zur Entwicklung dieser Low-Level-Bausteine und -Systeme erforderlich ist, den europäischen Schulen und den IT-Fachleuten verloren?
  • Ist die Verfügbarkeit dieses Wissens bald nur noch das Privileg größerer IT-Unternehmen und Hersteller?
  • Wie werden IT-Sicherheitsexperten das Vertrauensniveau einer Software-Lösung gewährleisten können, wenn sie nur auf firmeneigene Bausteine zurückgreifen können?

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43619288 / Security Best Practices)