SECURITY Cyberdefense & ID Protection Conference 2020 Vertrauen statt Firewall
Anbieter zum Thema
Die Vernetzung von Daten und Infrastruktur ist Voraussetzung für eine erfolgreiche digitale Gesellschaft. Die entstehende Komplexität der Systeme macht aber einen technischen Schutz vor Cyberattacken fast unmöglich. Investitionen in IT-Sicherheit werden wichtiger, reichen aber nicht aus. Langfristig braucht es einen Wertewandel weg von einer Maximierung von Schutz hin zu einem intelligenten Umgang mit Risiken.

Der Aufstieg des Internets ist durch eine Vielzahl von neuen Gestaltungsmöglichkeiten geprägt, die die Welt in den letzten 30 Jahren nachhaltig verändert haben. In den 1990er-Jahren brachte der freie Zugang zu weltweiten Informationen den ersten Durchbruch, gefolgt von der Aktivierung der Massen, die jeden einzelnen Menschen zum Sprachrohr machte und es erlaubte, eigene Inhalte zu verbreiten und diese einer globalen Gesellschaft zu präsentieren. Aktuell erweitert sich das Internet um eine weitere Dimension in die physische Realität, indem neben Computern immer mehr digitale Schnittstellen wie intelligente Kühlschränke, Fahrzeuge oder medizinische Geräte integriert werden.
Brave new open world
Die unterschiedlichen Nutzungs- und Anwendungsmöglichkeiten der digitalen Vernetzung prägen mittlerweile alle Bereiche unseres privaten und beruflichen Lebens von der Partnersuche bis zur Vermögensverwaltung oder der Instandhaltung von industriellen Maschinen. Es ist kaum mehr möglich, diese Vielfalt der Nutzungsmöglichkeiten in ihrer Gesamtheit zu erfassen. Dennoch gibt es eine grundlegende Gesetzmäßigkeit, die das Wesen der Digitalisierung kennzeichnet: Es ist die Öffnung von abgeschlossenen Strukturen – in der Gesellschaft, der Wirtschaft, der Wissenschaft und der Politik. Dies ist die tatsächliche revolutionäre Triebkraft, die die Welt grundlegend verändert hat und es auch in Zukunft weiter tun wird. Zwar ist die Sturm-und-Drang-Zeit des jungen, wilden Internets, in der Musik in Großem Stil weltweit illegal verbreitet wurde und Zeitungen ihr Wissen kostenlos zu Verfügung stellten, in vielen Sektoren vorbei. An ihre Stelle traten Geschäftsmodelle, deren Convenience, gekoppelt an leistungsstarke Schutzsysteme, dazu geführt haben, dass Millionen von Menschen nicht mehr illegal herunterladen, sondern mit Plattformen wie Spotify oder Netflix streamen. Doch losgelöst davon führt die fortschreitende, globale Vernetzung von Menschen, Objekten und Infrastruktur zu einer nicht aufhaltbaren Öffnung von technischen und sozialen Systemen.
Auf dem Weg zur totalen Vernetzung
Der Grund dafür liegt nicht nur in einem evolutionär definierten Verständnis von Fortschritt, wodurch die menschliche Natur nach Größerem strebt, beispielsweise indem sich kleinere Einheiten zu Strukturen zusammenschließen, vergleichbar mit dem Zusammenschluss von Zellen zu Mikroorganismen und letztlich zu Flora und Fauna. Er liegt auch in der simplen betriebswirtschaftlichen Maxime des kontinuierlichen Wachstums, das – in der digitalen Wirtschaft mehr denn je – die Skalierung von Prozessen und das Erschließen von neuen und größeren Märkten erfordert. Die zentrale Voraussetzung dazu ist eine konstante Erweiterung der Netzwerke mit dem Aufbau von Schnittstellen zu neuen Ökosystemen als Grundinfrastruktur von Wirtschaft und Gesellschaft. Aktuell werden in allen Sektoren – von Banken bis zur Medizin – spezifische Lösungsansätze entwickelt, die einzelne Bereiche einer Wertschöpfungskette digitalisieren: zum Beispiel die Möglichkeit, Zahlungen durch Smartphones zu steuern oder den Gesundheitszustand von chronisch kranken Menschen zu überwachen. So spannend und clever die einzelnen Konzepte sind, in der großen Mehrheit werden sie nur dann einen echten Nutzen stiften, wenn sie in eine größere Struktur eingebunden sind. Allein sind die neuen Tools mehrheitlich irrelevant. Doch mit der daraus resultierenden Anzahl neuer Verknüpfungen wächst nicht nur das Potenzial für Innovation, sondern auch die damit verbundene Komplexität, die in ihrer Gesamtheit in einem globalen Kontext kaum noch überschaubar sein wird.
Das Ende der Sicherheit
Als Folge dieser schnell fortschreitenden Vernetzung, die auf der Öffnung von bestehenden Strukturen beruht, zeichnet sich als Kehrseite der Medaille von Wachstum und Effizienz ein wachsendes Sicherheitsrisiko ab, da die Eintrittspforten für Angriffe zahlreicher und durch die höhere Komplexität kaum kontrollierbar sein werden. Die Folge: Cyberrisiken, wie sie schon heute durch Datendiebstahl oder das Hacken von digitaler Infrastruktur bestehen, werden in absehbarer Zukunft weiter zunehmen – mit derselben exponentiellen Dynamik, wie sich die neuen Netzwerke verbreiten. Mit Blick auf das Ziel, Milliarden von Wohnungen, Büros, Fahrzeugen, Brieftaschen und Herzschrittmachern digital zu steuern und zu vernetzten, zeichnet sich eine düstere Prognose ab: Die Vorstellung von Sicherheit im digitalen Raum muss grundlegend revidiert werden, sprich, sie kann nicht garantiert werden. Der Mechanismus dahinter ist einfach: Wenn in einem Gebäude mehr Türen eingebaut werden, um mehr Besucher zu empfangen, steigt die Wahrscheinlichkeit, dass das Gebäude auch von unbefugten Personen betreten wird. Große Datenlecks, aber auch Angriffe auf Spitäler, bei denen mit dem Shutdown von kritischen Systemen Geld erpresst wurde, haben zu einer wachsenden Sensibilisierung und höheren Investitionen in sichere technische Infrastruktur geführt. Zwar sind noch längst nicht alle Organisationen, öffentlich wie privat, auf einem ausreichenden Sicherheitsstandard, doch die Notwendigkeit, Schutzmechanismen aufzubauen, ist zweifelsohne erkannt. Der Investor Warren Buffett bezeichnete Cyberattacken gar als eine der „größten Bedrohungen für die Menschheit“. Diese Einschätzung ist insbesondere dann nachvollziehbar, wenn der Zusammenbruch von kritischer Infrastruktur der Energie- oder Wasserversorgung oder von Mobilitätssystemen zu einer realen Gefahr wird. Dass als Reaktion darauf ein Aufrüsten von Sicherheitstechnologie gefordert wird, ist nur logisch. Es ist von Megatrends die Rede; Banken setzen Fonds mit entsprechenden Themenschwerpunkten auf und IT-Unternehmen rüsten mit neuen Lösungsansätzen auf.
Das Problem liegt allerdings darin, dass technische Lösungen allein nicht ausreichend sein werden, weil sie angesichts der wachsenden Komplexität der Systeme keinen 100 Prozentigen Schutz bieten können. Zwar wurde die Blockchain aufgrund der dezentralen, parallelen Speicherung von Daten auf unzähligen Rechnern lange als absolut sichere Grundlage gefeiert. Heute gehen Wissenschaftler jedoch davon aus, dass auch hier keine lückenlose Sicherheit mehr besteht, wenn sich Quantencomputer mit einer wesentlich höheren Rechenleistung künftig durchsetzen sollten. So beunruhigend diese Entwicklung ist, sie ist mit einem kritischen Blick auf die Geschichte und die heutige Realität nicht neu. Eine absolute Sicherheit gab es nie. Nur haben wir heute – obwohl wir sicherer sind als je zuvor in der Menschheitsgeschichte – die Toleranz gegenüber von Risiken maßgeblich verloren.
Illusion einer konstanten Stabilität
Der wachsende Anspruch an die Sicherheit in der Wohlstandsgesellschaft hat in den letzten Jahren paradoxerweise zu einer zunehmenden Verunsicherung geführt. Die Finanzkrise der späten Nullerjahre kann als Wendepunkt verstanden werden, der den Übergang von den relativ stabilen wirtschaftlichen und politischen Verhältnissen der Nachkriegszeit zu der viel zitierten VUCA-Welt der Gegenwart markiert. Ausgelöst durch die Vertrauenskrise in Banken und politische Eliten, die anhaltenden Migrationsströme sowie den Ausblick auf den angekündigten Verlust von bis zu 60 Prozent der heutigen Stellenprofile als Folge der Automatisierung hat sich eine weitreichende Verunsicherung breitgemacht. Diese hat in vielen Ländern zum Aufstieg von Populisten geführt, die in ihren Wahlversprechen – rund um den Brexit in Großbritannien oder Donald Trumps „America First“-Politik – eine Rückkehr in die stabilen Verhältnisse der letzten Jahrzehnte versprechen, in Realität durch Abschottungsmaßnahmen aber zu einer weiteren Destabilisierung der politischen und wirtschaftlichen Rahmenbedingungen beitragen. Entstanden ist ein Teufelskreis von einer wachsenden Sehnsucht nach Stabilität, wobei der Versuch, diese wiederherzustellen, die bestehenden tragenden Fundamente von Wirtschaft und Politik weiter aushöhlt und damit die Verunsicherung weiter nährt.
Von Transparenz zu Werten
Der Aufbau einer nachhaltigen Sicherheitsstrategie erfordert vor diesem Hintergrund mehr als technische Maßnahmen zur Abwehr von Cyberattacken. Wir müssen unser Verständnis von Sicherheit neu definieren. Denn mit der Verstärkung traditioneller Schutzmechanismen werden auch die Kernwerte unserer Gesellschaft wie Freiheit und die Möglichkeit zur Weiterentwicklung maßgeblich beeinflusst. Das Gefühl von Sicherheit, dieses Grundvertrauen in die eigene Umgebung, das Unternehmen, den Nachbarn, ist die notwendige Basis, auf der Menschen und Organisationen Neues wagen und dafür Risiken eingehen – die Voraussetzung für Innovation und gesellschaftlichen Zusammenhalt. Fehlt dieses Vertrauen, droht ein Verlust der Anpassungsfähigkeit an sich verändernde Umstände sowohl bei Individuen, Organisationen und Ländern.
Als Währung für dieses Vertrauen hat sich in den letzten Jahren die Transparenz durchgesetzt. Im Umfeld von hoher Komplexität und oftmals undurchsichtigen Marktbedingungen der digitalen Wirtschaft ist sie zweifelsohne notwendig, damit wir beispielsweise in ein Uber-Fahrzeug einsteigen oder online bei einem Menschen etwas kaufen, den wir nie zuvor gesehen haben. Die Transparenz über Bewertungen von anderen Nutzern greift hier vor und schafft die Voraussetzung für die Abwicklung eines Geschäfts. Nur: Präzise genommen ist Transparenz nicht die Grundlage für Vertrauen, sondern ihr Ersatz. Wer sich nur dann auf etwas Neues einlässt, wenn er zuvor die Gewissheit hat, dass in der Vergangenheit vergleichbare Transaktionen erfolgreich durchgeführt wurden, vertraut nicht, sondern verlangt Fakten. Diese sind per Definition vergangenheitsorientiert. Wer allein auf Transparenz als Grundlage für Sicherheit setzt, kann nur historisch argumentieren und verliert die Basis für Schritte nach vorn, ins Unbekannte. Das verbindende Element, das Vertrauen ohne Fakten ermöglicht, sind Werte, die, wenn sie glaubwürdig gelebt werden, das Vertrauen schaffen, mit einer Organisation oder einem Menschen eine geschäftliche oder private Bindung einzugehen.
Von der Natur lernen
Im Kern einer zukunftsgerichteten Sicherheitsstrategie im Zeitalter der Cyberrisiken steht also nicht nur das Maximieren von Sicherheit, sondern auch die Fähigkeit, intelligent mit Risiken umzugehen. Dies heißt nicht, dass das Vermeiden von Angriffen kein zentraler Eckpfeiler bei der Festlegung der Handlungsfelder ist, sondern dass eine nachhaltige Sicherheitsstrategie auf mehreren Dimensionen erfolgen muss:
1. Stärken von Werten: Im Kern gilt es, sich der Verwundbarkeit bewusst zu werden und zu akzeptieren, dass Risiken und Unsicherheit der zwingende Gegenpol von Wachstum und Lebensqualität sind. Wer keine neuen Gerichte kostet, isst für den Rest des Lebens dieselben Speisen, wer keine neuen Produkte entwickelt, wird keine neuen Märkte erobern, sondern nur die bestehenden bespielen. Handelszölle oder die Entkopplung vom Internet, wie es das russische Regime plant, bringen darum langfristig kaum einen Mehrwert. Das Fundament für den Umgang mit Unsicherheit bilden die grundsätzlichen Werte einer Organisation oder einer Nation, die für das nötige Vertrauen sorgen, das wir in einer dynamischen, digitalen Welt benötigen.
2. Digitale Netzwerke schützen: Der Aufbau und das kontinuierliche Pflegen von Cyberabwehrsystemen wird für Individuen genauso wie für Organisationen zur Normalität. Digitale Inhalte und Infrastruktur, die exponiert sind, erfordern adäquaten Schutz, der mit Investitionen verbunden ist. Hier sind Unternehmen wie Bürger gefordert. Die Wissenschaft und Innovatoren liefern die Grundlagen für neue Abwehrsysteme, die vernetzte Herzschrittmacher ebenso schützen können wie autonome Fahrzeuge oder elektronische Patientendossiers. Der Staat hat die Aufgabe, eine stabile und zukunftsgerichtete Infrastruktur aufzubauen. Der Nutzen dieser Tools und Lösungen wird aber insbesondere dann eintreten, wenn sie auf die Verhaltensweisen im Alltag der Menschen ausgerichtet sind und von diesen auch verwendet werden.
3. Intelligent vernetzen: Mit der Akzeptanz, dass digitale Inhalte oder Strukturen grundsätzlich angreifbar sind, ergibt sich im Umkehrschluss die Frage, ob schützenswerte Inhalte oder Objekte nicht auch offline bleiben können. Denn nicht alles, was digitalisierbar ist, muss es auch werden. Dies erfordert eine differenzierte Entscheidung, welche Daten und welche Prozesse zwingend über digitale Systeme laufen müssen oder besser analog bleiben. Eine Grundlage dafür ist der Fokus auf den realen Mehrwert für Nutzer. Zu oft werden heute technische Lösungen als Selbstzweck etabliert. Intelligente Netzwerkstrukturen aufzubauen erfordert aber noch weitere Sicherheitsmaßnahmen. Mit immer größeren Netzwerken wächst auch die Notwendigkeit, an neuralgischen Stellen Unterbrüche zu installieren, die – vergleichbar mit einem Dominospiel – den Kollaps des Gesamtsystems verhindern, wenn ein Teilsystem nicht mehr funktioniert. Gleichzeitig gilt es auch restriktive Schutzprogramme bei Soft- oder Hardware zu limitieren, da diese durch die Beschränkung des freien Wettbewerbs die Verbesserung von Systemen behindern.
4. Schäden verhindern: Im größeren Kontext dürften die wirkungsvollsten Maßnahmen darin liegen, nicht erst Schadensbekämpfung zu betreiben, sondern das Eintreten von Risiken zu verhindern oder zu minimieren. Ein nachhaltiger Schutz vor Terrorismus wird nie durch Waffengewalt möglich sein, sondern nur durch das Auflösen von politischen Spannungen. Diese Erkenntnis lässt sich zumindest teilweise auf Cyberrisiken übertragen, indem beispielsweise organisationsintern vernachlässigte oder unseriöse Mitarbeiter identifiziert und betreut werden. Studien belegen, dass bis zu 50 Prozent der Angriffe durch Insider erfolgen. In diesem Kontext entstehen für Versicherungen neue Geschäftsfelder, die Organisationen dabei unterstützen, Gefahren zu erkennen, bevor sie auftreten. Ein abschließender Blick über den Tellerrand der Sicherheitsdiskussion offenbart, dass sich solche mehrdimensionalen Sicherheitsstrategien längst und über einen sehr langen Zeitraum erfolgreich etabliert haben. Der menschliche Organismus verfügt mit seinem Immunsystem über ein breites Repertoire an unterschiedlichen Lösungsansätzen, die von der Schutzmauer der Haut über T-Zellen-basierte Angriffssysteme bis hin zu Antikörpern bei einem Erstkontakt mit einem Risiko Präventivreaktionen auslösen, um bei einem späteren Angriff bereit zu sein. Die Zusammensetzung dieser unterschiedlichen Maßnahmen sollte bei Organisationen, ähnlich wie bei biologischen Organismen, auf der Ausrichtung auf die spezifische Umgebung beruhen. Hierzu braucht es sicherheitsorientierte Ökosysteme, bestehend aus mehreren Akteuren mit unterschiedlichen Kompetenzen wie Cyberabwehr und Krisenkommunikation sowie Strategen, die vorausschauend mögliche Bedrohungsszenarien identifizieren. Gerade letztere Kompetenz – die Antizipation – haben wir Menschen einem Organismus voraus. Und diese gilt es zu nutzen.
Über den Autor: Dr. Stephan Sigrist analysiert seit vielen Jahren interdisziplinär Entwicklungen in Wirtschaft, Wissenschaft und Gesellschaft und beschäftigt sich schwergewichtig mit den Folgen der Digitalisierung in den Life Sciences, Financial Services, Medien, Infrastruktur und Mobilität. Er ist Herausgeber der Buchreihe ABSTRAKT und Autor zahlreicher Publikationen sowie Keynote-Referent an internationalen Tagungen. Mit dem Think Tank W.I.R.E. berät er Entscheidungsträger bei der Entwicklung von langfristigen Strategien, begleitet Innovationsprojekte und unterstützt Unternehmen bei der Neugestaltung von zukunftsorientierten Räumen für Mitarbeiter und den Austausch mit Kunden. Nach seinem Biochemie-Studium an der ETH Zürich und einer Dissertation am Collegium Helveticum war er in der medizinischen Forschung von Hoffman-La Roche tätig. Danach arbeitete er als Unternehmensberater bei Roland Berger Strategy Consultants und am Gottlieb Duttweiler Institute.
Security-Insider ist Mitveranstalter und Medienpartner der »SECURITY Cyberdefense & ID Protection Conference 2020«. Wenn Sie Dr. Stephan Sigrist und viele weitere interessante Speaker live erleben wollen, melden Sie sich hier zur virtuellen Konferenz oder zum Konferenztermin im September an:
(ID:46648156)