Wie sicher ist &quot;sicher&quot;?
Marc Ruef | 28.07.2005

Viele meiner Freunde sind immerwieder "schockiert", wenn sie meine sehr nüchterne Herangehensweise an Probleme bemerken. Wie in den Sherlock Holmes-Geschichten schön beschrieben wird, ist ein systematisches Vorgehen unabdingbar, um eine Herausforderung erfolgreich und vor allem effizient zu meistern. Das Bemerken von kühlem Kalkül verleitet viele Beobachter zur Annahme, dass derlei Analytiker schlecht im Umgang mit Menschen sind. Das will ich zu grossen Teilen (aber nicht zu 100 %) bestreiten. Ein strukturiertes Vorgehen hat nichts mit sozialer Inkompetenz zu tun.

Freitag Morgen. Simon, Oli und ich treffen bei einer internationel Privatbank in Basel ein. Die auf zwei Stunden ausgelegte Sitzung hat die Definition des Vorgehens eines Penetration Tests zum Ziel: Der Hauptsitz soll auf die praktischen Angriffsmöglichkeiten durch die einzelnen Lokationen hin untersucht werden. Für uns Daily-Business - wie man so schön sagt - und abgesehen von der Komplexität der Umgebung (vor allem dem Firewall-Regelwerk mit über 350 Rules) wirklich nichts weltbewegendes.

Da ich die technische Leitung dieses Testings übernehmen werde, beantwortete ich natürlich die technischen Fragen des Kunden. Ein Mitglied der Geschäftsleitung, das diesem doch sehr technischen Meeting beigewohnt hat, meldete sich zu Wort und fragte, ob wir denn in jedes System einbrechen können. Ich liess mich nicht aus der Ruhe bringen, denn auf diese Frage habe ich seit Jahren die gleiche Antwort. Sehr trocken entgegnete ich: "Ja. Ist jedoch ein System nach 48 Stunden nicht gefallen, explodiert der Aufwand und wird innerhalb eines praktischen Testings unwirtschaftlich." Mit anderen Worten: Jedes System kann übernommen werden, es ist nur eine Frage der Zeit.

Ich bemerkte, wie die Herren am runden Tisch sich über eine solche präzische Antwort - wirklich genau war sie meines Erachtens aber doch nicht - freuten. Die meisten griffen zum Stift und notierten sich meine, schon fast verwegen anmutende, Voraussage. Üblicherweise kriegt man nämlich in diesen Situationen ein "Nein, es gibt auch sichere und durch uns unknackbare Systeme" zu hören - Vorwiegend von nicht-technischen Personen, die sich noch keine weitläufigen Gedanken zum Thema gemacht haben.

Wie sicher ist denn nun "sicher"? Kann nach einem 48-Stunden Testing eine exakte Aussage darüber gemacht werden, ob ein System sicher ist? Ist es "sicher", wenn nach dieser Zeitdauer keine Kompromittierung vorgenommen werden konnte?

Sicherheit ist - und das wissen wir nicht erst seit heute oder seit der formalen Postulierung durch Bruce Schneier - ein Prozess. Prozesse sind an Zeit gebunden und somit unweigerlich die Sicherheit auch. Will man eine Risikoanalyse umsetzen - und Security Auditing ist lediglich eine praktisch-technische Umsetzung einer solchen -, muss man sich des Zeitrahmens zur Abgrenzung dieser bewusst werden. Ein System wird nie sicher sein. Aber es kann für einen definierten Zeitraum als "möglichst sicher" (z.B. in einem wirtschaftlichen Zusammenhang) klassifiziert werden.

Und was passiert, wenn ich während des Testings innerhalb der 48 Stunden ein System nicht übernehmen konnte? Das ist kein Beinbruch und ich bin kaum in meinem technischen Stolz verletzt. Wissenschaftlich werde ich die erforderliche Zeitdauer, die ich für einen Erfolg erachte, ausweisen. Der Kunde kann sodann entscheiden, ob eine weitere Investition zur detaillierteren Überprüfung gerechtfertigt ist oder ob die zu schützenden Systeme lediglich für die vorgesehene Zeitdauer als "gesichert" und somit "zeitlich sicher" betrachtet werden müssen.

Computersicherheit will primär Informationen schützen. Der Wert von Informationen ist vergänglich. Nur die wenigsten Informationen müssen für die Ewigkeit geschützt werden. Wieso also etwas für die Ewigkeit investieren, wenn wir uns mit der Endlichkeit begnügen können?