Was ist Sicherheit? Marc Ruef | 18.12.2006 iDieser Beitrag stellt ein Transkript von Computec Radio, Folge 1: Was ist Sicherheit? (http://www.computec.ch/download.php?view.839) dar. Die Audiofassung steht zum freien Download zur Verfügung. Siehe ebenfalls den News-Eintrag Das Experiment Computec Radio (http://www.computec.ch/comment.php?comment.news.148)./i Die Frage danach, was Sicherheit überhaupt ist, vermag auf den ersten Blick sehr einfach zu beantworten sein. Bei näherer Betrachtung, so stellt sich dann doch heraus, ist sie wohl fast so schwierig zu beantworten, wie die Frage danach, was Liebe, die Seele oder Gott überhaupt ist. Genauso wie bei derlei zentralen Dingen des menschlichen Erlebens, streiten sich auch in Bezug auf die Sicherheit seit vielen Jahren die Gelehrten. Sicherheit, will man es in einfache Worte packen, ist im Grunde durch das Nichtexistieren einer Sache definiert. Sicherheit existiert nämlich dann, wenn keine Risiken mehr gegeben sind. Genauso wie der Schatten im Grunde nur die Abwesenheit von Licht definiert, definiert Sicherheit im Grunde nur die Abwesenheit von Risiken. Mit einem Risiko sieht man sich konfrontiert, wenn eine Gefahr effektiv über einen hereinbrechen droht. Zum Beispiel besteht das Risiko, dass man beim Überqueren einer Strasse von einem vorbeifahren Auto erfasst wird. Oder es besteht das Risiko, dass man bei einem Spaziergang im Wald von einem Blitz getroffen wird. Man muss eingestehen, dass beide Risiken existent sind. In einigen Fällen ist es naturbedingt etwas grösser, in anderen naturbedingt etwas kleiner. Die Aufgabe der Computersicherheit, will man eine solche denn erreichen, besteht also im Minimieren der Risiken durch die definierten Gefahren. Doch wie definieren sich Gefahren für einen Computer? Das Informationszeitalter hat Erscheinungen wie Computerviren, Würmer oder Einbrüche in Computersysteme schon fast salonfähig gemacht. Dies sind also, allgemein zusammengefasst, die Gefahren, von denen das Risiko ausgeht. Eine solche Bedrohung kann gänzlich unterschiedliche Qualitäten und Quantitäten aufweisen. Computerviren gibt es Mittlerweile wie Sand am Meer. Neue Schwachstellen, dank denen sich innert Sekunden ein aktuelles System übernehmen lassen, hingegen weniger. Ebenso gibt es ausgeklügelte Computerviren, die mit polymorphen Funktionen und netzwerkfähigen Komponenten aufwarten. Andererseits gibt es plumpe Angriffe auf Computersysteme, bei denen der Angreifer weder mit Glück noch mit Verstand in annehmbarer Zeit einen Treffer landen kann. Die Frage stellt sich nun, ab wann denn für ein spezifisches Computersystem die sogenannte "Sicherheit" erreicht worden ist. Allgemein, so kann man behaupten, ist ja die Bedrohungslage für alle Computersysteme gleich. Viren, Würmer und Hacker gibt es auf praktisch jeder Plattform ... Jedoch nicht in der gleichen Quantität. Im deutschen Magazin Linux Enterprise veröffentlichte ich Mitte 2003 einen Fachartikel mit dem Titel Linux-Viren - Mythos oder Wirklichkeit (http://www.computec.ch/download.php?view.672). In diesem stellte ich die nicht gerade unumstrittene These auf, dass mitunter mit der Popularität eines Produkts ebenso das Interesse der Angreifer und damit die potentielle Bedrohung zunimmt. Zeitgleich erweitert sich das Interesse der Angreifer aber auch mit dem Wert des Zielobjekts, des sogenannten Assets, welches man schützen will. Es ist wohl klar, dass es mehr Menschen auf dieser Welt gibt, die Interesse an einer Liste von einer Million gültiger Kreditkarteninformationen haben, weder am letzten Brief, den ich meinem Onkel zu Weihnachten geschickt habe. Gerade weil das Interesse im ersten Fall höher ist, wird sich auch eine grössere Anzahl an Angreifern mit höherer Fachbildung dafür interessieren. Die Bedrohung ist deshalb sowohl in Bezug auf die Qualität als auch auf die Quantität relativ hoch. Da man es hierbei mit mitunter professionellen Angreifern zu tun hat, die effektiv Profit aus dem Kreditkartendiebstahl schlagen wollen und ihre Risiken einer Verurteilung in Kauf nehmen, muss man ebenfalls die Qualität und Quantität der Gegenmassnahmen höher ansetzen. Es reicht sodann nicht mehr nur mal eben eine Antiviren-Lösung zu installieren und zwei Mal im Jahr die neuesten Patches einzuspielen. Ausgeklügelte Schutzmechanismen, die einen Angriffsversuch frühzeitig entdecken und verhindern können sollen, sind in diesem Falle angebracht.