Ein Blick hinter die Kulissen Marc Ruef | 21.01.2008 Ich rede mit Fremden ungern über mich. Ganz besonders nicht über meine Arbeit. Obschon ich in extrovertierter Weise eine Webseite pflege und zwischendurch Fachartikel (http://www.computec.ch/mruef/?s=publikationen) publiziere, bin ich doch im privaten Umgang sehr zurückhaltend. In Bezug auf meine Arbeit liegt der Grund darin, weil ich mich nur ungern auf mit Halbwissen gespickte Diskussionen einlasse. Die wenigsten Leute wissen, was Computersicherheit ist, was das Ziel eines Penetration Tests ist und warum das Ausbleiben eines solchen wirtschaftlichen Schaden bedeuten kann. Also sage ich oftmals, schon fast plump, dass ich "lediglich" Informatiker bin. Eine Aussage, deren Gehalt praktisch gleich Null ist. Jeder ist nämlich irgendwo durch Informatiker. Sei es nun der junge Herr, der in einem Computershop irgendwelche Tastaturen und Festplatten verkauft. Oder der Quereinsteiger, der seit bald 10 Jahren seine kleine Windows-Domäne administriert. Oder der Mathematiker, der sich um die Implementierung besonders effizienter Algorithmen bemüht. Für den Ottonormalverbraucher sind dies alles Informatiker. Wer wirklich an meinem Leben interessiert ist, der fragt dann aber gerne keck nach, was denn nun ein Informatiker wie ich so macht. Auf solche direkte Fragen gebe ich dann aber breitwillig antwort. Erzähle, dass ich als Berater für Computersicherheit arbeite und vor allem Firmen im Finanzumfeld bei der Umsetzung sicherer Systeme betreue. Ein Grundsatz meines Denkens ist, dass ich niemals über Kunden spreche. Nur der Kunde und ich wissen, wer wir sind. Alle anderen geht das nichts an. Sehr viele Kunden schätzen diese Diskretion, minimiert sie doch das Risiko, dass Dritte an irgendwelche Informationen kommen können. Werde ich also nach dem Kundenstamm gefragt, antworte ich eben meist mit dem allgemeinen Ausdruck der Banken als gegebene Kunden. Wenn die Leute dies hören, dann machen sie meistens grosse Augen. Sie denken dabei an hochsichere Umgebungen, in denen kein Bit ohne das Wissen und Absegnen von mindestens 20 Spezialisten umgedreht werden darf. Sie können sich nicht vorstellen, dass bei einer Bank überhaupt eine Sicherheitslücke gegeben sein kann. Nein, das ist niemals möglich. Das wäre ja sonst in ihren Augen ein riesen Witz. Doch die Wahrheit ist: Manchmal ist es ein Witz! Man muss sich vor Augen führen, wie in einer kapitalistischen Gesellschaft ein wirtschaftliches Unternehmen funktioniert: Es dreht sich in erster Linie alles darum, dass der Gewinn im Rahmen des Möglichen und Erlaubten optimiert werden kann. Sicherheit ist dabei nur ein Nebenprodukt. Für Sicherheit wird nur dann Geld investiert, wenn die Abwesenheit dieser zu einem Problem, das mit wirtschaftlichen Einbussen einhergehen könnte, führen könnte. Ergo: Man gibt nur dann Geld für Sicherheit aus, wenn der Aufwand geringer ist, weder wenn das Fehlen der Sicherheit zu einem Problem führen würde. Gehen wir davon aus, dass die Eintrittswahrscheinlichkeit, dass in einem Netzwerk ein Computervirus sämtliche Systeme löscht, bei 5 Jahren liegt. Es ist weiterhin anzunehmen, dass dabei ein Verlust von 1 Million Euro entsteht, da die Systeme ca. 24 Stunden nicht verfügbar sind. Dies bedeutet, dass das Risiko des Verlusts des Gelds pro Tag bei 547.94 = (1'000'000 / (365 * 5)) Euro liegen. Würde nun mehr als 550 Euro pro Tag investiert werden müssen, um die Systeme sicherer zu machen, lohnt sich das eigentlich nicht mehr. Jemanden einzustellen, der nämlich tagtäglich die Sicherheit der Systeme überprüft und anpasst, liegt bei weit mehr. Ein geschulter Mitarbeiter würde wohl mindestens 900 Euro pro Arbeitstag kosten (inkl. Einarbeitung, Arbeitsplatz, Sozialabgaben, Urlaub, Weiterbildung, etc.). Nicht selten hört man also auch bei Banken den Ausspruch: "Nein, ein derartiges Mass an Sicherheit wollen wir uns nicht leisten. Das lohnt sich nicht." Aus wirtschaftlicher Sicht ist diese Aussage legitim und gar die einzig wichtige - Mindestens auf kurze Zeit gesehen. Dies führt aber dazu, dass selbst grosse Firmen, bei denen schon nur historisch bedingt Sicherheit immer eine wichtige Rolle gespielt hat, manchmal offensichtlich und "gewollt" unsicher sind. Sind Banken also unsicher? Nun, dies lässt sich so pauschal nicht beantworten. Ganz bestimmt wird dort ein überdurchschnittlich hohes Mass an Aufwand betrieben, um ein möglichst vertretbares Mass an Sicherheit erlangen zu können. Das Erreichen von absoluter Sicherheit ist aber, und da spielen personelle Faktoren ebenso eine enorme Rolle, in weiter Ferne. Da die wirtschaftlichen Aspekte nicht wegzudenken sind, wird dies auch in Zukunft so bleiben. Das Risiko, dass auch eine Bank Opfer eines elektronischen Einbruchs wird, ist auch dort bei 100 % anzusiedeln. Von Seiten eines Angreifers sind aber halt mehr Aufwand (Wissen und Zeit) mitzubringen. Selbst Banken kochen nur mit Wasser.