Die Zukunft der angewandten IT-Sicherheit Marc Ruef | 06.09.2010 Vor einiger Zeit ist jemand in meinem privaten Umfeld auf mich zugekommen und hat mich gefragt, wie sich wohl mein Berufsstand entwickeln wird. Ich habe darauf entgegnet, dass einerseits Sicherheitsberatungen im Allgemeinen und Sicherheitsüberprüfungen im Speziellen massgeblich von den generischen Entwicklungen im Computerbereich abhängig sind. Andererseits geht mit diesen eine soziologische, wirtschaftliche und juristische Entwicklung einher, die indirekten Einfluss ausüben wird. Gerne möchte ich meine Prognosen für die kommenden Jahre vortragen. Dabei beschränke ich mich bewusst auf die angewandte IT-Sicherheit, der natürlich die theoretische IT-Sicherheit zugrunde liegt. 5 Jahre: Erneuerte Lehren und erweitertes Verständnis Auch im Jahre 2010 trete ich immerwieder an Situationen heran, bei denen ich mir jeweils denke, dass man das vielleicht noch hätte 1995 durchgehen lassen können, der Sachverhalt aber in der heutigen Zeit nicht mehr tragbar und rechtfertigbar ist. Zum Beispiel dann, wenn in einem Finanzunternehmen eine forensische Untersuchung wegen Betrugs ansteht und sich die letzten Jahre niemand um die Etablierung, Aufrechterhaltung und Auswertung von Logs bemüht hat. Ähnlich, jedoch nicht gleich, verhält es sich beim Umgang der Leute mit ihrer Privatsphäre. In der Epoche von Facebook, Twitter und Foursquare wird Exhibitionismus und Narzissmus gross geschrieben. Eigenschaften, die vor 10 Jahren noch als Manko angesehen wurden, werden heute gesellschaftlich toleriert, bisweilen gar erwünscht. Die kaufkräftige Generation der 14- bis 30-jährigen geht dabei sehr blauäugig mit ihren Daten um. Sind sie oftmals zu Jung, um sich an die Widerstände der 90er Jahre erinnern zu können, als sich der kritische Bürger in Bezug auf Volkszählungen und die Fichenaffäre empört hat. (Daran hat auch die Fichenaffäre 2.0 nichts geändert.) Gerade die Generation Facebook wird wohl in absehbarer Zeit durch Datenpannen, Datendiebstahl und Datenverkäufe schmerzlich erfahren müssen, was ihre personenbezogenen Daten wert sind bzw. wie diese einem schaden können. Erste Anzeichen einer Kritik am laxen und fahrlässigen Umgang der Seitenbetreiber - allen voran Mark Zuckerberg von Facebook - sind in Blogs und Zeitungen zu vernehmen. Als Folge davon wird der moderne Mensch bewusster mit seinen Daten umgehen, diese sensibler klassifizieren und deshalb nur noch einem ausgewählten Personenkreis zugänglich machen wollen. Die Abgabe der Kontrolle über Daten wird zunehmends verweigert werden wollen. Im selben Atemzug werden die Unternehmen unter diesem Druck bzw. vor diesem Bedürfnis teilweise nachgeben müssen. Datensicherheit und Informationssicherheit wird zu einem zentralen Bestandteil der gesellschaftlichen, wirtschaftlichen und juristischen Ordnung werden - Wenn auch vorerst nur in unliebsamer und zaghafter Weise. 15 Jahre: Weiterführende Automatisierung und Industrialisierung Die angewandte Computersicherheit hat in den letzten 20 Jahren eine enorme Automatisierung und damit die Möglichkeit einer Industrialisierung erfahren. Dies ist sehr schön am Beispiel von Sicherheitsüberprüfungen zu illustrieren. Zu Beginn musste in mühsamer Weise mit manuellen Zugriffen eine Analyse umgesetzt werden. Werkzeuge wie Ping und Traceroute wurden eingesetzt, um einzelne Systeme zu testen. Heutzutage können verschiedene Auswertungs- und Scanning-Utilities genutzt werden, die eine Sammlung der Grunddaten automatisieren oder wenigstens erleichtern. Eine einstündige Prüfung mit einem modernen Vulnerability Scanner hätte vor 15 Jahren noch mehrere Wochen gedauert. Durch die Automatisierung kann in der gesamten Computersicherheit die Wirtschaftlichkeit und Wissenschaftlichkeit erhöht werden. Dieser Trend wird sich fortsetzen, obschon in den letzten Jahren eine gewisse Müdigkeit diesbezüglich festgestellt werden musste. Die Aufbruchsstimmung vor 10 Jahren konnte nicht anhalten, viele Projekte wurden kommerzialisiert und entwickeln sich deshalb langsamer oder konservativer. Zwar werden fortwährend neue Applikationen bereitgestellt, die die Umsetzung von Prüfungen professionalisieren helfen. Aufgrund des kommerziellen Hintergrunds dieser Lösungen sind sie jedoch nur für einen begrenzten Kreis von Benutzern interessant. 30 Jahre: Neue Konzepte und andere Herangehensweisen Längerfristig wird sich der Bereich der Computersicherheit zu grossen Teilen verändern. Dies wird in erster Linie damit zu tun haben, dass Systemarchitekturen und Sicherheitskonzepte mit gänzlich anderen Herangehensweisen erstellt werden. Die Denkweise der Entwickler wird sich in grossen Teilen ändern und damit alte Angriffsmechanismen nicht mehr oder nur noch punktuell funktionieren. So werden beispielsweise Eingabeüberprüfungen für "allgemeine" Anwendungen, wie zum Beispiel ein Webshop, sehr einfach und undiskutierbar implementierbar sein. Durch Module und Frameworks werden Vorlagen geliefert, mit denen Programmierer auch ohne grösseres Sicherheitsverständnis innert kürzester Zeit eine überdurchschnittliche Qualität erreichen können. Geschlossene Systeme, können sich denn diese auch weiterhin breitflächig durchsetzen (siehe Apple mit iOS), helfen dabei, die Angriffsfläche für eine Vielzahl an technisch schwierig zu mitigierenden Schwachstellen zu eliminieren. Das Einschleusen von korruptem Programmcode, welches früher oder später im Rahmen eines umfassenden Angriffs erforderlich werden wird, wird damit massgeblich erschwert. Als wahrgenommene Restrisiken wird damit schlussendlich nur noch Social Engineering übrig bleiben, welches aufgrund des Faktor Mensch nie gänzlich eliminiert werden kann. Als elementare Grundlage dieser neuen Ära wird der gänzlich andere Ansatz "Security First" dienen. Funktionalität wird nicht mehr pauschal und primär über Sicherheit gesetzt, da die Risiken einer Kompromittierbarkeit und die direkten Auswirkungen der Produktivität verstanden und akzeptiert werden. Dadurch können grundsolide Systeme konzipiert werden, die eine Anfälligkeit gegenüber "Patchwork-Lösungsansätzen" ausschliessen lassen können.