Innovationen steuern Das Internet-Dilemma

Autor / Redakteur: Dr. Wolf Zimmer / Manfred Klein

Mit „The Innovator’s Dilemma“ überschreibt Clayton M. Christensen sein vielbeachtetes Buch im Jahre 1997. Sein Fazit: Etablierte Unternehmen bleiben bei „Innovationswellen“ solange an der Spitze, wie es sich um evolutionäre Technologieschübe handelt. Verfestigte Organisations­strukturen und Wertesysteme verhindern jedoch Weitsicht und Beweglichkeit.

Eine vom Internet abhängige Gesellschaft braucht neue Wege der Problemlösung
Eine vom Internet abhängige Gesellschaft braucht neue Wege der Problemlösung
(Foto: fotogestoeber - Fotolia.com)

Dies gilt vor allem dann, wenn es darum geht, neue, oder wie Christensen es nennt, „disruptive“, technologische Entwicklungspfade rechtzeitig zu erkennen.

Die Ähnlichkeiten mit Politik und Verwaltung in unserer Gesellschaft sind nicht zufällig. „Bewährte“ Verwaltungsstrukturen und Entscheidungshierarchien, der Tunnelblick von Politikern auf die Zufriedenheit ihrer Wählerklientel, gepaart mit Wahrnehmungsdefiziten gegenüber technologischen Umwälzungen, haben aus unserer politischen Elite „Follower“ gemacht, wo doch wirtschaftspolitische Führerschaft nötig wäre.

Das Ergebnis: Eine Hightech-Strategie, die im Absichtsvollen bleibt sowie der Entwurf eines IT-Sicherheitsgesetzes, das der nationalen Sicherheitsbehörde bei der Verteidigung des Cyber-Raums allem Anschein nach vor allem den Status einer Meldestelle zuweist.

Gewiss, das Internet trägt einen Januskopf. Cyber-Kriminalität und Cyber-Krieg verursachen weltweit Schäden in Milliardenhöhe, und mit Big Data in den Händen von Internet-Monopolisten ist das Internet längst auch zu einem Marktplatz der Privatsphäre verkommen. Die damit einhergehenden Gefahren zu unterschätzen, wäre geradezu unverantwortlich.

Ein Cyber-Angriff auf kritische Infrastrukturen, wie die Energieversorgung, Transportsysteme oder unser Gesundheitswesen, würde nicht nur unsere Ersparnisse bedrohen. Und der aus einer Cyber-Paranoia staatlicher Institutionen geborene Versuch der Totalüberwachung schürt Misstrauen und macht die Bürger a priori zu Verdächtigen.

Daraus aber den Schluss zu ziehen, die Lösung könnte nur eine „Entnetzung“ oder ein Rückzug hinter befestigte „Stadtmauern“ sein, ist angesichts einer globalisierten Welt, deren Wesenszug Kommunikation und Kollaboration ist, bestenfalls naiv. Ein wirklich sicheres IT-System ist nur ein abgeschaltetes, besser noch, ein unbrauchbares.

Andererseits ist unsere Welt ohne das Internet kaum mehr vorstellbar. Arbeits- und Dienstleistungen sind heute global verfügbar, Beschaffungsmärkte für materielle und immaterielle Güter weltweit verteilt und im Sekundentakt über das Internet abrufbar. Aus Verkäufermärkten werden immer häufiger Käufermärkte. Und wer von uns möchte schon darauf verzichten, online einzukaufen, Reisen zu buchen oder auch nur sich mit Freunden live auszutauschen.

Ganz zu schweigen von den neuen Möglichkeiten für den öffentlichen Diskurs, der weltweiten Teilhabe an politischer Meinungs- und Willensbildung sowie der Solidarität und Unterstützung von Opfern staatlicher Willkür oder Natur-katastrophen. Dank des Internets haben Bürger und NGOs leichteren Zugang zu Informationen und können in Kontakt mit der Öffentlichkeit treten.

Von der Wettbewerbsfähigkeit digitaler Wertschöpfungsketten sind aber nicht nur die Privatwirtschaft, sondern auch die Wirtschaftskraft und die Wettbewerbsfähigkeit von Staaten betroffen. Diese konkurrieren untereinander zunehmend durch die Bereitstellung ubiquitärer Standortfaktoren. Umso erstaunlicher ist die Gelassenheit, mit der unsere politisch Verantwortlichen auf die technologischen Herausforderungen reagieren, Verantwortung diversifizieren, anstatt ihnen konzentriert entgegenzutreten – digitale Souveränität buchstabiert sich anders!

Das Dilemma, in das uns das Internet stürzt, besteht darin, dass die berechtigte Begeisterung und Hoffnung mit begründeten sowie unbegründeten Bedenken und Ängsten zusammentreffen. Beschreibungen dystopischer digitaler Gesellschaften haben Konjunktur. Aber weder das befürchtete Orwell’sche Universum noch die vorherrschende Asymmetrie der Netzwerkökonomie sind alternativlos.

Hilflos dagegen erscheinen zuweilen unsere aktuellen Verteidigungsstrategien. Nicht nur, dass sie nahezu ausnahmslos post mortem, als Reaktionen auf bereits ausgeführte Angriffe, stattfinden. In der Regel verwenden sie zudem Instrumentarium und Begrifflichkeit mittelalterlicher Stadtbefestigungen. Das semantische Meisterstück aber verschleiert den Blick auf die Tatsache, dass die digitalen Brandmauern lediglich darauf spezialisiert sind, nur einen definierten Datenstrom passieren zu lassen.

Die Brandmauer ist also nur so gut wie ihre Konfiguration. Einem Angreifer genügt es, zu beobachten, welchen Datenverkehr die Firewall akzeptiert, um sich entsprechend zu „verkleiden“.

Ein weiteres Missverständnis ist die Idee, man könne IT-Infrastrukturen gegen Cyber-Attacken verteidigen, indem man den Datenverkehr der zu schützenden Systeme überwacht. Die Erkennung von Angriffen basiert in der Regel auf einer syntaktischen und semantischen Datenanalyse. Doch selbst im Erfolgsfall braucht es meist beim „Verteidiger“ deutlich mehr Rechenkapazität, um mögliche Angriffsmuster rechtzeitig zu erkennen, als für den Angreifer, die Taktik des Angriffs zu verändern.

Ebenso wenig hilfreich ist der nicht nur in Deutschland zu beobachtende Versuch, sich mit einer großen nationalen „Mauer“ vor den kriminellen Internetnomaden zu schützen. Deutsche „Datenautobahnen“ sollen helfen, dass die deutschen IT-Systeme und digitalen Infrastrukturen zu den sichersten weltweit werden. Der Cyber-Raum indes kennt keine geographischen Grenzen.

Ein Schelm also, wer hinter solchen Ansätzen wirtschaftliche Interessen vermutet. Davon abgesehen, weder dem chinesischen Kaiserreich noch der DDR hat es auf Dauer geholfen, wohl aber wirtschaftlich geschadet. Industrie 4.0 als nationaler Alleingang hat in einer globalisierten Welt wenig Aussicht auf Erfolg.

Was wir brauchen ist ein neues Situationsbewusstsein für eine proaktive und ganzheitliche „Sicherheitsvorsorge“ durch integrierte Verteidigungssysteme, die vor allem die Gelegenheiten der Angreifer und unsere Fähigkeiten, auf Angriffe angemessen zu reagieren, in den Blick nimmt.

Die Gelegenheit, Cyber-Attacken zu reduzieren, beginnt damit, dass Sicherheit bereits in der Konzeption und über alle Schichten angelegt und mit geeigneten Mitteln evaluiert wird. Nach wie vor aber wird „Sicherheit-by-Design“ zwar immer wieder gefordert, aber viel zu wenig gelebt.

Nach wie vor streifen Sicherheitsexperten im Nachhinein durch die IT-Systeme auf der Suche nach der berühmten Nadel im Heuhaufen. Wie sonst ist es zu erklären, das uns der so genannte „Buffer Over-flow“ immer wieder überrascht.

An methodischen Werkzeugen für „Sicherheit-by-Design“ auch komplexer Systeme mangelt es nicht. Man muss sie nur nutzen und darf den Aufwand nicht scheuen. Sicherheit später dazuzukaufen, taugt kurzfristig bestenfalls als Geschäftsmodell von Anbietern fokussierter IT-Sicherheitsprodukte. Sicherheit aber ist ein Prozess und kein Produkt.

Gelegenheiten, um Cyber-Attacken zu reduzieren, bietet auch die vor allem in der Cloud genutzte Virtualisierung physischer Ressourcen. Virtuelle Umgebungen erleichtern die komplette „Verschiebung“ virtueller Ressourcen im multidimensionalen Cyber-Raum.

Virtuelle Clients, die den kompletten Arbeitsplatz eines Nutzers über das Netzwerk in einer eigenen virtuellen Maschine bereithalten und die dynamische Vergabe von IP-Adressen (auch unter dem Begriff „IP-Hopping“ bekannt) mithilfe Software-definierter Netzwerke, könnten helfen, ein „Überspringen“ zu verhindern und Angriffsziele zu „verschleiern“. Zusätzlich ließe sich sogar das für eine Sitzung verwendete kryptographische Material bei jedem neuen Login ändern.

Eine souveräne Verteidigungsstrategie im Cyber-Raum sollte sich natürlich nicht darauf beschränken, die zu verteidigenden Strukturen zu überwachen. Statt nur passiv die zu verteidigenden Systeme zu überwachen, ist es effektiver, wenn wir über Instrumente verfügen, mit denen die Angreifer selbst überwacht werden können.

Gerade für ein System mit dynamischen Cyber-Koordinaten sollte es ein Leichtes sein, festzustellen, ob ein ankommendes Paket gültige Adressen enthält. Ein solches Paket kann einfach abgewiesen werden.

Es könnte aber auch mit dem Ziel einer aktiven Verteidigung „verarbeitet“ werden. Zumindest ließe sich der letzte Startpunkt eines solchen Angriffs ermitteln.

Vorstellbar wäre darüber hinaus, dass der „Verteidiger“ einen Angriff „umdreht“. Das System würde in diesem Fall eine Antwort zurücksenden, die ihrerseits eine Schadsoftware enthält, mit der das System des Angreifers penetriert werden kann.

Wie die Frankfurter Allgemeine Zeitung am 9. September 2014 berichtete, arbeiten die USA und China längst über ein digitales Frühwarnsystem hinaus an einem digitalem Abwehrschirm gegen Cyber-Attacken.