Suchen

Sicherheit und Vertrauen in der Cloud-Gesellschaft Nur ein multidisziplinärer Ansatz schafft Sicherheit

Autor / Redakteur: Dr. Philipp S. Müller / Manfred Klein

Taugen traditionelle Sicherheitskonzepte noch für eine global agierende digitale Gesellschaft? Oder müssen wir nicht vielmehr zu einem Paradigmenwechsel kommen, um sowohl unsere kritischen Infrastrukturen als auch unsere Bürgerrechte zu schützen? Unser Autor meint Ja und schlägt ein Konzept zur Umsetzung vor.

Firmen zum Thema

IT-Sicherheit braucht einen Paradigmenwechsel
IT-Sicherheit braucht einen Paradigmenwechsel
(Quelle: Maksim Kabakou - Fotolia.com)

Politische Spielereien in komplexen Situationen können gefährliche, nicht-intendierte Konsequenzen haben. Wann immer große, schwer zu überschauende strukturelle Veränderungen mit politischen Interessen zusammenkommen, besteht die Gefahr unvorhergesehener Konsequenzen. Das haben wir aus der Geschichte gelernt.

In seinem Buch „1913: Der Sommer des Jahrhunderts“ beschreibt Florian Illies in kurzen Anekdoten, die Aufbruchstimmung der jungen Moderne in dieser Zeit. Doch das Damokles-Schwert des drohenden Krieges bleibt in Literatur, Kunst und Musik ebenso unangesprochen wie im gesellschaftlich-politischen Diskurs. Gustav Seibt beschreibt dies in der Süddeutschen Zeitung folgendermaßen:

Bildergalerie

„Vielleicht will uns Florian Illies, der empfindsame Diagnostiker des Zeitgeistes, mit seiner Installation nur eine einfache Wahrheit vor Augen führen: Solche Herrlichkeiten, solcher Reichtum können über Nacht zugrunde gehen, kein Friede, kein Wohlstand ist sicher vor dem Weltkrieg. 1913 wäre dann das opulenteste Buch zur Krise.“

Wir leben im Jahr 2014 in einem Zeitalter der Digitalisierung aller wesentlichen Infrastrukturen, Organisationen und Lebenswelten unserer Gesellschaft. Unsere Gesellschaft ist getrieben von einer Datafizierung (Big Data) und der totalen Vernetzung virtueller und materieller Welten (Internet der Dinge oder „jedem Atom sein Bit“).

Institutionell verändern wir uns von „inside-out-“ zu „outside-in-“Organisationen. In der Industrie wird dies zur Zeit mit dem Begriff Industrie 4.0 beschrieben, in der Verwaltung mit Open Government.

Die emergente Cloud-Gesellschaft

Wir fangen erst jetzt an, wirklich zu verstehen, welche Konsequenzen die Logik einer volldigitalisierten Gesellschaft hat. Sei es in der Produktion mit Industrie 4.0, in der Verwaltung mit der nutzerorientierten an Lebenslagen ausgerichteten Verwaltung 2020, seien es Unternehmen und zivil­gesellschaftliche Organisationen, die sich um die Idee der Cloud organisieren und über Organisationsgrenzen und innerorganisatorischen Silos hinweg kollaborieren: Es entsteht eine Cloud-Gesellschaft.

Analog zur jungen Moderne des Anfangs des 20. Jahrhunderts, verändern sich Prozesse, Geschäftsmodelle, Politik und Gesellschaft nachhaltig. Dies geschieht gleichermaßen in der Energiewirtschaft, dem Gesundheitswesen, der Bildung, der Mobilität, der Gesellschaft sowie im Staat.

Allerdings gibt es auch viel verkaufsfördernde Scharlatanerie, politische Interessen und Gegenbewegungen. Es lohnt sich, den Versuch zu machen, die Situation zu verstehen und damit umzugehen. Drei Megatrends bestimmen unsere Zeit:

  • Der technologische Dreischritt von der Mainframe, zur Client-Server- und jetzt zur Cloud-Architektur verändert unsere gesamte Weltsicht radikal. Genauso wie die Dampfmaschine, die Eisenbahn und die Elektrifizierung nicht nur die Industrialisierung, sondern auch die junge Moderne ermöglicht haben, verändert das Internet-Zeitalter unsere Kultur.
  • Aufgrund der Durchdringung der Informations- und Kommunikationstechnologie in allen Lebensbereichen sind IT-Entscheidungen Chefsache geworden. Sich mit IT zu beschäftigen ist immer noch „nerdy“, aber fast schon sexy, auch wenn „Business-IT alignment“ oft noch ein Lippenbekenntnis ist. Das aber erlaubt Einzelnen, diese Themen zu nutzen, um politische Interessen hinter IT-Fragen zu verstecken.
  • Die Snowden-Enthüllungen haben unser gesamtgesellschaftliches Vertrauen in jegliche Kommunikations-Technologien nachhaltig gestört. Und das führt zu allen möglichen Reaktionen und politischen Spielereien. Wichtig ist, dass wir schnellstmöglich den Diskurs um Sicherheit und Vertrauen in der IT intensivieren, um mit den realen Problemen intelligent umzugehen.

Die Diskussion um IT-Sicherheit ist seit fast einem Jahr geprägt von der Idee „deutsche Kabel in deutscher Erde zu verbuddeln“. Als intuitive Reaktion auf die Snowden-Enthüllungen klingt das verständlich, sie ist aber brandgefährlich. Geprägt ist diese Idee von digitaler Souveränität von einer zu naiven Sicht auf die Begriffe Vertrauen und Sicherheit. Dieses naive Verständnis wird dann von industriepolitischen Interessen gekapert und führt dazu, dass nationalstaatliche Tendenzen unter dem Deckmantel der „Sicherheitspolitik“ gefördert werden. Leider erhöht dies unsere Sicherheit nicht, sondern gefährdet sie.

Das heißt, wir müssen die Sicherheits- und Vertrauenskrise verstehen und Ansätze entwickeln, intelligent mit ihr umzugehen. Wir haben eine historische Verantwortung, dies zu tun. Und genau darum geht es in der IT-Sicherheitspolitik.

Souveränität ist immer „organisierte Heuchelei“ wie Stephen Krasner in Sovereignty, organized Hypocrisy (1996) wortgewaltig argumentiert, aber genau deshalb ist es eines der mächtigsten Konzepte, das unser Handeln informiert und leitet.

Digitale Souveränität

Abstrakt gesprochen versteht man unter Souveränität die Fähigkeit einer natürlichen oder juristischen Person zur Selbstbestimmung. Geprägt ist das Konzept vom Eigentumskonzept im römischen Privatrecht und einer territorialen Linse, durch die wir Souveränität sehen. Als normatives Konzept gibt es uns einen Rahmen, gegen den wir die Realität prüfen können, nicht aber eine realistische Perspektive auf unsere Realität. Digitale Souveränität umfasst also unsere Fähigkeit, selbstbestimmt im Netz zu agieren, und das ist erst einmal nicht-territorial.

Trotzdem ist, wenn wir nach digitaler Souveränität fragen, unser Denken überlagert von Vorstellungen aus dem Mittelalter, von Burggräben, Feuerwällen und „Einfallstoren“, wie ich zuletzt argumentiert hatte. Diese Metaphern sind an sich nicht falsch, können aber nur bis zu einem gewissen Grad handlungsleitend sein. Intelligente IT-Sicherheitspolitik bleibt nicht bei diesen territorialen Bildern stehen, sondern fängt da erst an zu fragen.

Auch technische Sicherheit basiert am Anfang immer auf einem sozialen Akt, ein Moment des In-die-Augen-schauens-und-sich-vertrauen. Vertrauen in jemanden, der einen Verschlüsselungsstandard festgelegt hat, in eine Organisation, die eine Architektur entwickelt hat oder in ein Software- oder Hardware-Produkt, das eine Firma verkauft.

Und wem schaut man nicht lieber in die Augen als Personen und Organisationen, die im eigenen Land beheimatet und damit auch vertraut sind? Nur so einfach ist das natürlich nicht. Denn welche Organisationen sind heute noch wirklich deutsch, wie operationalisieren wir den „Blick-in-die-Augen“, wie stellen wir die Integrität der Basiskomponenten sicher und wo ziehen wir die Grenzen, bauen wir die Burggräben?

Ist die einzelne Basiskompenente Garant für Sicherheit und ein funktionierendes Zusammenspiel? Und vor allem, wären wir dann wirklich sicher oder würden wir nur unsere gefühlte Sicherheit erhöhen? Und ist die Idee, dass man Sicherheit von Grund auf konstruieren muss, wirklich richtig?

Es hilft auch nicht, den Diskurs „ad absurdum“ zu führen. Ein hämischer Blick auf die NSA, wo ein Mitarbeiter Geheimes ohne Probleme aus dem Burgfried mitnehmen konnte, erhöht nur unseren globalen Zynismus, nicht unsere lokale Sicherheit. Wenn wir allerdings akzeptieren, dass Sicherheit nicht durch das Bild mittelalterlicher Burggräben geleitet werden sollte, dann müssen wir fragen, wovon dann?

Multidisziplinärer Kompetenzaufbau

Es geht uns ja um die Sicherheit und Vertrauen unserer Organisationen, ob privat-wirtschaftlich, öffentlich-rechtlich oder gesellschaftlich strukturiert. Und dies kann nie absolut gesehen werden. Sicherheit ist immer in Relation zum Aufwand zu sehen, wie viel Sicherheit brauche ich für welche Prozesse und Daten? Es bedarf also einer Kategorisierung und Festlegung von Schutzbedarfen. Ziel einer solchen Schutzbedarfsfeststellung ist es zu ermitteln, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist

Organisationen bestehen aus technischen Architekturen (Gebäuden, Maschinen, IT-unterstützten Prozessen, Kommunikationstechnologien), Regeln und Normen (Gesetzen, Verordnungen, Vorschriften etc.) und Kulturen (implizite und explizite Verhaltenskodizes). Organisationen definieren sich durch Prozesse, die Wertschöpfung generieren.

Organisationelle Sicherheit in der Cloud-Gesellschaft kann also nur im Zusammenspiel dieser harten und weichen Faktoren generiert werden, von materieller Sicherheit, IT-Sicherheit und personeller Sicherheit.

Es geht also um technische, rechtliche und kulturelle Fragestellungen. In den meisten Organisationen sind diese in einzelne Disziplinen ausdifferenziert (beispielsweise Gebäudeschutz, Prozess-Architektur, IT-Sicherheit, Geheimschutz, Datenschutz, Vertragsgestaltung, Risiko-Management etc.) und das Zusammenspiel zwischen diesen Bereichen ist oft noch nicht optimiert.

Wir müssen in allen Organisationen Querschnittsfunktionen einführen, die das Zusammenspiel dieser unterschiedlichen Disziplinen orchestrieren und damit einen multidisziplinären Kompetenzaufbau vorantreiben.

Sicherheit ist aber nicht allein eine Fragestellung einer Organisation, sondern wird über das Zusammenspiel zwischen Organisationen gewährleistet, denn unsere Welt ist vernetzt.

Ein Kernprinzip des IT-Sicherheits-Denkens ist, dass sich Angreifer natürlich immer das schwächste Glied in der Kette suchen werden. Deshalb ist die Realisierung eines Gesamtüberblicks über die Sicherheit der vernetzten Wertschöpfungskette einer Organisation (oder eines Staates) in der Cloud-Gesellschaft von größter Bedeutung.

Dabei geht es nicht (allein) um die Verschiebung von Verantwortlichkeiten (denn was nützt es, wenn ich im Falle eines Angriffs auf einen Subunternehmer zeigen kann), sondern um die Gewährleistung der funktionalen Integrität der gesamten Wertschöpfungskette meiner Organisation, sowohl innerhalb als auch außerhalb ihrer Grenzen.

Sicherheit als Schicht-Modell

Wir müssen weg vom Burggraben und hin zum Denken in vernetzten Wertschöpfungsketten beziehungsweise in „Flüssen“. Diese können gesichert werden, indem wir multidisziplinäre Kompetenz aufbauen und indem wir mehrschichtig über Sicherheit nachdenken. Ein Schichtmodell hilft uns, dieses Zusammenspiel zwischen unterschiedlichen Abstraktionsniveaus und zwischen den unterschiedlichen Disziplinen zu visualiseren. Kurz angerissen geht es um folgendes:

  • Wir brauchen gehärtete Infrastrukturen und eine von uns kontrollierte Verschlüsselung aller relevanten Daten,
  • klassische Abwehrmechanismen wie Firewalls und Intrusion Detection.
  • Darüber hinaus müssen wir aber über eine Auswertung aller Datenflüsse in Echtzeit legen, um Irregularitäten zu erkennen und wir müssen im Austausch mit anderen vertrauenswürdigen Partnern Sicherheit gewährleisten (Mehr Infos zum Modell unter: www.csc.com/de/insights/81538-whitepaper_security_stack).

Sicherheit kann nur im Zusammenspiel zwischen den Disziplinen in und zwischen Organisationen, die sich mit technologischen Fragestellungen (Prozess-Architektur und Kommunikations-Systeme), rechtlichen (Datenschutz, Geheimschutz und Vertragsgestaltung) und kulturellen (Kommunikation, Marketing) Fragestellungen beschäftigen, gewährleistet werden.

Fazit: Sicherheit ist möglich

Nur wenn es uns gelingt, uns von dem territorialen Verständnis von Sicherheit und ihren nationalistischen Politiken zu lösen, wenn wir die multidisziplinäre Kompetenz für Sicherheitspolitik in unseren Organisationen entwickeln, wenn wir Sicherheit als eine Aufgabe betrachten, im Zuge welcher wir klar definierte Schutzbedarfe mit mehrschichtigen Sicherheitsmaßnahmen angehen, können wir Sicherheit in der Cloud-Gesellschaft gewährleisten.

Das Thema ist zu wichtig, als dass wir es kurzfristiger politischer Interessen unterordnen sollten. Sonst besteht die Gefahr von nicht-intendierten Konsequenzen von großer Tragweite!

(ID:42898481)