Munich Cyber Security Conference

Security by Design ist ein Must have

20.02.2018
Von 
Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 

Hoffnung Security-Zertifikate

Die Vernetzung ganzer Fabriken per IOT bereitet den Sicherheitsexperten Sorgen.
Die Vernetzung ganzer Fabriken per IOT bereitet den Sicherheitsexperten Sorgen.
Foto: BeeBright - shutterstock.com

Wie andere Diskutanten erwartet auch Barry, dass die Softwareindustrie für Sicherheitsfehler endlich in die Haftung genommen wird und ähnliche Vorgaben erhält wie die Betreiber kritischer Infrastrukturen. Des Weiteren kann sich Barry vorstellen, dass Zertifikate eine Hilfe sein könnten, wenn sie etwa bei der Produktlieferung über den aktuellen Security Level informieren und etwa angeben, wie lange der Kunde Sicherheits-Updates erhält. " Ich sehe hier eine 100-prozentige Chance, dass wir eine solche Maschine kaufen würden und dann auch länger einsetzen", bekennt der ThyssenKrupp-Manager.

Die Verantwortung respektive Haftung der IT-Industrie würde auch gerne Evert Dudok, Mitglied des Executive Management Board von Airbus Defence und Space, sehen, wobei er sich damit leicht tut, denn für die Luftfahrtindustrie seien Prinzipien wie Safety by Design schon seit langem selbstverständlich. "Und das benötigen wir auch im IoT-Umfeld", so Dudok, "wenn wir nicht Gefahr laufen wollen, dass Sensoren Fake News anstelle valider Messdaten liefern." Angesichts fehlender internationaler Standards und Übereinkommen in Sachen Security hat man sich bei Airbus für einen ganz pragmatischen Ansatz entschieden. Der Luft- und Raumfahrtkonzern verfolgt ein "Best of Class"-Konzept, bei dem er die besten Sicherheitsvorschriften aus den USA, der EU und China in seine eigene Sicherheitsstrategie übernimmt.

Alles in allem lassen sich die Forderungen der auf der MCSC anwesenden Experten in vier Kernforderungen zusammenfassen:

  • ein Haftung der Softwarehersteller für Security-Fehler

  • internationale Sicherheitsstandards

  • Security by Design als must have

  • Sicherheitsbewusstsein der Consumer fördern.

Bei der Frage, wie im Alltag praktisch auf die Bedrohungen und mögliche Angriffe reagiert werden solle, herrschte unter den Teilnehmern keine Einigkeit. Gerade die Aufforderung von Robert Joyce, Cybersecurity-Koordinator des Weißen Hauses, zu mehr internationaler Zusammenarbeit, wie sie die USA gerade mit Großbritannien teste und der Gewährleistung der dortigen Bürgerrechte, stieß bei den Teilnehmern auf Skepsis. Einer Meinung war man allerdings wieder, als Joyce von Russland und China eine stärkere Strafverfolgung von Hackern und Crackern forderte.

Warnung vor Gegenattacken

Einigkeit herrschte auch darüber, dass es für Unternehmen keine gute Idee sei, auf Cyber-Angriffe mit Gegenangriffen zu reagieren. "Im Cyber- versus Cyber-Konflikt gibt es keine symmetrischen Antworten", unterstrich der Security-Koordinator. Zumal in den Augen von DEF-CON-Chef Moss eh keine Chancengleichheit herrscht: "Die Angreifer sind in der Regel gut finanziert und verfügen über 100 bis 200 Millionen Dollar Budget, während die Konzerne im Schnitt nur 50 bis 60 Millionen haben - da ist ein Gegenangriff keine gute Idee." Darüber, ob in dieser Situation KI-Methoden den Unternehmen bei der Abwehr helfen könnte, waren die Diskutanten uneinig. Während für Eugene Kaspersky, Chairman und CEO von Kaspersky Lab, die Diskussion um AI-gestützte Security-Software aus heutiger Sicht "nur Marketing-Bullshit" ist, kann sich Moss eine entsprechende selbstlernende Software durchaus vorstellen. Allerdings mit dem Pferdefuß, dass sich auch die Angreifer dieser Technik bedienen werden. "Ich halte einen Krieg der Algorithmen in naher Zukunft durchaus für wahrscheinlich", erklärte Moss.

Womit unter dem Strich dann wieder der Mensch und seine Expertise den Ausschlag gibt, weshalb ein klassisches Risiko-Management bei Cyber-Security-Fragen nicht greife. "Hört auf die Nerds und nicht auf den CFO", riet denn auch Nemat, "und wenn ihr keine Nerds im Unternehmen habt, dann stellt sie ein."