"Bewährtes in einen neuen Kontext stellen" "Bewährtes in einen neuen Kontext stellen" - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


11.05.2015 Wolfgang Franz

"Bewährtes in einen neuen Kontext stellen"

Am Rande der Geraser CIO-Tage Ende April sprach die COMPUTERWELT mit Helmut Leopold, Head of Digital Safety & Security Department beim Austrian Institute of Technology (AIT). Er beschäftigt sich neben seinem Forschungsschwerpunkt Security intensiv mit den Fragen, wie Innovationen funktionieren und welche Auswirkungen sie auf Einzelpersonen, Gesellschaft und den Globus haben.

Helmut Leopold, Head of Digital Safety & Security Department beim Austrian Institute of Technology

Helmut Leopold, Head of Digital Safety & Security Department beim Austrian Institute of Technology

© Wolfgang Franz

Zwei Ihrer Arbeitsschwerpunkte sind Innovation und Security: Bremst Security Innovationen aus?
Helmut Leopold: Ich sehe das gegenteilig. Das, was wir heute unter Sicherheit in der IT diskutieren, ist erst in den letzten fünf Jahren entstanden, und zwar der extreme Anstieg von Schadsoftware. Das hat eine Dynamik, die ist unglaublich. Unsere Meinung ist, und das sagen auch die großen Hersteller: Die klassischen Schutzmechanismen von gestern wie Firewall und Virenscanner reichen heute bei weitem nicht aus.
Ein weiterer Punkt ist: Um unser Leben besser, schneller und einfacher zu machen, vernetzen wir alles, egal ob in der Produktion, im Gesundheitswesen oder im Verkehr. Die Vernetzung hat eine Komplexität erreicht, die keiner mehr versteht – Stichwort Systems of Systems. Wenn alle Autos miteinander kommunizieren, können wir nicht mehr sagen, welchen Einfluss ein einzelner Sensor auf das Gesamtsystem hat. Daher müssen wir immer mehr in das System stecken: Wir versuchen so sicher wie möglich zu sein und müssen darüber hinaus gesellschaftliche Aspekte wie Privacy unter einen Hut bringen. Daher wird Security zu einem innovationsbestimmenden Element.

Innovationen, die nicht unbedingt freiwillig passieren.
Natürlich machen wir es nicht freiwillig, weil Security etwas kostet und weil der Marktwert noch nicht gegeben ist. Daher hat es auch keinen Wert. Doch das führt zu einer grundsätzlichen Frage: Wie managen wir die Einführung neuer Technologien? Wie gehen wir mit ihnen um? Als User, als Gesellschaft, als Unternehmen? Wenn wir mit den Systemen, die wir zu unserem Wohle bauen, nicht umgehen können, werden wir als Gesellschaft Probleme bekommen. 

Wie soll man etwas managen, das man nicht versteht und das eine große Eigendynamik besitzt?  
Daraus lassen sich zwei Thesen ableiten. Erstens: Es gibt keine 100-prozentige Sicherheit. Nicht im Auto, nicht im Zug. Beim Flieger fällt es auf, beim Auto nicht, obwohl es hier viel mehr Tote gibt. Wir leben mit der Gefahr. Und wir müssen lernen, damit umzugehen. Das heißt für mich Risk Management, mit dem sich ein sehr großer Forschungsbereich aufgetan hat. Wir brauchen Methoden und Werkzeuge, die uns ermöglichen, Risiken vernünftig – das heißt in einem ökonomischen Rahmen – zu managen.
Risk Management ist einer unserer Schwerpunkte. Die Fragen, die wir gemeinsam mit unseren Partner wie Innenministerium und Landesverteidigung diskutieren, sind etwa: Was heißt Risikomanagement für eine Gesellschaft, für eine Nation? In welchen Bereichen muss mehr investiert werden? Stichwort kritische Infrastruktur. Was brauche ich als nationale Sicherheit, um ein System am Leben zu halten?
Der zweite Punkt ist der: Wir müssen bei der IT-Security davon weggehen, alles im Vorhinein spezifizieren zu wollen, um es dem System mitzuteilen: Blacklist, Whitelist, Zugriffsrechte etc. Das funktioniert bei der hohen Dynamik der Systeme nicht. Daher unser Ansatz, den wir ebenfalls als Forschungsschwerpunkt betreiben: Die Maschine soll selbst lernen. Die Maschine soll lernen, was ein normales Verhalten ist und Anomalien erkennen. Es geht auch darum, Informationen zu teilen. Denn viele Angriffe laufen so ab, dass die einzelnen Effekte unverdächtig sind. Erst in Kombination wirken sie. Daher ist es notwendig, dass die Maschine Information mit anderen Maschinen austauscht. Daraus lässt sich ein Bild gewinnen, das wir als Cyber Situational Awareness bezeichnen.    
Risk Management, Anomalieerkennung und Cyber Incident Information Sharing, das sind die drei Blöcke, in die wir stark investieren, und wo wir einen Beitrag für die weltweite Entwicklung liefern etwa auch in Form von Patenten.

Macht es überhaupt Sinn, globale Probleme mit nationalen Maßnahmen anzugehen?  
Ich sehe es wie das internationale Seerecht. Alle Staaten haben sich zusammengetan, um ein Grundsatzregelwerk zu schaffen, das die Frage, wie wir mit dem Thema umgehen sollen, global beantwortet. Das Internet funktioniert für mich ähnlich: Es müssen eigentlich alle Interesse haben, dieses System, das wir für unsere Produktivität zum Überleben brauchen, am Leben zu erhalten. Es geht also um globale Verhaltensregeln oder Rahmenbedingungen, damit das System läuft. Am Ende sind wir natürlich bei der Verantwortung jedes einzelnen Akteurs, beim Staat bis hin zum Endnutzer oder dem Unternehmer. Es ist wie beim Autofahren: Den Gurt müssen wir schon selbst anlegen.

Sie sagten, dass traditionelle Security-Maßnahmen nicht mehr greifen. Welche Optionen haben wir?
Ich glaube nicht, dass etwa das Benutzername-Passwort-System der alles lösende Ansatz ist. Warum sollen wir nicht auf die digitale Identität setzen, womit ich mich eindeutig identifizieren kann?

Damit das Tracking des User-Verhaltens noch einfacher wird?
Damit sind wir bei der grundlegenden Frage, die mich schon lange beschäftigt: Bestimmt die Technik uns oder wir die Technik? Welche Verantwortung haben wir? Siehe die Verantwortung der Physiker bei Dürrenmatt.
In den letzten Jahren sind die Themen Privatsphäre, Demokratie und Grundrechte stark in den Vordergrund gerückt. Ich habe natürlich meine Bedenken, weil es zu einer Art Monopolisierung gekommen ist: Sehr wenige Unternehmen wissen sehr viel von den Usern – wären es viele Unternehmen, wäre es wieder egal.
Wir müssen Technik schaffen, die uns allen hilft. Gleichzeitig liegt es an uns, Systeme zu kreieren, die genau definieren, wie wir mit Technik umgehen. Daher bin ich ein großer Verfechter davon, das Thema Sicherheitsforschung im Vorhinein in den Kontext von Government-Systemen zu setzen. Welche Rolle soll der Staat haben, wo soll die Gesellschaft regelnd eingreifen? Das gehört von Anfang an mitdiskutiert. Die Technikentwicklung zulassen und sich zeitverzögert um die Rahmenbedingungen kümmern, finde ich falsch. Siehe die Einführung des Sicherheitsgurts 100 Jahre nach Erfindung des Autos.
Das ist meine Definition von anwenderorientierter Forschung, wie wir sie betreiben: Technik nicht nur aus Sicht des Kunden, sondern auch Fluch und Segen holistisch und vorausschauend betrachten.    

Welche weiteren Forschungsschwerpunkte verfolgen Sie?
Wir haben drei große EU-Projekte und ein nationales KIRAS-Sicherheitsforschungsprojekt, in denen es um die Sicherheit von Cloud-Diensten geht. Ich glaube, dass Cloud ein wichtiger Produktivitätsfaktor und ein Werkzeug ist, um die Komplexität von IT-Systemen zu beherrschen. Welche Methoden gibt es, dass niemand meine Daten missbräuchlich verwenden kann, egal wo diese Daten liegen?
Eine mögliche Lösung: Ich gebe meine Daten jemanden, ohne die Datenhoheit zu verlieren, Stichwort Security by Secret Sharing. Auf Basis eines Zufallsalgorithmus gebe ich meine Daten nicht einem, sondern drei oder mehr Cloud-Betreibern, die mit den Einzelteilen nichts anfangen können. Selbst wenn ein paar Anbieter korrumpiert wären, wäre das System stabil. Wir stehen mit dieser Technologie noch am Anfang, beim Proof of Concept. In Speichersystemen hat sich das Prinzip schon seit vielen Jahren bewährt. Die Technologie in die Cloud zu bringen ist neu. Ein typisches Beispiel für Innovation: Bewährtes in einen neuen Kontext stellen.   

US-Unternehmen machen es vor: Um den Segen von Big Data voll ausnützen zu können – wie die Schaffung von neuen Geschäftsmodellen –, lässt die Gesellschaft auch die negativen Seiten zu. Lässt sich unter diesen Voraussetzungen überhaupt an traditionellen Modellen wie Privacy festhalten?
Es ist ohnehin nicht festzuhalten. Wir haben hier eine Technik zu unserem Nutzen, eine faszinierende Technik, die uns hilft, uns in dem unüberschaubaren Datenuniversum zurechtzufinden, siehe die Attention Economy von Davenport, wo die Aufmerksamkeit des Menschen als knappes Gut gesehen wird.
Zu sagen, ich nehme mich aus der technischen, gesellschaftlichen Entwicklung heraus, wird nicht funktionieren. Wir brauchen die Technik, um die großen Herausforderungen der heutigen Zeit zu lösen, sei es Energieverbrauch oder Verkehrsmanagement. Wir müssen lernen, damit umzugehen. Es gibt immer Möglichkeiten, eigene Spielregeln aufzustellen. Das hat in den letzten Tausenden Jahren immer sehr gut funktioniert. Wenn die Technik zu einem Kulturgut geworden ist, können wir sie verwenden, ohne dass sie uns schadet.
Ich finde Privacy als wichtiges Gut. Aber das Verständnis, wie wir damit umgehen, muss sich ändern. Das braucht einen Diskurs. Nur zu sagen, ich lasse die Erfindung des Messers nicht zu, weil ich damit jemanden umbringen könnte, ist absurd.

Unser Bildungssystem ist nicht gerade darauf ausgerichtet, mit den neuen Technologien richtig umzugehen.
Beim Verkehr haben wir als Kinder die Regeln lernen müssen, heute lassen wir unsere Kinder völlig unvorbereitet in das Abenteuer. Das ist schlecht. Man muss wissen, dass von der Bank keine E-Mails kommen, auch wenn sie noch so echt aussehen. Das ist ein kleines Beispiel für Digital Literacy. Wir sind das bis jetzt sehr lasch angegangen, wir müssen in diesem Bereich viel mehr tun.

Und das Elternhaus?
Wie lange hat es gedauert, bis sich das Auto oder die Medien durchgesetzt haben? Man hatte Zeit, sich darauf einzustellen. Wie lange hat es gedauert, bis sich Facebook durchgesetzt hat? Wie sollen sich Eltern darauf einstellen können? ich sehe da eine große Verantwortung in der Gesellschaft. Da fällt vor allem auch der Schule eine wichtige aufklärende und lehrende Rolle zu, um die nächste Generation auf die kommenden Herausforderungen der digitalen Vernetzung vorzubereiten. Diesem Aspekt wurde aus meiner Sicht bisher viel zu wenig Bedeutung geschenkt. Es liegt an uns allen, den richtigen Umgang mit Technik mitzugestalten.
Was nicht funktioniert, sind Verbote. Wir können Entwicklungen nicht aufhalten. Wir glauben immer, dass Erfindungen aus der Hand von Einzelpersonen kommen, in Wirklichkeit ist es so, dass Erfindungen zeitgleich an vielen Orten durch viele Menschen passieren. Ich bin überzeugt, dass es eine versteckte Kraft gibt, die wir nicht beeinflussen können. Den Fluch aber, den machen wir uns schon selbst, der ist nicht gottgewollt.

Das Gespräch führte Wolfgang Franz.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Bewertungen: 5.0 von 5. 1 Stimme(n).
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • Bacher Systems EDV GmbH

    Bacher Systems EDV GmbH mehr
  • SEQIS GmbH

    SEQIS GmbH Qualitätssicherung, Expertensysteme, Tools, Security Audits, E-Commerce-Software, B2B Dienste und Lösungen, Übernahme von Softwareprojekten,... mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr

Hosted by:    Security Monitoring by: