Suchen

Know-how-Schutz bremst Security-Experten verlieren Bezug zur IT

| Autor / Redakteur: Bruno Kerouanton * / Stephan Augsten

Die IT entgleitet immer weiter unserer Kontrolle. Die Entwicklung erinnert stark an die Automobilindustrie: Der Blick auf Systeminterna wird künstlich erschwert, um das Know-how nach Möglichkeit zu schützen. Doch dies geht zu Lasten der Qualifikation künftiger Sicherheitsexperten und Auditoren.

Firmen zum Thema

Durch Abschottung tragen die IT-Hersteller dazu bei, dass Sicherheitsexperten und Auditoren keine Erfahrung sammeln können.
Durch Abschottung tragen die IT-Hersteller dazu bei, dass Sicherheitsexperten und Auditoren keine Erfahrung sammeln können.
(Bild: Robert Hickerson - Unsplash.com)

Vor wenigen Jahrzehnten war es Kunden möglich, ein Auto zu kaufen und Reparaturen selbst durchzuführen. Die Unterlagen dazu waren leicht zu bekommen und Probleme konnte man selbst diagnostizieren und beheben.

Dann jedoch wurden immer mehr Teile versiegelt und originalverpackt angeliefert. Das macht die Autoreparatur schwierig, wenn nicht unmöglich. Es sei denn, man geht zu einer „akkreditierten“ Vertragswerkstatt, welche über die Kenntnisse und die Befugnis verfügt, das Fahrzeug instand zu setzen.

Der nächste Schritt bestand in der Einführung von automatisierten OBD-Systemen (On-Board-Diagnose, die der Reparaturwerkstatt sagen, welche Teile im Auto versagt haben und ausgetauscht werden sollten. Dies vereinfacht ungelernten Mitarbeiter die Diagnose. Der Nachteil dieser Entwicklung ist, dass Autos heute Black Boxes sind, mit denen sich nur die Hersteller auskennen.

Automechaniker tauschen oftmals ganze Bausteine des Autos aus, „weil das Diagnose-Tool [sie] dazu aufgefordert hat“. Sie haben auch immer weniger Kontrolle darüber, was unter der Motorhaube wirklich los ist. Damit sind die Werkstätten völlig abhängig vom Hersteller.

Wenn IT-Fachleute nicht mehr professionell ausgebildet werden

Die gleiche Entwicklung betrifft den IT-Sektor. Dies ist nicht nur auf Cloud Computing zurückzuführen, sondern auch auf den US-amerikanischen DevOps-Trend. Vor nicht allzu langer Zeit lernten Studenten in IT-Engineering-Schulen Low-Level-Sprachen (wie Assembler) und hatten Kenntnisse zu Interna von Computer- und Betriebssystemen.

Standard ist heute, dass High-Level-Programmiersprachen wie C# oder Java erlernt werden. Dies ist immer noch akzeptabel. Der allerneueste Trend geht jedoch dahin, nur auf übergeordnete Sprachen wie HTML5 und JavaScript für Cloud-basierte Anwendungen zu bauen. Mit Ausnahme einer Handvoll größerer Entwicklungsunternehmen beherrscht aber niemand diese Sprachen so richtig gut.

Diese Sprachen hängen stark von gebrauchsfertigen Bausteinen ab, die nicht im Unternehmen entwickelt wurden, und deren interne Funktionen meist geschützt und undurchsichtig sind. Gleiches passiert bei Cloud-basierten Systemen, die mit einer Reihe von APIs und Web-Diensten ausgestattet sind.

Entwickler sind somit zwar in der Lage, mit anderen Teilen zu kommunizieren, aber im Wesentlichen handelt es sich um Blackboxes. Dadurch ergeben sich neue Herausforderung für die IT-Branche, insbesondere für Entwickler und IT-Sicherheitsexperten:

  • Entgleiten den IT-Experten die Informationssysteme, wenn sie nicht mehr in der Lage sind, die inneren Abläufe der Systeme, Sprachen und Anwendungen zu verstehen – besonders, wenn sie von diesen abhängig sind?
  • Geht das Know-how, das zur Entwicklung dieser Low-Level-Bausteine und -Systeme erforderlich ist, den europäischen Schulen und den IT-Fachleuten verloren?
  • Ist die Verfügbarkeit dieses Wissens bald nur noch das Privileg größerer IT-Unternehmen und Hersteller?
  • Wie werden IT-Sicherheitsexperten das Vertrauensniveau einer Software-Lösung gewährleisten können, wenn sie nur auf firmeneigene Bausteine zurückgreifen können?

Eine Bedrohung, die man verstehen muss

Dies gilt insbesondere in der sich wandelnden Bedrohungslandschaft. Die Zahl der Cyber-Security-Vorfälle nimmt zu. Das deutsche IT-Sicherheitsgesetz ist ein Exempel; es enthält Dinge, wie obligatorische Audits und Sicherheitsberichte für Betreiber kritischer Infrastrukturen. Das Gesetz ist ein gutes Beispiel dafür, wie kritisch die Situation tatsächlich ist, denn die ergriffenen Maßnahmen sind wahrscheinlich nicht durchführbar.

Das Problem dabei ist, dass die Audit-Fähigkeiten immer geringer werden. Auch, wenn Ressourcen und Zeit vorhanden sind, so geraten Infrastrukturen durch Technologien wie die Cloud für den Auditor außer Reichweite. Geheimhaltung existiert nicht mehr, denn Datenströme werden durch unbekannte Pfade gejagt.

Die Global Information Security Workforce Study (GISWS) von Frost & Sullivan, in deren Rahmen 13.900 IT-Experten befragt wurden, verdeutlicht das Problem. Verglichen mit klassischen Datenzentren ist die End-to-End-Kontrolle bei öffentlichen Clouds wesentlich geringer.

22 Prozent aller Clouds werden niemals auf Anwendungsschwachstellen gescannt . Selbst, wenn IT-Experten sich mit den Schwachstellen befassen wollten und ein Gesetz sie dazu verpflichten würde, bliebe die Technologie ein unantastbares Geheimnis.

Zusammenfassung

Die Community der IT-Experten muss zugeben, dass Unternehmen durch diese lebhafte Entwicklung sowie durch Cloud Computing mehr Flexibilität und vereinfachte Budgetplanung geboten werden. Diese Möglichkeiten wurden seit Jahrzehnten gefordert. Und die Hoffnung, sich diesem Trend widersetzen zu können, wird immer unrealistischer. Vom Risikostandpunkt aus gesehen, läuft man direkt in die Höhle des Löwen, wenn man meint, dass man keine qualifizierten Entwickler oder Systemadministratoren mehr braucht.

Diese durch weniger ausgebildete Techniker ersetzen, die nur noch in der Lage sind, vorgefertigte Bausteine zusammenzusetzen, weil ja „die Cloud alles für Sie erledigt“ ist keine Lösung. Kurzfristig kann dies zwar eine gewinnbringende Strategie sein. Langfristig bedeutet es jedoch lediglich, dass die ganze Branche nicht mehr in der Lage sein wird, die IT in den Griff zu bekommen - nur, weil sie alles auf eine Karte setzt, die ein paar große Unternehmen in der Hand halten.

Wird diese Entwicklung nicht gestoppt, gehen Qualifikationen und Erfahrung verloren und Mitarbeiter der IT-Sicherheit werden womöglich in die Rolle der „Software-Anwender“ gedrängt. Langfristig wird dies zu mehr Cyber-Vorfällen, weniger Sicherheit und größerer Abhängigkeit führen. Der Weg zur nachhaltigen Informationssicherheit führt über das Sammeln und Teilen von Erfahrungen und über lebenslanges Lernen.

* Bruno Kerouanton ist (ISC)²-zertifizierter CISSP und verantwortet den Bereich „Cyber Security und Digital Trust“ des Schweizer Kantons Jura.

(ID:44396784)