Auf der RSA Conference Europe in London Anfang Oktober hat die EMC-Tochtergesellschaft ihr "Intelligence-driven Security"-Modell präzisiert. Mit im Spiel: altgriechische Zahlenmythologie, Sunzis "Die Kunst des Krieges" und sehr viel militärische Aufklärung. [...]
Ari Juels ist Autor des kryptografischen Thrillers Tetraktys. Weit abseits von Dan Browns verschwörungstheoretisch anmutenden Code-Knacker-Elegien hat Juels einen auf wissenschaftlichen Erkenntnissen ruhenden Roman verfasst, der altgriechische Zahlenmythologie – nach dem Motto: „Wer die Geheimnisse der Zahlen kennt, kennt die Geheimnisse des Universums“ – und realistische Zukunftsszenarien in Sachen IT-Security unter einem Dach vereint. Prädikat: absolut lesenswert. Ari Juels ist nicht nur Schriftsteller, er arbeitet auch als leitender Wissenschaftler von RSA und Direktor der RSA Laboratories, und wurde im Jahr 2004 vom MIT Technology Review Magazin zu den 100 weltweit innovativsten Köpfen unter 35 gewählt.
DIE KUNST DES KRIEGES
RSA ist bekanntlich Verfechter der „Intelligence-driven Security“, wobei „Intelligence“ weniger die geistigen Fähigkeiten meint als den militärischen Terminus der „Aufklärung“. Der martialische Trommelwirbel kommt nicht von ungefähr. Geht es nach dem Keynote-Sprecher Francis deSouza, Group President Enterprise Products and Services bei Symantec, dann gleicht das Web immer mehr einem militärischen Operationsgebiet. Die Unternehmens-IT, welche „die größte Transformation der Geschichte durchmacht“, ist mit komplexen Gefahren konfrontiert, wie etwa „Mehrflankenangriffen“. Typisches Szenario: Es kommt zu einer Attacke, der man die ganze Aufmerksamkeit schenkt, gleichzeitig findet an einer anderen Stelle der eigentliche Angriff statt. Viele erkennen nicht, dass beide Aktionen Teile eines größeren, strategischen Plans sind. Es geht um Ablenkung, Verschleierung, Blendung – Taktiken, mit denen ein Mitglied des Generalstabs eher vertraut ist als ein IT-Security-Verantwortlicher.
Was also tun? Diesmal sind es nicht Ari Juels alte Griechen, die Pate stehen, sondern die Chinesen des Altertums, wenn es darum geht, sein Unternehmen zu schützen. Sunzis Die Kunst des Krieges zu lesen, wäre gewinnbringend – nicht als Metapher für ein erfolgreiches Wirtschaftsleben, sondern wörtlich genommen: Als Anleitung, um auf dem virtuellen Schlachtfeld zu bestehen, so Francis deSouza. Auch die Prinzipien des japanischen Aikido sollte man sich zu Gemüte führen. Bei dieser Kampfkunst, die wörtlich übersetzt etwa „der Weg der Harmonie mit der Energie des Universums“ bedeutet, ist eines der Ziele, die Angriffsbewegung des Gegners unmittelbar nach dem Beginn und vor der vollständigen Ausführung zu vereiteln. Auch ist die Verwendung der Energie des Aggressors gegen diesen ein probates Mittel. Kurzum: „Man kann eine Schlacht nicht mit bloßer Verteidigung gewinnen, man muss in die Offensive gehen“, bringt deSouza von Symantec die neue Strategie auf den Punkt.
Die COMPUTERWELT fragte Art Coviello, Executive Vice President EMC & Executive Chairman RSA, wie man sich eine IT-Welt voll von Angriffen und Gegenangriffen vorstellen könne. Als ein permanent blutgetränktes Schlachtfeld? „Da muss man sehr vorsichtig sein. Was wir nicht wollen, ist eine Welt voll von Leuten, die zur Selbstjustiz greifen. Eine Welt voll von Geschossen, die durch die Luft schwirren, und Menschen, die unschuldig zum Handkuss kommen“, so Coviello.
SECURITY & BIG DATA
Das innovative Sicherheitsmodell von RSA kommt ohne rauchende Colts aus. Im Zentrum steht das Wissen darüber, wer die potenziellen Feinde sind und welche Aktionen wahrscheinlich sind – Elemente der klassischen Aufklärung also und typisches Betätigungsfeld der Geheimdienste. Daher wäre es durchaus nützlich, Spezialisten mit entsprechender Ausbildung und dem Knowhow über die komplexen strategischen und taktischen Möglichkeiten als IT-Security-Experten anzuheuern – so die Empfehlung von Art Coviello. Weiters entscheidend ist die Zusammenarbeit auf globaler Ebene, um jene kriminellen Organisationen zu identifizieren, die dafür verantwortlich zeichnen, dass das Internet ein Schlachtfeld ist. Nicht vergessen: Der Feind ist stark. Die „Bösen“ sind im Gegensatz zu den „Guten“ untereinander meist besser organisiert, sie kennen die Schwachstellen in einem Unternehmen genauer als dessen eigene Mitarbeiter und punkten mit personalisiertem Angebot – Stichwort „Social Engineering“. Um all die geforderten Aufgaben erfüllen und sich vor Angriffen schützen zu können, braucht es im Hintergrund ein System permanenter Datenerfassung – und damit ist man sofort inmitten des Themas Big Data Analytics.
Laut dem eingangs erwähnten Direktor der RSA Laboratories, Ari Juels, stehen wir damit jedoch erst am Anfang. „Die Analyse von Big Data ist generell schwierig, im Security-Bereich ganz besonders“, erklärt er gegenüber der COMPUTERWELT. „Die Hauptaufgabe liegt derzeit noch in der Datenbereinigung.“ Was Big Data betrifft, ist man bei der Muttergesellschaft EMC jedenfalls gut aufgehoben. Eine weitere Aufgabe sieht Juels in der Verbesserung der Security-Software. „Dass die Nachfrage nach Trainings gerade im Sicherheitsbereich so groß ist, liegt oft am schlechten Design der Software. Statt den Menschen die fundamentalen Aspekte der Security näherzubringen, sind wir damit beschäftigt, die Mankos der Lösungen auszugleichen.“ Der Bereich mit dem größten Verbesserungspotenzial ist die Usability. „Selbst ich habe Schwierigkeiten, meine E-Mails zu verschlüsseln, wie soll ein durchschnittlicher User damit umgehen?“, so Juels.
Überhaupt wird der Ruf lauter, mehr auf die oft sehr unterschiedlichen Wissenshorizonte und Verhaltensweisen der User einzugehen. Der eine klickt buchstäblich auf alles, was sich bewegt, der andere auf nichts – seiner Paranoia sei Dank. Moderne Security-Modelle müssen diese speziellen Risikoprofile berücksichtigen. Laut Herbert Thompson, Commitee Chairman der RSA Conference, gleicht ein optimales Security-System dem Trainer am Stufenbarren. Er ist nur dann in unmittelbarer Nähe, wenn eine schwierige Übung ansteht. Die restliche Zeit wartet er diskret im Hintergrund. (su)
Be the first to comment