„Bewährtes in einen neuen Kontext stellen“

Helmut Leopold von AIT beschäftigt sich neben seinem Forschungsschwerpunkt Security intensiv mit den Fragen, wie Innovationen funktionieren und welche Auswirkungen sie auf Einzelpersonen, Gesellschaft und den Globus haben. [...]

Am Rande der Geraser CIO-Tage Ende April sprach die COMPUTERWELT mit Helmut Leopold, Head of Digital Safety & Security Department beim Austrian Institute of Technology (AIT). Das komplette Interview lesen Sie unter www.itwelt.at.

Zwei Ihrer Arbeitsschwerpunkte sind Innovation und Security: Bremst Security Innovationen aus?
Helmut Leopold:
Ich sehe das gegenteilig. Das, was wir heute unter Sicherheit in der IT diskutieren, ist erst in den letzten fünf Jahren entstanden, und zwar der extreme Anstieg von Schadsoftware. Das hat eine Dynamik, die ist unglaublich. Unsere Meinung ist, und das sagen auch die großen Hersteller: Die klassischen Schutzmechanismen von gestern wie Firewall und Virenscanner reichen heute bei weitem nicht aus.
Ein weiterer Punkt ist: Um unser Leben besser, schneller und einfacher zu machen, vernetzen wir alles, egal ob in der Produktion, im Gesundheitswesen oder im Verkehr. Die Vernetzung hat eine Komplexität erreicht, die keiner mehr versteht – Stichwort Systems of Systems. Wenn alle Autos miteinander kommunizieren, können wir nicht mehr sagen, welchen Einfluss ein einzelner Sensor auf das Gesamtsystem hat. Daher müssen wir immer mehr in das System stecken: Wir versuchen so sicher wie möglich zu sein und müssen darüber hinaus gesellschaftliche Aspekte wie Privacy unter einen Hut bringen. Daher wird Security zu einem innovationsbestimmenden Element.

Innovationen, die nicht unbedingt freiwillig passieren.
Natürlich machen wir es nicht freiwillig, weil der Marktwert noch nicht gegeben ist. Daher hat es auch keinen Wert. Doch das führt zu einer grundsätzlichen Frage: Wie managen wir die Einführung neuer Technologien? Wie gehen wir mit ihnen um? Als User, als Gesellschaft, als Unternehmen? Wenn wir mit den Systemen, die wir zu unserem Wohle bauen, nicht umgehen können, werden wir als Gesellschaft Probleme bekommen.    
Unser Bildungssystem ist nicht gerade darauf ausgerichtet, mit den neuen Technologien richtig umzugehen.
Beim Verkehr haben wir als Kinder die Regeln lernen müssen, heute lassen wir unsere Kinder völlig unvorbereitet in das Abenteuer. Das ist schlecht. Man muss wissen, dass von der Bank keine E-Mails kommen, auch wenn sie noch so echt aussehen. Das ist ein kleines Beispiel für Digital Literacy. Wir sind das bis jetzt sehr lasch angegangen, wir müssen in diesem Bereich viel mehr tun.

Wie soll man etwas managen, das man nicht versteht und das eine große Eigendynamik besitzt?  
Daraus lassen sich zwei Thesen ableiten. Erstens: Es gibt keine 100-prozentige Sicherheit. Nicht im Auto, nicht im Zug. Beim Flieger fällt es auf, beim Auto nicht, obwohl es hier viel mehr Tote gibt. Wir leben mit der Gefahr. Und wir müssen lernen, damit umzugehen. Das heißt für mich Risk Management, mit dem sich ein sehr großer Forschungsbereich aufgetan hat. Wir brauchen Methoden und Werkzeuge, die uns ermöglichen, Risiken vernünftig – das heißt in einem ökonomischen Rahmen – zu managen.

Und die zweite These?
Wir müssen bei der IT-Security davon weggehen, alles im Vorhinein spezifizieren zu wollen, um es dem System mitzuteilen: Blacklist, Whitelist, Zugriffsrechte etc. Das funktioniert bei der hohen Dynamik der Systeme nicht. Daher unser Ansatz, den wir ebenfalls als Forschungsschwerpunkt betreiben: Die Maschine soll selbst lernen. Die Maschine soll lernen, was ein normales Verhalten ist und Anomalien erkennen. Es geht auch darum, Informationen zu teilen. Denn viele Angriffe laufen so ab, dass die einzelnen Effekte unverdächtig sind. Erst in Kombination wirken sie. Daher ist es notwendig, dass die Maschine Information mit anderen Maschinen austauscht. Daraus lässt sich ein Bild gewinnen, das wir als Cyber Situational Awareness bezeichnen.    
Risk Management, das wir gemeinsam mit unseren Partner wie Innenministerium und Landesverteidigung diskutieren, Anomalieerkennung und Cyber Incident Information Sharing, das sind die drei Blöcke, in die wir stark investieren, und wo wir einen Beitrag für die weltweite Entwicklung liefern, auch in Form von Patenten.

Welche weiteren Forschungsschwerpunkte verfolgen Sie?
Wir haben drei große EU-Projekte und ein nationales KIRAS-Sicherheitsforschungsprojekt, in denen es um die Sicherheit von Cloud-Diensten geht. Ich glaube, dass Cloud ein wichtiger Produktivitätsfaktor und ein Werkzeug ist, um die Komplexität von IT-Systemen zu beherrschen. Welche Methoden gibt es, dass niemand meine Daten missbräuchlich verwenden kann, egal wo diese Daten liegen? Eine mögliche Lösung: Ich gebe meine Daten jemandem, ohne die Datenhoheit zu verlieren, Stichwort Security by Secret Sharing. Auf Basis eines Zufallsalgorithmus gebe ich meine Daten nicht einem, sondern drei oder mehr Cloud-Betreibern, die mit den Einzelteilen nichts anfangen können. Selbst wenn ein paar Anbieter korrumpiert wären, wäre das System stabil. Wir stehen mit dieser Technologie noch am Anfang, beim Proof of Concept. In Speichersystemen hat sich das Prinzip schon seit vielen Jahren bewährt. Die Technologie in die Cloud zu bringen, ist neu. Ein typisches Beispiel für Innovation: Bewährtes in einen neuen Kontext stellen.   

Das Gespräch führte Wolfgang Franz.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*