In den letzten Jahren beschäftige ich mich erfolgreich mit der Härtung von Systemen und der Beseitigung von Schwachstellen in bisweilen sehr großen Organisationen. Dabei kommt immer wieder die Fragestellung auf, welchen Sicherheitsgewinn die eingeleiteten Maßnahmen haben würden.
Die Umsetzung einzelner Maßnahmen würde teilweise immense Kosten z.B. durch die Umprogrammierung der Anwendungen verursachen. Häufig sind die Budgets dafür nicht vorhanden oder die Entwickler sind in Projekten verplant, die die strategische Position des Unternehmens entscheidend verbessern oder die Entwickler sind in Rente oder bei anderen Unternehmen oder der Lieferant der Software ist insolvent oder gar nicht mehr am Markt.
Welchen konkreten Sicherheitsgewinn bringt es, wenn es z.B. keine Systeme mit einem CVSS > 01) gibt? Welches Sicherheitsniveau müssen ein Geschäftsführer und verantwortliche Personen für ihr Unternehmen einhalten? Diese sehen sich in der jüngeren Zeit zunehmend persönlichen Haftungsthemen – und das nicht nur durch die DSGVO – gegenüber.
In der IT ermitteln Auditoren die strukturelle und die Prozess-Qualität. Tiger Teams mit Penetration Tests stehen für die Ergebnis-Qualität. Spätestens dann wird sichtbar, ob die Maßnahmen erfolgreich sind. Allerdings hängt es von der individuellen Erfahrung dieser Teams ab, wie erfolgreich sie beim Aufdecken der Schwachstellen sind. In Bezug auf Kosten und Haftung erzeugt dieses ein eher ungutes Gefühl.
Wie gehen nun andere Branchen vor? Die Automobilindustrie verwendet normierte Crash Tests mit Dummies, um das Sicherheitsrisiko für die Insassen abzuschätzen. In diesem realen Test stellt sich heraus, ob die theoretischen – sprich strukturellen – Annahmen bei der Konstruktion des Fahrzeuges zum gewünschten Ergebnis führen.
Wenn KI für Angriffe gegen Systeme verwendet wird, wäre mit Hilfe der KI es nun nicht denkbar, virtuelle Tiger Teams mit normierter Fähigkeit auf ein System anzusetzen? Diese würden eine Art Security Crash Test durchführen. Je nach eingesetztem virtuellen Tiger Team wiese dann das System ein definiertes Sicherheitsniveau auf.
Prinzipiell sind komplexe Systeme nicht vollständig abschottbar und bleiben zumindest vulnerabel gegenüber Advanced Persistent Threats, wie sie insbesondere von staatlichen Organisationen ausgehen. Von daher ist immer mit erfolgreichen Angriffen zu rechnen, die es gilt, so schnell wie möglich als solche zu identifizieren. Hierzu bieten z.B. SIEM (Security Information and Event Systems) die Möglichkeit, abnormales Systemverhalten zu analysieren. Die dabei anfallenden Datenmengen sind immens und schon in kleineren Unternehmen und Organisationen nicht mehr manuell in Realtime zu interpretieren.
Die Entwicklung von Regeln ist nicht trivial und eine Vielzahl an Fehlalarmen wird das Vertrauen in die Technologie untergraben. Auch hier gibt es vielversprechende KI Ansätze, für die diese Systemwelten eine gewisse Stabilität und inhärente Vorhersagbarkeit aufweisen müssen.
Mit der KI hat die Informatik den Menschen ein mächtiges Werkzeug in die Hand gegeben. Auf ihr ruhen viele Hoffnungen auf eine Verbesserung der Arbeitswelt und disruptiven Anwendungen bei den Unternehmen. Wie ich versuchte darzustellen, ist dieses auch eine komplexe Technologie, bei der es nicht nur Licht sondern auch Schatten gibt. Lassen sie uns daher bei dem Einsatz der KI immer erst nachdenken, damit es uns nicht wie dem Goetheschen Zauberlehrling ergeht: „Herr, die Not ist groß! Die ich rief, die Geister, werd ich nun nicht los.“
Erläuterung:
1) Der CVSS oder Common Vulnerability Score System ist ein Industriestandard für die Schwere einer Sicherheitslücke in einem System (1 = niedrig, 10 = hoch)
Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an r.hannig@acent.de
Rüdiger Hannig | 02.06.2020
