RSA Conference 2016: Hört auf zu heulen!

Compliance und KI bringen keine Security - Jäger sind gefragt

02.03.2016
Uli Ries ist freier Journalist in München.
Für einige Tage ist San Francisco mit der RSA Conference 2016 wieder der Mittelpunkt der Security-Welt. Dabei bestimmen zwei Themen die Konferenz: Der Wunsch nach staatlichen Hintertüren in der IT sowie die Frage wie sich Unternehmen gegen Cyberkriminelle und ihre Attacken besser schützen können.
"Hört auf zu heulen und steht den Experten nicht im Weg rum", mahnte Amit Yoran, President von RSA, die Unternehmen, die über fehlende Security-Experten lamentieren.
"Hört auf zu heulen und steht den Experten nicht im Weg rum", mahnte Amit Yoran, President von RSA, die Unternehmen, die über fehlende Security-Experten lamentieren.
Foto: Uli Ries

Amit Yoran, President von RSA, hat im Rahmen seiner Eröffnungsansprache zur diesjährigen RSA Conference in San Francisco davor gewarnt, sich beim Schutz von Unternehmensnetzwerken einzig auf Technik zu verlassen. So sind laut Yoran die unter anderem von RSA während der Messe vorgestellten neuen Schutzkomponenten, die Daten mithilfe von künstlicher Intelligenz (KI) einer Verhaltensanalyse unterziehen und so auf Ungewöhnliches im Datenverkehr aufmerksam machen sollen, kein Allheilmittel. Zwar beeindrucke beispielsweise der von Googles AlphaGo dank Deep-Learning-Unterstützung erzielte Sieg gegen den Europameister im Brettspiel Go - für IT-Sicherheitszwecke reiche die KI alleine jedoch nicht aus. Zwar erlaube Go unfassbar viele verschiedene Züge, doch es basiere aber auf überschaubaren Regeln, an die sich Mensch und Maschine halten müssen.

Ausbilden statt heulen

Bei Cyber-Attacken gelten jedoch keine Regeln, so dass Technik allein nicht die Lösung sein kann. "Unsere Feinde schlagen uns nicht, weil ihre Technik besser ist. Sie schlagen uns, weil sie kreativer, geduldiger und zäher sind", mahnte Yoran. Es helfe daher nur, wenn menschliche Analysten auf Unternehmensseite der Technik zur Seite stehen. Von diesen Fachleuten gibt es aber zu wenig. Laut der Intel Security Group fehlen alleine in den USA derzeit 200.000 solcher Sicherheitsexperten. Bis zum Jahr 2020 sollen es weltweit zwei Millionen Experten zu wenig sein. Auch RSA-President Yoran weiß dies und hat mit den Unternehmen, die keine solchen Spezialisten finden können, wenig Mitleid: "Hört auf zu heulen!" Es sei an der Zeit, sich die Experten selbst heran zu ziehen - oder ihnen "zumindest nicht im Weg herum zu stehen", kritisierte Yoran weiterhin.

Compliance bringt keine Sicherheit

Staatlich verordnete Hintertüren sind für Yoran "das Eingangstor zum Pfad hinab in die Hölle".
Staatlich verordnete Hintertüren sind für Yoran "das Eingangstor zum Pfad hinab in die Hölle".
Foto: Uli Ries

Mit seiner Kritik richtet sich Yoran gegen das Arbeitsumfeld, das Unternehmen für Security-Experten schaffen. So vertrat der RSA-President die Meinung, dass Menschen von Natur aus neugierig sind. Lasse ein Arbeitgeber ihnen nun den Freiraum, um dieser Neugier nachgehen zu können, dann würden sich die benötigten "Jägern" entwickeln. Unternehmen, deren Sicherheitsprogramme hingegen auf das Einhalten von Compliance ausgerichtet seien, "gehen die Sache falsch an", legte Yoran nach. Eine solche Kultur würde keine Freidenker anlocken oder hervorbringen. Neben den Investitionen in Technik gelte es deshalb auch, in Menschen zu investieren.

Backdoors sind Pfad zur Hölle

Einer Meinung ist Yoran mit Brad Smith, nach Satya Nadella zweiter Mann bei Microsoft, wenn es um die von Regierungen verordneten Hintertüren in Software geht - für Smith sind sie das "Eingangstor zum Pfad hinab in die Hölle." Überlegungen, Kryptographie auf Anordnung zu schwächen sind für den RSA-Boss "atemberaubend töricht". Ohne eine starke Verschlüsselung lasse sich schließlich keinerlei Infrastruktur wirksam schützen. Mit dem Verzicht auf eine starke Verschlüsselung fange man lediglich Gelegenheitskriminelle. Terroristen oder ausländische Nachrichtendienste würden sich keinesfalls auf solchermaßen geschwächte Verfahren verlassen.

Der Verschlüsselungsexperte Moxie Marlinspike, Programmierer des Krypto-Messengers Signal, sieht es ohnehin nicht ein, warum Strafverfolgung maximal leicht sein sollte. "Es muss weiterhin möglich sein, Gesetze zu übertreten", forderte er während des alljährlichen Cryptographer’s Panel. Wäre dies nicht möglich, gäbe es heute keine Ehe unter gleichgeschlechtlichen Paaren oder die schrittweise Legalisierung von Marihuana - denn ohne Gesetzesübertretung könne die Menschheit keinerlei andere Erfahrungen sammeln.