RSA Conference Europe 2013

Intelligente Sicherheit vs. Datenschutz

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Die automatisierte Auswertung von großen Datenmengen zur Gewinnung sicherheitsrelevanter Informationen ist erneut das vorherrschende Thema der europäischen RSA-Konferenz, die diese Woche in Amsterdam stattfindet. Das Werben für Security-Intelligence-Produkte nimmt dabei zuweilen datenschutzrechtlich fragwürdige Züge an.

"Security Intelligence macht das früher notwendige Wissen über den Angreifer und seine Methoden überflüssig", behauptete RSA-Chairman Art Coviello in seiner Keynote. Die datenschutzrechtlichen Bedenken, wenn alles im Netzwerk durchleuchtet und aufgezeichnet wird, um es in einen Zusammenhang setzen und unter Security-Gesichtspunkten automatisiert auswerten zu können, wischte er beiseite: "Es geht nicht um die Frage 'Security oder Privatsphäre' - wir können beides haben!"

Mithilfe einer starken Data-Governance-Strategie, die auf zuverlässiger Security-Technologie fuße und alle Analyseprozesse transparent mache, könnten Unternehmen die Rechte ihrer Mitarbeiter wahren und trotzdem mögliche Angriffspunkte und bereits laufende Attacken identifizieren.

Amerikanische Sammelleidenschaft

Um künftige Angriffsvektoren vorhersehen und schon im Voraus verhindern zu können, kündigte Symantec-CTO Stephen Trilling im Folgenden eine riesige Datenbank an, die Bedrohungs- und Angriffsdaten aus allen möglichen Quellen zusammenfügen soll. Es gehe darum, "automatisiert sicherheitsrelvante Informationen über Angriffe und Angriffsversuche zu sammeln". Dabei sei es egal, ob die betroffenen Unternehmen Symantec-Produkte oder solche von Wettbewerbern einsetzten - "sofern diese uns den Zugriff auf ihre Informationen erlauben", so Trilling. Zweck der Cloud-Datenbank sei es, die gesammelten Informationen an einer zentralen Stelle vorzuhalten, um Unternehmen weltweit Entscheidungen über künftige Sicherheitsstrategien zu vereinfachen.

Wer Daten und Wissen beherrscht, ist sicher – RSA stellt den Security-Intelligence-Ansatz in den Mittelpunkt seiner europäischen Jahreskonferenz.
Wer Daten und Wissen beherrscht, ist sicher – RSA stellt den Security-Intelligence-Ansatz in den Mittelpunkt seiner europäischen Jahreskonferenz.

Viele Konferenzteilnehmer äußerten jedoch die Befürchtung, dass die meisten Anwender eine derartige Datenbank zur Information zwar gerne nutzen würden, sie aber kaum jemand selbst mit Daten füttern wolle. "Wir bräuchten zunächst einen länderübergreifenden Standard, solche Informationen anonymisieren zu können - das aber wiederum würde sie so gut wie wertlos machen", brachte es John Colley vom CISSP-Zertifizierungsnetzwerk ISC2 im Rahmen eines Presse-Roundtables auf den Punkt. Die meisten Unternehmen seien eben nur bereit, Informationen über erlittene Angriffe und eigene Schwachstellen mit anderen zu teilen, wenn ihnen diese nicht zuzuordnen seien.

Anonymität als Feind der Privatsphäre?

Das Thema Anonymität wurde allgemein heiß diskutiert, nachdem Coviello mit einer Aussage in seiner Keynote für Kopfschütteln und sogar vereinzelte Buh-Rufe gesorgt hatte: "Anonymität ist der Feind der Privatsphäre." Seine Begründung: Wenn persönliche Daten gestohlen und missbraucht werden würden, könnten Kriminelle dies heute absolut anonym und damit in der berechtigten Annahme tun, niemals erwischt zu werden. Schließlich seien sie durch die Anonymität des Internets kaum identifizierbar.

Eine für viele Besucher doch etwas krude Herleitung: Datenschützer fordern gerade deshalb das Recht auf Anonymität ein, damit nicht jedem Internetnutzer die Totalüberwachung aller seiner Online-Aktivitäten droht und die Privatsphäre rein auf das Offline-Leben beschränkt wird. Im Unternehmensumfeld mag die Lage eine andere sein, wenn Mitarbeiter bestimmte Systeme exklusiv im Dienst ihres Arbeit- oder Auftraggebers nutzen und währenddessen ihre persönlichen Belange hinten anstellen müssen. Mit der zunehmenden Vermischung dienstlicher und privater Aktivitäten gestalten sich die Grenzen jedoch fließend, was Unternehmen hierzulande schon von Gesetzes wegen in eine Zwickmühle führt.

Die RSA Conference Europe findet in diesem Jahr im Amsterdam RAI, dem Kongresszentrum der niederländischen Hauptstadt, statt.
Die RSA Conference Europe findet in diesem Jahr im Amsterdam RAI, dem Kongresszentrum der niederländischen Hauptstadt, statt.


Das Vertrauen ist erschüttert

Und so blieb ob eines einzigen Satzes bei vielen Konferenzteilnehmern ein fader Beigeschmack zurück. Für eine europäische Konferenz, in deren Rechtsraum größtenteils das Recht auf Privatsphäre als hohes Gut angesehen wird, hätte der Start durchaus eleganter ausfallen können. Zumal gerade die jüngsten Vorfälle rund um die Spionageaffäre des US-Geheimdienstes dem Vertrauen europäischer Anwender in amerikanische Versprechungen nicht besonders zuträglich war.

Fazit

Das grundsätzliche Problem in der Debatte um Security Intelligence und -Analytics ist folgendes: Solange derartige Technologien nur innerhalb eines Unternehmens eingesetzt werden, bleibt das hehre Ziel, künftige und bislang unbekannte Sicherheitsprobleme schon im Voraus erkennen zu können, meist unerfüllt. Insofern ist der Symantec-Ansatz sinnvoll, kann aber schon aus Compliance- und Image-Gründen bei vielen Unternehmen in Europa kaum funktionieren. Hinzu kommt die Schwierigkeit, dass das auch in Amsterdam immer wieder beschworene "Vertrauen" in amerikanische Konzerne stark gelitten hat und nicht so schnell wieder aufgebaut werden kann. (mhr)