Netzsicherheit/Kritik "Unknackbar" ist wertlos

07.04.1995

IT-Sicherheit ist eine multifaktorielle Eigenschaft beziehungsweise Zielsetzung. Hierzu muessen viele Beteiligte in jedem Einzelfall beitragen. (...) (Hier) wird (...) nicht erkannt, dass ein integratives Zusammenspiel von Organisation und Technik erforderlich ist.

Die Behauptung "Die zentrale Schwachstelle ist der Mensch" charakterisiert bestenfalls das Wirkungsdefizit organisatorischer Massnahmen. Eine andere Behauptung, die IV-Sicherheit sei erst durch den Einsatz der (Informations-)Technik in Frage gestellt, verkennt, dass Manipulationen, Faelschungen, unberechtigtes Kopieren, unbefugter Zugang und so weiter bereits im EDV-losen Zeitalter durchaus bekannte Begriffe waren.

Wenn auf der Anwenderseite nur noch Sicherheitsadministration ohne technische Sicherheit betrieben wird, freuen sich alle Hacker und Manipulatoren. Wenn die Sicherheitsadministration im Extremfall in der Produktion umfangreicher Alibi-Papiere besteht, ist IT- Sicherheit nur eine Pflichtuebung ohne Schutzwirkung. Einfache, aber dennoch durchdachte Konzepte, die von den Betroffenen nachvollzogen werden koennen, helfen mehr als grossartige zahlenorientierte Bedrohungs- und Schadenanalysen.

Eine Aussage wie "Was interessiert mich, ob ein Hersteller sein Produkt ordentlich entwickelt hat - fuer mich ist die Sicherheit meines speziellen IT-Systems wichtig" hat den gleichen ignoranten Charakter wie der bekannte Scherz "Wozu brauchen wir Kraftwerke - bei uns kommt der Strom aus der Steckdose". Standards fuer ordnungsgemaesse, qualifizierte und sicherheitstechnisch hoch zu bewertende Produktentwicklungen muessen geschaffen werden.

Eine Aussage wie "Vertrauen Sie unseren Produkten, dann ist ihre

IT-Sicherheit gewaehrleistet" wird vielfach so oder aehnlich gemacht, haelt aber in der Praxis keiner ernsthaften Kontrolle stand: Behauptungen wie "Unser Produkt ist unknackbar" sind wertlos, wenn der Nachweis nicht angetreten wird; dennoch scheinen solche Behauptungen bei manchem Anwender nicht ganz erfolglos zu sein - obwohl sie nie zutreffen. Der solche Aussagen produzierende kommerzielle Druck in einem grossen schnellebigen Markt ist ein wichtiger Grund dafuer, dass es grundsaetzlich einer unabhaengigen Pruefung von Produkten und Systemen bedarf. Diese muss sich auf anerkannte Kriterien mit nachvollziehbaren Garantiestufen beziehen, wenn sie einen Aussagewert fuer den Anwender haben soll.

Zitiert aus: Dr. Heinrich Kersten: Sicherheit in der Informationstechnik, Zweite, voellig ueberarbeitete Auflage, R. Oldenbourg Verlag, Muenchen und Wien 1995