Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Patch me if you can: Ich wars nicht – Cyberwars!

Seit geraumer Zeit cybert es in diesem Land mächtig: Unser Kolumnist sinniert über Krisen, Corona, Abhängigkeiten und Digitalisierung, pardon: Cyber!

In Pocket speichern vorlesen Druckansicht 17 Kommentare lesen

(Bild: Lisa Pay/Shutterstock.com)

Lesezeit: 5 Min.
iX Magazin
Von
  • David Fuhr
Inhaltsverzeichnis

Widersprüchlich war unsere Security-Zunft schon immer. Sind wir die verkorkstesten Nerds der Welt oder die wahren Herrscher der Erde? Ist das, was wir tun, wertvoll und hochkomplex oder eigentlich gehypte, überbezahlte, triviale Elektronenschubserei? Und last, not least: Ist „Cyber“ nur eine lästige Nerverei – oder aber der mögliche Untergang der Menschheit? Auch unsere eigene Seele schwankt hin und her; während wir im einen Moment noch die Digitalisierung von Verwaltung, Schulen, ach was, des ganzen Lebens beschwören, unken wir im nächsten vom Untergang der Moderne durch Cyberkriege und die Singularität.
Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und Über-Cyber-Schreiben: Im Hauptberuf CTO bei der intcube GmbH, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Ereignisse und allgemeingültige Wahrheiten der Informationssicherheit aus.

Mal objektiv, nach Faktenlage: Sind (insbesondere menschengemachte) IT-Zwischenfälle eines der Probleme, über die die Menschheit letztendlich straucheln wird? Lassen wir den Asteroiden und das Verglühen der Sonne in sechs Milliarden Jahren als unfaire Benchmarks einmal weg, dann fallen uns, bescheiden wie wir sind, als würdige Vergleichsgrößen mindestens drei Risiken der letzten Jahrzehnte ein: Atomkrieg, Corona und Klimawandel.

Cyberwarsdas?

Die Fähigkeit, auf Knopfdruck große Teile der Weltbevölkerung zu vernichten, hat die Menschheit schon vor siebzig Jahren entwickelt. Klar haben Rechner geholfen, modernere, effizientere, noch tödlichere Atomwaffen zu entwerfen, und selbstverständlich spielen heute Rechnernetze im gegenseitigen Beäugen von Staaten eine maßgebliche Rolle. Aber das perfekte Töten war und ist auch ohne Computer möglich. Vom potenziellen Impact kann hier Cyber auch im Worst Case nicht mithalten.

Vielleicht ist bei Cyber die andere Komponente des Risikos das Problem, die Eintrittswahrscheinlichkeit? Es stimmt, dass die Einschläge durch Cyberangriffe mit den Jahren immer dichter werden. Geißeln wie Ransomware haben sich beinahe zum Normalzustand entwickelt. Das liegt im Wesentlichen daran, dass wir uns immer mehr auf die IT verlassen: Erst unsere eigene Abhängigkeit macht uns erpressbar und damit die Cyberkriminalität lohnenswert. Damit ist das Ganze eher vergleichbar einer Drogensucht: Die Digitalisierung ist unser Crystal Meth, das uns selbstbewusster und ausdauernder macht – und abhängiger, was uns erst der organisierten Kriminalität ausliefert.

Cyberwarwas?

Hängen Menschenleben von Security ab? Selbstverständlich. Steigen unsere Abhängigkeit und die Verletzlichkeit? Aber hallo. Aber auch wenn wir immer gerne laut warnen: Bisher wird eher mit als an Cyber gestorben. Gegenzurechnen sind fairerweise zudem die vielen Leben, die dank Digitalisierung gerettet, verlängert oder in (bestimmten Aspekten) ihrer Qualität verbessert werden konnten.

Wenn auf unserer groben Skala weder Impact noch Chance von Cyber übermäßig finster aussehen, kann es höchstens noch die innere Bewegung sein, die das Thema kritisch macht.

COVID-19 hat eine Überlebensquote von 98 bis 99 Prozent – Ebola schnaubt verächtlich – und einen Reproduktionsfaktor von lediglich 2 bis 3, worüber die Masern nur lachen können. Was die aktuelle Pandemie so tragisch macht, ist genau die Kombination aus exponentiellem Wachstum, das aufgrund aufwendiger Detektion nicht „billig“ zu begrenzen ist, und nicht vernachlässigbarer Todesrate. Ebola und SARS waren zu tödlich und auffällig, um sich weit verbreiten zu können, Corona haut genau in einen Sweet Spot von tödlich genug für ein weltweites Massaker, aber auch harmlos genug, um sich von uns immer weiter herumtragen zu lassen.

Wir müssen vermeiden, dass Cyber einen ähnlichen Pfad nehmen kann: Wenn es uns gelänge, die „Überlebenschance“ eines Unternehmens oder eines Gemeinwesens nach einem Cybergroßangriff auf six nines (99,9999 Prozent) zu steigern, wäre das Problem erledigt. Dies wird uns nicht gelingen. Daher bleibt uns nur, die Anfälligkeit für Cyberangriffe zu erhöhen. Wir müssen frühzeitig merken können, wo Dinge schiefgehen, um sie reparieren und robuster oder noch besser resilienter machen zu können. Und wir müssen üben, wie wir ohne IT überleben und wieder auf die Beine kommen.

Sonst gelangen wir – wie in der Klimakrise – irgendwann an Kipppunkte, von denen es kein (billiges) Zurück mehr gibt. Wenn einmal die Fähigkeit, Substations in Übertragungsnetzen noch von Hand zu fahren, wegrationa…, ich meine -digitalisiert worden ist, sind weder Personalressourcen noch Prozesse im Katastrophenfall schnell wiederaufzubauen (siehe Intensivstationen heute). Und vieles, das uns beschleunigt, kann auch dem Angreifer Speed bringen.

Zwar existieren Vorgehensweisen innerhalb der Security, die uns hier besser werden lassen, etwa Krisenstabsübungen, Red Teaming und Chaos Engineering. Nötig ist jedoch, dass das zugrunde liegende Denkmuster in jeden Entwicklungsschritt einbezogen wird. There is no free lunch: Jedes Stück Digitalisierung erzeugt ein Stück Abhängigkeit und muss mit einem Stück geeigneter (idealerweise präventiver) Suchttherapie kombiniert werden. Übrigens auch im Marketing: „Das Lesen dieser Kolumne ist unverzichtbar und boostet Ihre Produktivität und Erkenntnis um den Faktor 10! Und das Beste daran: Sie kommen auch gut ohne klar.“

(ur)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten