Patch me if you can: Als Gutmensch in der IT-Sicherheit richtig aufgehoben?

Fast wäre ich abgesprungen. Schluss, keine Security mehr. Eher irgendwas mit Klima. Aber der Reihe nach:

Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und Über-Cyber-Schreiben: Im Hauptberuf CTO bei der intcube GmbH, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Ereignisse und allgemeingültige Wahrheiten der Informationssicherheit aus.

Alles Reden und Schreiben über Cybervorfälle und das stetig voranschreitende Raumgreifen des Themas in den Medien kann über eine Tatsache nur oberflächlich hinwegtäuschen: Wir ITler sind immer noch eine „katastrophenarme“ Zunft. Das habe ich mir nicht ausgedacht; ist O-Ton eines Fachmanns aus der Versicherungsbranche, muss also wahr sein. Zwar gehen unbestritten immer mehr Daten verloren, und noch mehr personenbezogene Daten tauchen woanders wieder auf, wo sie nie hätten landen sollen. Aber Tote und Verletzte hat es aufgrund von mangelnder Informationssicherheit bisher in Deutschland wohl noch nicht gegeben – und auch weltweit muss man sie bisher glücklicherweise mit der Lupe suchen.

Zwar weist die ICS-Community (Industrial Control Systems) seit mehr als zehn Jahren zu Recht darauf hin, dass „cyber-physische Systeme“ wie Insulinpumpen, Transformatoren und Uranzentrifugen (in die eine oder andere Richtung) einen Einfluss auf Leib und Leben haben können. Und KRITIS-Sektoren von Banken bis Logistik sind zu Recht im Fokus der Regulierung, auch wenn man sich über die geeigneten Mittel zur Gewährleistung der Versorgungssicherheit streiten kann und soll. Und ja, die Einschläge kommen näher, übrigens seit mehr als 20 Jahren. Und wenn einer mehr als 20 schreibt, meint er 30 – der Michelangelo-Virus war 1992. Trotzdem sollte, wer wirklich der Menschheit helfen möchte, eher in der Politik, dem Umweltschutz oder von mir aus der Altenpflege arbeiten. So dachte ich vor Kurzem, in der festen Absicht, dass dies meine Abschiedskolumne sein würde.

Gefährliche Macht der Daten

Aber Moment mal: Sind Rechner nicht vielleicht dann am gefährlichsten, wenn sie nicht langsame, schwerfällige Maschinen steuern, die die „Wetware“ (Menschen) mit etwas Mühe doch am Ende wieder in den Griff bekommt, sondern wenn in den Informationen und ihren Verbreitungswegen selbst der eigentliche Sprengstoff steckt? Den ersten deutlichen Warnschuss haben spätestens die Aktivitäten der Firma Cambridge Analytica 2016 gegeben, die durch Big Data den Wahlkampf von Donald Trump unterstützt haben. Zwar war der tatsächliche Effekt auf das Wahlergebnis nicht nachweisbar, doch konnten hier zum ersten Mal mittels 50 Millionen unrechtmäßig erworbener Facebook-Profile gezielte manipulierende Messages als „psychologische Massenvernichtungswaffen“ (so der frühere Mitarbeiter und spätere Whistleblower Christopher Wylie) angewandt werden. In WhatsApp und Telegram pflanzen sich Lynchaufrufe über Gruppenchats fort, in anderen sozialen Medien toben russische Hassbots neben deutschen Dunkeldumpftrollen und Quergläubige. Nun beginnen sogenannte Deepfakes unser eh schon lange naives Vertrauen in die Wahrheit von Bildern zu erschüttern. Die wirkungsmächtigen unheilvollen Informationshäppchen breiten sich schneller aus, als Behörden sie einfangen könnten und Betreiber sie einfangen können wollen.

Was ist eigentlich ...?

IT-Sicherheit: Schutz von Daten und Prozessen in IT-Systemen (Vertraulichkeit, Integrität, Verfügbarkeit). Wird auch (IT-)Security oder Cybersicherheit genannt.

Informationssicherheit: Schutz aller Arten von Informationen, unabhängig vom Speicherort (z. B. auch Dokumente, Akten, Wissen etc.).

Cyber-Safety: Dieser Begriff könnte zukünftig für den Schutz und das sichere Design von Systemen stehen, die kritisch beziehungsweise potenziell gefährlich für das menschliche Zusammenleben sind – von Überwachung und Drohnen bis hin zu viralen Terrorvideos, Trollfabriken, Wahlbetrug und Deepfakes.

Datenschutz: Schutz personenbezogener Daten. Überschneidet sich teilweise mit Informationssicherheit.

Safety: Betriebssicherheit; Schutz insbesondere von Leib und Leben im Normalbetrieb (ohne vorsätzliche Fehler/Angriffe), vor allem bei „cyber-physischen Systemen“ wie Maschinen und Anlagen sowie Medizintechnik.

Seitdem ist die Selbstverwirklichung von Informationen sogar noch weiter vorangeschritten: Der Attentäter von Halle hat seinen Anschlag vom 9. Oktober 2019 an den Amoklauf im neuseeländischen Christchurch im März desselben Jahres angelehnt, dessen Video sich genauso schnell viral verbreitet hatte wie später das seine.

Arbeit für die „gute Sache“

Die schädlichen (Neben-)Wirkungen von Daten angesichts von Big Data, Überwachung, sozialen Netzen, KI und Algorithmen einzudämmen, ohne dabei die Freiheitsrechte unnötig zu beschneiden, dürfte die Herausforderung der nächsten Jahre sein. Auch das ist „Cyber“, wenn auch eher Cyber-Safety als -Security im engeren Sinn. Alle unsere edelsten Fähigkeiten der IT-Sicherheit werden aber auch für diese Sache dringend gebraucht – und weiteres Handwerkszeug dazu, welches wir uns gemeinsam erst noch entwickeln müssen.

IT ist oft NSFW (Not Safe For Work) und sicherlich manchmal Not Safe For Work Life Balance. Insbesondere wenn sie aber Not Safe For Life zu werden droht, sollten wir zur Stelle sein. Ich bleibe wohl doch an Bord.

Diese Kolumne ist in iX 11/2019 erschienen und wurde für die Online-Ausgabe aktualisiert.

(ur)