Der Hauptirrtum der Universitäts-IT-Sicherheitswissenschaft
Weil es gerade in der Diskussion um einen anderen Blog-Eintrag anklang, hier nochmal separat:
Sowohl in meiner eigenen Zeit an der Universität als Studi, Hiwi und Mitarbeiter, als auch in den über 10 Jahren, seit ich von der Uni weg bin, in vielen Gesprächen und Diskussionen, auf (auch internationalen) Konferenzen, in der Literatur, in der Wissenschaftsförderung, in den Äußerungen des BSI und insbesondere immer wieder während des seither schwelenden Streites mit der Uni Karlsruhe ist mir immer wieder derselbe Wissenschaftler-Irrtum aufgefallen:
IT-Sicherheit sei ein originäres Gebiet der Informatik, IT-Sicherheit (und insbesondere kryptographische Sicherheit) seien Selbstzweck und von Natur aus anzustreben, und Sicherheit trete erst und dann ein, wenn theoretische Vorgaben wie beweisbare Sicherheit, Anwendung formaler Methoden, formale Sicherheitsmodelle usw. erfüllt werden. Es müsse eine vollständig beweisbare Sicherheitsstruktur stattfinden, Sicherheitsschwächen seien per se schlecht und müssen in jeder Hinsicht vermieden werden, Sicherheit drückt sich in Kryptographie und formelhafter Darstellung von Sicherheitsmodellen aus.
Das ist so nicht richtig.
Es ist es schon deshalb zweifelhaft, weil diese unterstellte IT-Sicherheitswissenschaft ihre eigenen Anforderungen nicht erfüllt. Es würde zuweit führen, dies im Rahmen eines Blog-Eintrages erfüllen zu wollen, nur ein paar Beispiele. Auch die IT-Sicherheit unterliegt dem Generalproblem der (insbesondere deutschen) Hochschulforschung, nämlich daß sie nach den falschen Kriterien bewertet werden. Es geht überhaupt nicht darum, Sicherheit zu schaffen oder Sicherheitsprobleme zu lösen. Das ist weder das Ziel, noch bringt es dem Wissenschaftler ernstliche Vorteile oder wird als wissenschaftlich angesehen. Es gibt an der Universität allgemein nur die beiden Hauptziele Veröffentlichungen zu produzieren und Forschungsgelder/Drittmittel zu beantragen. Darauf ist der gesamte Wissenschaftsbetrieb konditioniert und abgerichtet, und zwar so sehr, daß sich der Begriff der “Wissenschaftlichkeit” nicht mehr an dem intellektuellen Begriff, sondern fast nur noch an diesen beiden Zielen (und einem dritten, siehe unten) orientiert. Und das hat eben nicht viel mit Sicherheit gemeinsam, die Schnittmenge ist eher gering. Und es ist eben auch so, daß an den Universitäten für die Seilschaften, für Gefälligkeiten, für den Aufbau von Beziehungsnetzen selbst die schlechtesten und untauglichsten Arbeiten hochgelobt werden, weil es strategisch immer günstig ist, in den Notenspiegeln gut dazustehen und seine ehemaligen Untergebenen in die anderen Fakultäten als Professor einzuschleusen. Das gesamte Werte- und Bewertungssystem in der universitäten IT-Sicherheit ist von Korruption und Interessen durchsetzt und unterwandert und insgesamt unglaubwürdig. Die Bewertungskriterien für Leistungen an der Universität sind einfach ganz andere, als man sie für die IT-Sicherheit bräuchte. Die Auswahl ist deshalb der IT-Sicherheit nicht förderlich, sondern eher sogar abträglich.
Problematisch ist auch, daß die Tätigkeit der Hochschulwissenschaftler nur vermeintlich objektiv greifbaren Regeln folgt. Tatsächlich steckt da meist etwas völlig anderes dahinter, nämlich ein kompaktes Sozialsystem, in dem sich Cliquen, Hierarchien, Traditionen, Seilschaften, Korruption, Sitten, Gebräuche, Riten, Zeremonien, Handel, Titel- und Anredenlametta und dergleichen mehr in einem so hohen Maß ausgebreitet haben, daß für kritisches eigenständiges Denken kein Raum mehr bleibt. Allein was ich in den letzten 15 Jahren an Zitier- und Nichtzitiersitten, Zitierkartellen, Plagiaten, mafiösen Veröffentlichungsstrukturen, eingeübten Formulierungen, rituellem Verhalten, zwanghafter oder naiver Nachahmung und so weiter erlebt habe, hat mit Wissenschaft eigentlich nichts oder kaum etwas zu tun, sondern gleicht mehr dem Auftreten der Hofschranzen oder Eunuchen in einem Hofstaat oder dem von Wölfen in einem Rudel. Vieles, was ich an wissenschaftlichen Veröffentlichungen gelesen habe, war wissenschaftlich oder sicherheitstechnisch betrachtet das Papier nicht wert, auf dem es gedruckt war. “Sicher” daran war höchstens, daß diese Papers mehr Autoren und mehr Herausgeber hatten, die sich das in ihre Veröffentlichungsliste hefteten, als Leser. Bei Licht betrachtet handelte es sich eher um rituelle Handlungen zur Erfüllung eben der Sitten und Gebräuche in dem jeweils gebildeten Mikrokulturkreis, der sozialen Zelle.
Ein besonders großes Problem ist aber die permanente Definitionswillkür, und zwar in doppelter Hinsicht.
Einmal besteht diese Definitionswillkür allgemein bezüglich des Werte- und Kriteriensystems. Das sieht man vor allem daran, woran die Güte und Qualität einer Veröffentlichung oder die Befähigung eines Wissenschaftlers gemessen werden. Das hat mit dem Fach an sich oder objektiv wissenschaftlichen Kriterien nichts zu tun. Noch nie habe ich erlebt, daß man Papers ernsthaft danach verglichen hätte, ob sie gut lesbar sind und Grundsätzen wissenschaftlichen Arbeitens genügen. Ich kenne nicht einmal eine deutsche Informatikfakultät, an der diese Grundsätze überhaupt gelehrt werden oder in irgendeiner Hinsicht bekannt sind. Nur selten habe ich erlebt, daß man Arbeiten zur Bewertung überhaupt gelesen hat. Die Bewertung von Dissertationen u.ä. und leider auch oft von Konferenz- und Journal-Papers erfolgt meist, ohne sie gelesen zu haben, und zwar nach gruppendynamisch-sozialen Aspekten: Bei wem wurde die Arbeit geschrieben, wer wurde zitiert, von wem wurde man zitiert, wem wird gedankt, wem läßt man die Ehrenautorenschaft zukommen, wessen Meinung stützt man. Zu oft habe ich erlebt, daß man Papers oder Dissertationen allein oder zuerst anhand ihres Quellenverzeichnisses bewertet. Dies hätte drinstehen müssen, das hätte nicht drinstehen dürfen, durchgefallen, abgelehnt. Schaut man sich Berufungsverfahren im Bereich IT-Sicherheit an, dann findet man absurde Vorgänge: Nicht die tatsächlichen Fähigkeiten und Erfahrungen werden beurteilt, sondern einfach die Länge der Veröffentlichungsliste, wen der Kandidat kennt, in welchen Konferenzkomitees er sitzt, wo er Herausgeber ist, wen er kennt. Also allein nach der Einpassung in die soziale Hierarchie und die Möglichkeiten der offenen oder verdeckten Machtausübung. Und des Beziehungsgeflechtes. Es gab schon Ausschreibungen für (Junior-)Professoren in IT-Sicherheit, in denen man statt eines regulären Bewerbungsschreibens ganz offen die Einreichung dreier Empfehlungsschreiben gefordert hat. Nicht um zu erfahren, was der Kandidat kann, sondern wessen Gunst er mitbringt. Was außerdem sehr leicht zu manipulieren ist. Wer nichts kann und nichts bringt, der schließt sich einfach mit anderen zusammen, die auch nichts können und auch nichts bringen, und gründet mehrere jährlich stattfindende Konferenzen, Workshops, und irgendein Journal, und dann akzeptiert man seine Papers einfach auf Gegenseitigkeit. Da kann der letzte Müll drinstehen, aber man generiert herrlich lange Veröffentlichungslisten, und nur das zählt. So erhält man das soziale Ökosystem an der Universität aufrecht. Aber IT-Sicherheit erreicht man so nicht.
Die andere Defitionswillkür besteht in fachlicher Hinsicht. Wissenschaftler der Informatik lösen keine Probleme. Das gilt als weltlich-unwissenschaftlich und als unter ihrer Würde. (Im Ernst, das ist keine Polemik, das glauben wirklich viele.) Man sucht, man findet. Nicht die Lösung eines Problems, sondern etwas, was noch nie in genau dieser Form veröffentlicht wurde. (Oder wovon man hofft, daß sich keiner daran erinnert, daß es schon mal veröffentlicht wurde.) Und dann definiert man sich die Begriffe, die Anforderungen, die Problemstellung einfach so außenherum, daß es aussieht, als hätte man ein Problem gelöst. Schönes Beispiel ist Bingo Voting, das man zwar als die Wunderlösung für das elektronische Wählen hinstellte, das bei Licht betrachtet aber viele Lücken und Entwurfsfehler hatte. Nach Auffassung der Autoren ist das aber kein Problem von Bingo Voting, sondern der Definition. Nicht Bingo Voting hat das Problem der Wahl zu lösen, sondern die Wahl hat sich so nach den Definitionen zu richten, die Problemstellung gefälligst nach der Lösung zu richten. Nicht der Informatiker richtet sich nach der Aufgabenstellung, sondern umgekehrt. Man sagt oft abwertend “Zwei Juristen, drei Meinungen”. Genauso müßte man sagen “Zwei Informatiker, drei Definitionen.” Allein schon bei dem Streit um den Begriff “Principal” habe ich erlebt, daß jeder nach Gutdünken – und oft widersprüchlich oder gegenteilig – die Begriffe definiert, wie es ihm in den Kram paßt. 33 verschiedene Definitionen habe ich gefunden. Aber eben auch Praktiken, daß Prüfer oder Gutachter etwas einfach als falsch hinstellen, indem sie Begriffe willkürlich anders definieren und daraus ableiten, daß etwas falsch sein müsse.
Um IT Sicherheit leisten zu können, müßte die Hochschulwissenschaft erst einmal wissen, was das überhaupt ist. Und schon daran scheitert es, wie das Fehlen oder das Bestehen höchst unterschiedlicher Definitionen belegt. Einer der eher seriöseren Wissenschaftler schrieb mal, daß es aussichtslos sei, nach einer einheitlichen Definition zu suchen, und man immer darauf achten soll, beim Lesen die Definition des Autors zu verwenden. Da mag er Recht haben, aber was ist es dann, was die IT-Sicherheitswissenschaft überhaupt leisten und hervorbringen will? Wenn es – wie es mir ergangen ist – möglich ist, daß ein Professor, Prüfer, Gutachter es völlig willkürlich als falsch hinstellt, daß man zur IT-Sicherheit von einem Angreifer redet, weil die Sicherheit doch als rekursiv aufzählbare Eigenschaft definiert sei, in dieser Definition ein Angreifer nicht auftaucht und es deshalb einen Angreifer gar nicht geben können, folglich also eine Arbeit über IT-Sicherheit fehlerhaft sein müsse, in der ein Angreifer betrachtet wird, dann ist eigentlich alles vergebens. Dann ist es unmöglich und ausgeschlossen, überhaupt noch irgendwie sinnvoll zum Thema IT-Sicherheit zu arbeiten. Dann ist das nur noch Theater, aber keine Wissenschaft mehr.
Und wenn sich in der Universitäts-Szene niemand findet, der sich an dieser Willkür stört oder der überhaupt merkt, daß es diese Definition gar nicht gibt und keine Quelle angegeben ist, sondern daß das einer einfach so behaupten kann und keiner merkt’s, dann belegt das, in welchem Gesamtzustand und auf welchem Niveau sich die deutsche IT-Sicherheitsforschung befindet. Das ist nur noch Schwätzertum. Da überrascht es dann auch nicht mehr, wieviele Leute sich als IT-Sicherheitsexperten ausgeben und als steuerbezahlter und meist auf Lebenszeit verbeamteter Professor auf dem Gebiet unterwegs sind, obwohl sie nicht einmal Primzahlen und Restklassen richtig definieren, eine Blockchiffre von einer Betriebsart unterscheiden, BAN-Logik und Cookies erklären, den Unterschied zwischen symmetrischer und asymmetrischer Verschlüsselung darstellen oder Kryptographie und formale Sicherheitsmodelle auseinanderhalten können. Und wenn eine als in der IT-Sicherheit führend angesehene und von der Politik mit Forschungsgeld überhäufte Professorin noch nicht einmal über das Wissen in ihrem angeblich selbstgeschriebenen Fachbuch über IT-Sicherheit verfügt, sagt das doch schon alles. Die Eigenschaft als Experte, die Befähigung zum Professor, Gutachter, Prüfer wird genauso willkürlich definiert wie alles andere auch. Es ist bezeichnend, daß in der Informatik meistens die als für ein Fach qualifiziert angesehen werden, die das – außer vielleicht im Hörsaal an der Tafel – noch nie selbst gemacht haben und eigentlich nicht wissen, wovon sie reden. Eigene praktische Erfahrung zählt weniger als nichts, sie gilt an vielen Fakultäten geradezu als Gift für die Wissenschaftlichkeit. Informatik-Wissenschaft in Deutschland ist, wenn man nicht weiß, wovon man redet. Weil in der Informatik der, der weiß, wovon er redet, paradoxerweise gar nicht der ist, der darüber redet, sondern der, der es tut. Und die Berufungskommissionen vieler Fakultäten achten peinlich darauf, daß deren unbekümmerte Inkompetenz und der Realität enthobene Definitionsfreiheit nicht dadurch in Frage gestellt würde, daß man einen einstellt, der etwas schon einmal getan hätte. Der Leser möge sich selbst mal fragen, wieviele deutsche (deutschsprachige) Professoren aus den Bereichen der IT-Sicherheit, Kryptographie usw. er kennt, die tatsächlich schon einmal echte Angreifer abgewehrt und Systeme tatsächlich abgesichert haben. Na? Eben!
In der Konsequenz aus diesen Zuständen ergibt sich erst der Hauptirrtum der IT-Sicherheitswissenschaft an den Universitäten: Nämlich daß IT-Sicherheit per se Selbstzweck und anzustrebendes Ziel und originär an der Informatik beheimatet wäre. Das ist solange sinnvoll, als man die IT-Sicherheit nur als Vehikel zum Veröffentlichen, Konferenzbesuchen und Drittmittel beantragen oder überhaupt als Existenzberechtigung eines Institutes einer Informatikfakultät oder seiner selbst ansieht.
Während der Universitätsinformatiker immer nach der tollsten Sicherheitslösung und den abgefahrensten Kryptomethoden sucht, sucht man in der Realität nach der Lösung, die unter Einbeziehung der erwarteten und möglichen Angriffe und deren Kosten sowie der Kosten von Sicherheitsmaßnahmen, das beste Ergebnis (vulgo: den höchsten finanziellen Erfolg) erwarten läßt.
Das ist ein ganz erheblicher Unterschied. Die Universitätsinformatik sieht Sicherheit – ohne nähere Diskussion und Begründung – per se als Notwendigkeit und Selbstzweck an, die man nicht in Frage stellen darf. Es ist axiomatisch (oder fast religiös) vorgegeben, daß höchste Sicherheit ein stets anzustrebendes Ziel ist, das selbst nicht hinterfragt werden darf. Sicherheit will man. Ende. Im Zweifelsfall schreibt man eben in die Bücher, daß Sicherheit als rekursive Eigenschaft definiert sei, oder eben daß es keinen Sinn ergibt, nach dem Wesen der Sicherheit zu fragen und man es lieber bleiben lassen soll. Diese ideologisch-axiomatische Vorgabe verhindert es freilich zu verstehen, was Sicherheit ist. Und als Folge dieses Plausibilitätsmangels hat man eben irgendwann einmal den Dreisatz aus Integrität, Authentizität und Vertraulichkeit als Hilfsexistenzgrund vorgegeben. Dann kam irgendwann mal noch Verfügbarkeit dazu. Und als man merkte, daß das nun auch nicht hilft, weil das alles nicht erlaubt, beispielsweise SPAM zu erfassen, war man einfach ratlos.
Wenn man verstehen will, was Sicherheit überhaupt ist – und darum geht es ja letztlich – muß man sich ganz einfachen, grundlegenden Fragen widmen. Spitzen wir das mal abstrakt zu:
Angenommen, es werden zwei Systeme A und B zur Auswahl angeboten. Eins davon soll man aussuchen, und zwar das “Bessere”. Das, was man eher haben will. Der angenommene Unterschied zwischen A und B ist, daß sie unterschiedlich “sicher” seien, was immer das sein mag. Nun drängen sich zwei Fragen auf:
- Welches der beiden Systeme A und B ist nun das, was ich als sicherer ansehe? Nach herkömmlichen Ansichten könnte man beispielsweise zu der Auffassung gelangen, daß A die Authentizität und die Integrität einer Nachricht sicherstellt und prüft, während B das nicht tut. Ist A deshalb “sicherer”? Das weiß ich so nicht. Vielleicht will ich ja etwas tun, bei dem Authentizität und Nachweisbarkeit schädlich sind. Beispielsweise verbotene Kritik an einer Regierung üben oder einen Banküberfall planen. Vielleicht will ich ja gerade nicht, daß nur ich irgendwelche Daten lesen kann, weil man mir sonst irgendwelche Straftaten nachweisen oder mir sonstwie Ärger machen kann. Die naive Sichtweise, daß Sicherheit aus Integrität, Authentizität, Vertraulichkeit usw. besteht oder hergestellt wird, hilft nicht wirklich weiter. Was ist diese Eigenschaft der “Sicherheit” und woran messe ich sie?
- Nehmen wir mal an, ich wüßte nach Klärung der ersten Frage, welches der beiden Systeme das sicherere ist. Warum sollte ich es dann wählen? Als ich mir ein Auto gekauft habe, habe ich auch nicht das größere oder schnellere genommen. Worin besteht die Verbindung von “sicher” zu “gut” und von “sicherer” zu “besser”? Wann und warum ist Sicherheit überhaupt anstrebenswert? Und wieviel soll mir das wert sein, falls mich das sicherere System mehr kostet?
Und so weit hergeholt ist das nicht. Geht jemand in eine Firma und will ein Sicherheitsprodukt anbieten, dann fragt die Firma “Was ist daran sicher? Was bringt mir das? Was kostet mich das? Warum soll ich das tun?” Weil die Firma nicht in Kategorien von Veröffentlichungen mit künstlich erfolgsunabhängiger Subventionierung aus Staatsgeldern denkt, sondern betriebswirtschaftlich. Die wesentliche Frage ist, hilft mir dieses Produkt, mein Erfolgsergebnis zu verbessern?
Und darin sehe ich den wesentlichen Aspekt und den wesentlichen Irrtum der IT-Sicherheitswissenschaft an den Universitäten. Man findet deshalb keine allgemeingültige universelle Definition, weil es Sicherheit so für sich alleine und isoliert betrachtet wie sie die Wissenschaft fingiert, nicht gibt. IT-Sicherheit ist nicht alleinstehender Selbstzweck, sondern eine Disziplin der Optimierung eines (real in Geld oder auch abstrakt gemessenen) betriebswirtschaftlichen Ergebnisses. Eine Disziplin, die sich mit dem Einfluß von IT-Angriffen und deren Gegenmaßnahmen auf das betriebswirtschaftliche Ergebnis auseinandersetzt.
IT-Sicherheit heißt, aus allen zur Verfügung stehenden Handlungsalternativen diejenige auszusuchen, die zu dem besten betriebswirtschaftlichen Endergebnis führt. Und damit deckt IT-Sicherheit notwendigerweise eine Vielzahl von Teilgebieten ab, die in der Universitätswissenschaft als unwissenschaftlich oder fachfremd oder als praxisorientiert ausgeblendet werden.
Und es bedeutet, daß IT-Sicherheit keine Disziplin der Informatik, sondern der Betriebswirtschaftslehre ist, die auf verschiedenen Teildisziplinen (“Zulieferern”) aufsetzt, u.a. Informatik, Kryptographie, Rechtswissenschaft, Kriminalistik. Und es bedeutet, daß die IT-Sicherheit ihrem Wesen nach viel näher an der Entscheidungs- und der Spieltheorie als an der Kryptographie steht.
Die Konsequenzen:
- Es gibt eine Definition für IT-Sicherheit: Nämlich die Optimierung unter den erwarteten Handlungen des Angreifers und den Handlungsalternativen des Verteidigers nach dem Betriebswirtschaftlichen Ergebnis. (Etwas ähnliches gilt sogar für den Angreifer: Ein Angriff ist die negative Beeinflussung des Ergebnisses mit der Optimierung nach möglichst viel Schaden und möglichst wenig Eigenaufwand.)
- Die “sicherste” Handlungsalternative ist nicht notwendigerweise dieselbe, die auch in der Informatik als die sicherste angesehen wird. Im Gegenteil, viele von der Informatik als sicher angesehene Sicherheitstechniken müssen bei dieser Betrachtung sogar als “unsicher” angesehen werden, weil sie das Ergebnis negativ beeinflussen. In einfachen Fällen heißt das, daß die Sicherungstechnik teuerer ist als der erwartete oder mittlere Schaden, den der abgewehrte Angriff anrichten würden. Im gesteigerten Fall ist die Sicherungstechnik sogar teuer als der maximale Schaden, den der Angreifer anrichten kann. Dann haben wir den Fall, daß eine Methode aus Sicht der Informatik zwar klar sicher ist, aber aus betriebswirtschaftlicher Sicht klar unsicher. Beispiel: Deutschlandweite Einführung von Chipkarten für Telebanking als Maßnahme gegen Phishing, solange Karten und Terminal rund 100 Euro pro Kunde und Millionen pro Bank kosten, der jährliche Gesamtschaden durch Phishing aber nur im ein- bis zweistelligen Millionenbereich stagniert.
Und das kann bedeuten, daß die “sicherste” Handlungsalternative die kanonische Methode ist, gar nichts zu tun und das System unsicher zu lassen. Nämlich dann, wenn jede andere bekannte Handlungsalternative teurer als der zu erwartende oder maximale Schaden wäre. Nichts zu tun, das System einfach unsicher zu lassen und den Schaden einfach als geringstes Übel hinzunehmen kommt in der IT-Sicherheitswelt der Universitäten als wissenschaftliche Methode überhaupt nicht vor, obwohl es in gar nicht so wenig Fällen die beste Methode ist (bis vielleicht eine neue, billigere Methode bekannt wird oder sich die Angriffscharakteristik und damit die Bewertung ändert). Eine ganz wichtige Sicherheitsmethode, nämlich den Schaden gut abzuschätzen und bewußt in Kauf zu nehmen, kommt in der Informatik nicht vor. Oder ihn in Kauf zu nehmen und zu versichern.
Ob das, was ein Wissenschaftler entwickelt hat, überhaupt besser ist als einfach gar nichts zu tun, wird nicht gefragt und darf man nicht fragen. Und das meine ich nicht nur im übertragenen Sinn, sondern auch wirklich wörtlich: Ich war mal zu der Vorstellung einer Dissertation für ein sicheres Protokoll für den digitalen Einkauf über Internet (von Software, Musik usw.) geladen. Ich habe in dieser Besprechung spontan aufzeigen können, daß das vorgestellte Protokoll so hundsmiserabel schlecht war, das es nur Nachteile gegenüber einem Verkauf ohne jegliches Sicherheitsprotokoll hatte. Beispielsweise mußte der Händer Beihilfe zum Steuerbetrug leisten, weil er ohne jede Nachprüfbarkeit eines Verkaufes Blanko-Quittungen hätte ausstellen und verschicken müssen. Oder man hätte beliebig oft den Händler betrügen können, indem man kauft und nicht bezahlt, weil man ständig neu anonymisiert wurde und der Händler keine Chance hatte, einen als den wiederzuerkennen, der schon tausendmal nicht gezahlt hat. Außerdem sei der Einsatz dieses Verfahrens handelsrechtlich sowieso verboten. Die erstaunliche Folge war aber, daß man nicht die Dissertation als mangelhaft, sondern mich als akademischen Störenfried ansah und die Dissertation trotz der vielen Fehler und Untauglichkeit mit Auszeichnung bewertete. Man gab das Anonymisierungsverfahren nur im wesentlichen unverändert als Authentifizierungsverfahren aus. Sogar ein solcher extremer Schwachsinn wird an deutschen Universitäten bewußt als vorzügliche IT-Sicherheit ausgegeben.
Es ist in vielen Fällen überhaupt nicht das Ziel universitärer IT-Sicherheitsforschung, besser als “gar nichts tun” zu sein. Darauf kommt es dort nicht an. Es zählt nur die Produktion an Papier. Aber nicht einmal dessen Inhalt.
- Es bedeutet, daß der IT-Sicherheitsexperte möglichst viele der involvierten Teildisziplinen wie auch Recht, Kriminalistik und so weiter kennen muß, einfach um ein möglichst großes Spektrum an Handlungsalternativen (und Erfolgskriterien für einen Angreifer) zu betrachten und so eine größere Auswahl für die Optimierungsaufgabe zu haben.
- Der IT-Sicherheitsexperte muß in der Lage sein, die Angriffswahrscheinlichkeit, den erwarteten und den maximalen Schaden abzuschätzen, um aus den Handlungsalternativen die auszuwählen, die billiger als der erwartete oder maximale Schaden (und damit besser als Nichtstun) sind. Und das heißt auch, daß es – im Widerspruch zur Auffassung jedenfalls der Universität Karlsruhe – in der IT-Sicherheit doch einen Angreifer gibt und man ihn auch betrachten muß.
- Und es heißt letztlich auch, daß viele der favorisierten Sicherheitsmaßnahmen, darunter auch die diversen theoretischen und formalen Sicherheitsmodelle, RBAC usw., aber auch behördliche und standardisierte Maßnahmenkataloge wie das BSI Grundschutzhandbuch von vornherein ausscheiden können, nämlich dann, wenn das Unternehmen die Kosten dieser Maßnahmen nicht erwirtschaftet und die Firma unabhängig vom Angreifer dadurch schon Pleite ginge oder – milder – keinen Gewinn mehr erziehlte und damit den Daseinszweck verlöre. Oder anders gesagt: Wenn es keinen Angreifer geben kann, der so hohen Schaden anrichten würde oder könnte, daß sich die Maßnahme im Vergleich zu Nichtstun jemals positiv auf das Gesamtergebnis auswirken würden.
3 Kommentare (RSS-Feed)
Sorry, aber jetzt erzählst Du Käse, was die Ökonomie angeht.
Die Skepsis gegenüber Drittmittelforschung (genauer gesagt die Vermengung von Beamtentum, Wissenschaft und Drittmittelerhalt) hat doch nichts mit der Frage zu tun, ob IT-Sicherheit was mit Ökonomie zu tun hat. Das ist doch nu völlig beknackt, da einen Widerspruch zu konstruieren. Und selbst wenn es das Gleiche wäre: Man(n) muß doch nicht schwanger sein um Gynäkologe zu werden. Man muß doch nicht forschungskorrupt sein um Ökonomie und Betriebswirtschaft zu betrachten. Also da hat nun wirklich das eine mit dem anderen überhaupt nichts zu tun.
Ich verlange ja auch gar nicht, daß Kryptologen Produkte zur Marktreife führen. Aber dann sollen sie gefälligst auch nicht den Alleinseligmachungsanspruch erheben. Dann soll man gefälligst keine Professuren für IT-Sicherheit mit Leuten besetzten, die außer theoretischer Kryptographie gar nichts können. Dann sollen diese Leute in Fragen der IT-Sicherheit nicht als Gutachter und Sachverständige auftreten sondern klar sagen, daß sie darin nicht kompetent sind. Und dann soll man die Forschungsgelder zur Verbesserung der Sicherheit des Staates eben den geben, die das tatsächlich machen, und nicht denen, die nur tröten.
Natürlich kann die Chemie Kleber entwickeln. Aber Chemiker spielen sich auch nicht als Autobauer oder Sachverständige für Verkehrsunfälle auf, nur weil am Auto irgendwas geklebt ist. Kryptologen verhalten sich aber so.
Zu den Non-Profit-Organisationen: Auch Quatsch. Bloß weil eine Organisation gemeinnützig oder non-profit ist, heißt das doch noch lange nicht, daß die das Geld willenlos verpulvert. Die gucken auch, wo sie den größten Nutzen für ihre Geld bekommen. Das müssen gemeinnützige sogar. Auch eine gemeinnützige Organisation ist schlecht beraten, wenn sie sich Sicherheitsmaßnahmen ans Bein heftet, die mehr kosten als nutzen, oder die denselben Nutzen wie eine billigere Maßnahme zum höheren Preis haben.
International hat die Wissenschaft auch ihre Probleme, aber nicht solche wie in Deutschland. Nirgendwo sonst (außer vielleicht noch Österreich) wird ein Doktortitel mit so erhobener Nase im Namen geführt und gilt ein Professor als eine so hohe Autorität für etwas, was er nicht kann.
Zwar haben etwa die USA auch erhebliche Probleme mit Wissenschaftsbetrug usw., aber dort (und beispielsweise auch in der Schweiz) fliegt ein Professor auch einfach raus, wenn er nicht gut tut. Hier in Deutschland sind sie verbeamtet bis ins Grab, haben faktisch keinen Vorgesetzten und keine Dienstaufsicht und brauchen eigentlich gar nichts mehr zu tun.
In den USA muß einer auch deutlich mehr können um Professor zu werden. Daß da eine Berufungskommission so nach Lust und Laune einfach einen raussucht, das gibt’s da so nicht.
Und in den USA ist man auch nicht in diesem Maße wie hier dem Professor ausgeliefert. Wenn man in der Promotion mit dem nicht klarkommt, geht man zu einem anderen. Hier ist man einfach verloren.
Drittmittel: Drittmittel sind nicht nur die aus der Industrie. Das ist auch DFG, Bundesministerien usw. Und die betreiben in der Regel überhaupt keine ernsthafte Nachprüfung. Das Geld wird meist erfolgsunabhängig verpulvert.
Im übrigen kannst Du ja mal den SAP-Milliardär Hans-Werner Hector fragen, welche Leistungen er für die 200 Millionen Euro erwartet, die er der Uni Karlsruhe als Stiftung zugeworfen hat. So weit ich bisher weiß, gar keine. Die jährlich etwa 5 Millionen Euro Eträge aus der Stiftung versickern wohl einfach so im Korruptionssumpf.
Und die Pharma-Industrie (vgl. letzte Frontal-Sendung) erwartet für ihre Forschungsgelder auch keine ernsthafte Forschung, sondern die Wohlgesonnenheit was Gutachten, Medikamenteneinsatz usw. betrifft.
bzgl. des Definitionswirrwarrs muss ich an eine Anekdote des Physikers Feynman denken, der mal auf einer Tagung von Philosophen oder Ethikern war… das heisst im Buch “Ist Elektrizität Feuer”.
Ansonsten fände ich es auch sicherlich gut, wenn in der IT-Sicherheit mehr Jura, Verhaltenspsychologie und etwas Risikomanagment gelehrt werden würde. Trotzdem ist einfach die “informatische” Seite bei dem ganzen unabdingbar, weil halt Kryptologie einfach dazugehört.
Das will ich nur sagen, weil im letzten Rant hört es sich so an, als würdest du am liebsten die Informatik daraus verbannen 😀
Insgesamt bin ich aber bei den von dir genannten Themengebieten zuversichtlich, dass diese sich langfristig in den Veranstaltungskatalog eines ITS-Studenten integrieren werden. Weil auf den Trichter bei den Themen kommen mittlerweile schon auch andere, zumindest “was man so hört”.
Und deine Kritik an der Verbeamtung, ja, die “Leier” (ohne es abwerten zu wollen…) hab ich sogar schon als Grundschüler über die Lehrer gehört… und die USA haben dafür dann andere Probleme, die wir nicht haben… zumindest aus meiner Sicht. Dir als primär Geschädigtem (bzgl deiner Erfahrung) hilft das natürlich leider nichts und sieht es vielleicht auch lokal schlimmer aus, als woanders…
Hm. Mir fällt da ein Widerspruch auf, aber zuerst fiel mir ein, daß sich IT-Sicherheit interdisziplinär mit Psychologie (Lüge, Täuschung, Mimikri) und (Software-)Ergonomie auseinandersetzen müßte – die Emailverschlüsselungsfrage noch im Ohr.
Die starke Hinwendung zur Ökonomie hat mich überrascht, wo doch Drittmittelforschung von Dir mit Skepsis und Mißtrauen schon bedacht worden sind.
In anderen Wissenschaften läßt man sich auch nicht immer davon leiten, ob eine praktische Umsetzung bezahlbar ist. Allerdings gerät man so leicht in die Zwickmühle die Wissenschaft entweder als abgehobenen Elfenbeinturm oder als verlängerte Werkbank zu betrachten.
Als Bürger erwarte ich von der Wissenschaft rational mit Geldern umzugehen, und beispielsweise keine Verschlüsselungsprotokolle zu entwickeln, bei denen ich mir 512 Zeichen lange Schlüssel im Kopf merken muß – aber daß jeder Forschungsansatz zu einem Produkt führen muß, das man zur Marktreife entwickeln kann kann es auch nicht sein.
Die Chemie kann vielleicht einen neuen Kleber entwickeln helfen – ob dieser aber marktfähig ist ist eine Frage, die außerhalb der Chemie beantwortet wird – auch nicht von der BWL, sondern vom Markt.
Ein Bingovoting sollte m.E. durchaus Gegenstand akademischer Diskussion sein, allerdings ohne die Vorraussetzung zu unterschlagen (ein vertrauenswürdiger Zufallsgenerator war das, oder?). Sicher – wenn die Wissenschaft sich zu konkreten, praktischen Fragen äußert, dann muß sie die Bedingungen berücksichtigen, unter denen sie Anwendung findet, und darf sich nicht naiv verhalten.
Zu den Interessenten an IT-Sicherheit zählen auch nicht nur Betriebe, die sich Berater ins Haus holen, sondern auch Nicht-Profitorientierte-Organisationen (ai, Regierungen, Parteien) und unorganisierte Einzelne (Kunden, Bürger, …). Die Wissenschaft steht auch in der Verantwortung diesen gegenüber.
Der Kritik an den feudalistischen Wissenschaftsstrukturen will ich aber nicht widersprechen – wie funktioniert das denn international? Sind die Seilschaften international verflochten, und gibt es niemanden mehr, der wirkliche Arbeit leistet? Das kann ja schlecht immer weiter gutgehen – ich will keine Blasen beschwören, aber Algorithmen die keine Probleme lösen können doch auf Dauer kaum Drittmittel einwerben. Die Industrie will doch Lösungen die funktionieren, und interessiert sich nicht so sehr für Veröffentlichungslisten.