«Trust me, I’m an engineer!1» – Vertrauen Sie mir, ich bin Ingenieur. Gemäss «Urban Dictionary» wird dieser Spruch als allgemeingültige Absolutionserklärung eingesetzt: «Wenn Sie strukturell fragwürdige Gebäude und unzuverlässige Problemlösungen bauen, aber Ingenieur sind, haben alle anderen keine andere Wahl, als darauf zu vertrauen, dass Ihre Methoden nicht versagen». Cyber Security als wissenschaftlich-technische Disziplin ist konsequenterweise dem Ingenieur-Wesen zuzuordnen. Gilt demzufolge «blindes Vertrauen» auch bei Cyber Security? Was kommt zuerst: Sicherheit oder Vertrauen?
Wenden wir uns zunächst der technischen Definition von Sicherheit zu: «Zustand der voraussichtlich störungsfreien und gefahrenfreien Funktion2»; oder anders formuliert: Die Freiheit von unvertretbaren Risiken. Sicherheit ist somit das Resultat oder die Konsequenz, wenn unvertretbare Risiken kontrolliert werden. Denkt man dies konsequent zu Ende, kann Sicherheit nicht vor Vertrauen kommen – sie ist ein Resultat, eine Konsequenz von Risiken, die man kontrolliert.
Unbekannte Risiken kann man nicht kontrollieren
Notabene können dies nur Risiken sein, die bekannt sind. Ergo können unbekannte Risiken auch nicht kontrolliert werden. Bestenfalls kann man sich mit dieser Realität auseinandersetzen und so gut wie möglich auf Unvorhersehbares vorbereiten. Eine wirkliche Kontrolle ist jedoch nicht möglich.
Ist somit blindes Vertrauen erforderlich, gar unvermeidlich? Vorauseilendes oder erzwungenes Vertrauen darf es meines Erachtens nicht geben. Man kann jemanden auffordern, zuversichtlich zu sein. Vertrauen einzufordern, ohne es verdient zu haben, ist jedoch schwierig. Im Englischen ist dies zumindest linguistisch etwas filigraner gelöst, da hier zwischen «trust» (Vertrauen) und «confidence» (Zuversicht) unterschieden wird.
Fazit: In der der digitalen Welt müssen bzw. sollen die Menschen (bzw. die Benutzer) «Vertrauen» aufbauen – was von Dienstleistungs-Anbietern und Produktherstellern sehr oft mit «seien Sie zuversichtlich» eingefordert wird, aber eben oft in Form von «Vertrauen Sie uns, wir wissen was wir tun».
Vertrauen in Dienstleistungen, Produkte und Anbieter
Ein Auditor soll eine «kritische Grundhaltung» einnehmen – ganz nach dem Grundsatz «Vertrauen ist gut, Kontrolle ist besser». Möchte man als Kunde genauer hinschauen und sich kritisch mit dem Sicherheitsversprechen auseinandersetzen, stösst man oft nicht auf offene Türen. Wenn es um Transparenz gegenüber Kunden geht, die explizit Informationen oder Einsicht in Abläufe und Sicherheitsvorkehrungen wünschen, wird diese oft mit dem Verweis auf die Geschäftsgeheimnisse verwehrt. Insofern orte ich in vielen Digitalisierungs-Bestrebungen das klassische «Henne-Ei-Problem» – daher auch der Titel dieses Blogbeitrags.
Die Angriffe nahmen zu – aber auch die angreifbaren Ziele
Ich werde als Cyber Security-Spezialist oft gefragt, ob es in den letzten Jahren eine Zunahme von Angriffen und Risiko-Ereignissen im Bereich der Informationssicherheit gab. Die Antwort ist definitiv: Ja. Es gab effektiv mehr Angriffe, aber auch mehr angreifbare Ziele (vernetzte elektronische Geräte) und mehr Messungen. Die Allgegenwärtigkeit des Internets vergrössert sich seit 20 Jahren immer noch, und zwar massiv.
Obwohl die Services in der Nutzung einfacher und intuitiver werden, nimmt die Komplexität hinter den Kulissen massiv zu. Viele Systeme sind noch auf Architekturen und Konzepte aus der letzten 20 bis 40 Jahren aufgebaut. Eine fundamentale, komplette (und dem «Security by Design»-Prinzip folgende) Neuentwicklung hat oft prohibitive Kostenfolgen und wird deshalb gescheut und hinausgezögert – für die IT-Sicherheit ist dies alles andere als förderlich. Reparieren und patchen ist jedoch kurzfristig günstiger als einen sogenannten «Secure System Development Lifecycle» aufzubauen. Das Zugeben von Fehlern und Versäumnissen ist kulturell ebenfalls eher verpönt, und so wird schlimmstenfalls das Vorspiegeln falscher Tatsachen aufrechterhalten.
Digitalisierung ohne Vertrauen nicht möglich
Zuversicht sowie eine transparente, authentische und effektive Sicherheit sind der Schlüssel zum Vertrauen. Und Digitalisierung sowie digitale Transformation sind ohne Vertrauen nicht möglich. Die von Unternehmen beliebte Floskel «Vertrauen Sie uns!» kann noch so oft beteuert werden und auch ehrlich gemeint sein. Ohne authentische, transparente, nachvollziehbare Taten folgen zu lassen, wird sich jedoch kein Vertrauen etablieren und die Glaubwürdigkeit leidet. «Security by Obscurity» ist keine gute Strategie – Vertrauen muss verdient werden!
1: https://www.urbandictionary.com/define.php?term=Trust%20me%2C%20I%27m%20an%20engineer