IT-Sicherheit im Jahr 2020

Originaltitel: Security in 2020

Im Grunde genommen gibt es so etwas wie Sicherheit nicht. Sicherheit kann nur in Bezug auf etwas anderes festgelegt werden. Man ist sicher vor etwas oder gegen etwas. In den nächsten 10 Jahren wird die traditionelle IT-Sicherheit — die einen vor Hackern, Kriminellen und anderen bösen Jungs schützt — einen radikalen Wandel durchlaufen. Statt Sie vor den bösen Jungs zu schützen, wird es zunehmend Unternehmen und Geschäftsmodelle vor Ihnen schützen.

Vor zehn Jahren war die grosse konzeptionelle Änderung in der IT-Sicherheit die “Deperimeterisierung”. Eine wortähnliche Gruppierung von 18 Buchstaben die sowohl mit einem Präfix als auch einem Suffix ausgestattet wurde. Dies muss das hässlichste Wort sein, welches in unserer Branche je erfunden wurde. Das Konzept, jedoch war — die Auflösung der strengen Grenzen zwischen dem internen und externen Netzwerk — sowohl real als auch wichtig.

Heutzutage gibt es mehr Deperimeterisierung als je zuvor. Kunden- und Partnerzugang, Gastzugang, ausgelagerte E-Mails, VPNs; teilweise gibt es eine organisatorische Grenze des Netzwerks, die so löchrig ist, dass es manchmal einfacher ist einfach so zu tun, als wäre sie nicht existent. Die wichtigste Änderung ist jedoch konzeptuell. Früher haben wir ein Netzwerk als eine art Festung empfunden, mit den Guten innerhalb der Festung und den bösen Jungs auf der Aussenseite. Mauern, Tore und Wachen stellen sicher, dass nur die Guten hinein kommen. Moderne Netzwerke sind mehr wie Städte, dynamische und komplexe Gebilde mit vielen verschiedenen Grenzen in ihnen. Der Zugriff, Autorisierung und Vertrauensbeziehungen sind sogar noch komplizierter.

Heute sind noch zwei andere konzeptionelle Änderungen wichtig. Die erste ist “Konsumerisierung”. Noch ein massives erfundenes Wort, welches die Idee beschreibt, dass die Verbraucher die coolen neuen Gadgets als erstes bekommen und verlangen ihre Arbeit daran zu verrichten. Die Mitarbeiter haben ihre Laptops bereits so konfiguriert wie sie es wollen und möchten keinen zweiten Laptop verwenden nur um durch die Firmen-VPN zu kommen. Sie lesen ihre E-Mails bereits auf ihrem BlackBerry oder iPad. Sie haben bereits einen Computer zu Hause, und dieser ist cooler als die Standardmaschine aus der IT-Abteilung. Netzwerkadministratoren verlieren zunehmend die Kontrolle über Kunden.

Dieser Trend wird sich nur noch weiterentwickeln. Geräte für Konsumenten werden immer trendiger, billiger und besser integriert; und jüngere Menschen sind bereits daran gewöhnt ihre eigenen Geräte im Schulnetzwerk zu verwenden. Das zentrale Rechenzentrum-Konzept wurde bereits von Menschen zerüttet, die PCs kauften um VisiCalc zu benutzen, jetzt sind es iPads und Android Smartphones.

Die zweite konzeptionelle Änderung kommt vom Cloud Computing: unsere zunehmende Tendenz, unsere Daten an anderer Stelle zu speichern. Nennen Sie es “Dezentralisierung”: unsere E-Mails, Fotos, Bücher, Musik und Dokumente sind irgendwo gespeichert und für uns durch mehrere Konsumenten-Geräte zugänglich. Je jünger man ist, desto mehr erwartet man die digitalen Daten auch auf dem nächsten Bildschirm aufrufen zu können. Dies ist ein wichtiger Trend, weil es das Ende der Hardware- und Betriebssystemschlachten, die wir alle erlebt haben, bedeutet. Windows gegen Mac macht keinen Unterschied mehr, wenn ein Web-Browser alles ist was man benötigt. Computer werden temporär; Benutzer-Backups werden irrelevant. Es ist alles irgendwo da draussen — und Nutzer verlieren zunehmend die Kontrolle über ihre Daten.

In den nächsten 10 Jahren werden sich drei neue konzeptionelle Veränderungen ergeben. Von zwei dieser Änderungen sehen wir schon die Anfänge. Die erste werde ich “Dekonzentration” nennen. Der Allzweck-Computer liegt im Sterben und wird durch Geräte ersetzt, die einen speziellen Zweck haben. Einge von ihnen, wie das iPhone, scheinen für allgemeine Zwecke zu sein, werden strikt von ihren Anbietern kontrolliert. Andere, wie z.B. Internetfähige Gamer PCs oder Digitalkameras haben offensichtlich einen speziellen Zweck. In 10 Jahren werden die meisten Computer klein, spezialisiert und allgegenwärtig sein.

Selbst auf Geräten die angeblich Allzweck-Geräte sind, sehen wir mehr Spezial-Anwendungen. Natürlich könnten Sie den Web-Browser des iPhones verwenden um die Webseite der “New York Times” aufzurufen, aber es ist viel einfacher die spezielle NYT-App zu verwenden. Während Computer kleiner und billiger werden, kann sich dieser Trend nur weiterentwickeln. Es wird einfacher seine Spezial-Hardware und -Software zu verwenden. Und Unternehmen, die mehr Kontrolle über ihre Nutzer erlangen, werden diesen Trend weiter antreiben.

Die zweite ist “Dekonsumerisierung” — jetzt darf ich die wirklich hässlichen Wörter erfinden — welches die Idee ist, dass wir mehr von unserer IT-Funktionalität ohne Geschäftsbeziehungen erhalten. Wir sind alle Teil dieses Trends: jede Suchmaschine verschenkt seine Dienstleistungen im Austausch für die Möglichkeit zu werben. Es ist nicht nur Google und Bing, die meisten Webmail- und Social-Networking-Sites bieten kostenlose Grundversorgung im Austausch für Werbung, eventuell mit Premium-Dienstleistungen für Geld, an. Die meisten Webseiten, selbst die nützlichen, die Anwendersoftware ersetzen, sind kostenlos; diese werden entweder altruistisch betrieben oder um Werbung zu verbreiten.

Bald wird es Hardware sein. Im Jahr 1999 versuchte FreePC Geld durch das verschenken von Computern zu verdienen im Austausch für die Möglichkeit zur Überwachung der Surf- und Kaufgewohnheiten der Nutzer. Das Unternehmen ist gescheitert, aber Computer sind seitdem viel billiger geworden. Es wird nicht mehr lange dauern, bis das verschenken von Netbooks im Austausch für Werbung ein lebensfähiges Geschäft wird. Oder das verschenken von Digitalkameras. Schon jetzt gibt es Firmen, die Flugminuten im Austausch für Werbung verschenken. Kostenlose Handys sind nicht mehr unvorstellbar. Natürlich wird nicht die gesamte IT-Hardware kostenlos sein. Einige der coolen, neuen Hardware wird zu teuer sein um verschenkt zu werden, und es wird immer ein Bedarf an konzentrierter Rechenleistung bestehen — Spiele-Systeme sind ein offensichtliches Beispiel — aber diese werden die Ausnahme sein. Die Hardware die zuviel kostet um einfach verschenkt zu werden, wird es kostenlose oder hoch subventioniert im Austausch gegen Locked-in-Service geben, welches schon die Art und Weise ist, wie Mobiltelefone verkauft werden.

Dies ist wichtig, weil es die normalen Geschäftsbeziehungen zwischen IT-Unternehmen und ihren Nutzern zerstört. Wir sind nicht Google’s Kunden, wir sind Google’s Produkt, welches sie an Kunden verkaufen. Es ist eine Drei-Wege-Beziehung: wir, der IT-Dienstleister und die Anzeigekunden oder Datenkäufer. Und da sich diese Nicht-Kunden IT Beziehungen vermehren, werden wir sehen, wie mehr und mehr IT-Unternehmen uns als Produkte behandeln. Wenn ich einen Dell-Computer kaufe, dann bin ich natürlich ein Kunde von Dell, aber wenn ich einen Dell-Computer kostenlos im Austausch für den Zugang zu meinem Leben erhalte, ist es viel weniger offensichtlich, mit wem ich in einer Geschäftsbeziehung stehe. Facebook’s ständige Versuche die Privatsphäre der Nutzer zu verringern um ihre tatsächlichen Kunden zu befriedigen — die Werbekunden — und ihren Umsatz zu steigern ist nur eine Andeutung dessen, was noch kommen wird.

Die dritte konzeptionelle Änderung habe ich “Depersonalisierung” genannt. Computer die den Benutzer entfernen, entweder teilweise oder gar vollständig. Erwarten Sie mehr Software-Agenten zu sehen: Programme, die Dinge für Sie tun, wie z.B. Ihre E-Mails auf der Grundlage ihrer beobachteten Präferenzen prioritisieren oder Ihnen individuell auf Sie zugeschnittene Verkaufsankündigungen zusenden. Die “Leute, die dieses Produkt mögen, mochten auch:”-Funktion auf vielen Webseiten im Einzelhandel ist nur der Anfang. Eine Webseite die Ihnen mitteilt, falls ein Flugticket zu Ihrem liebsten Reiseziel unter den Normalpreis fällt, ist sowohl einfach als auch nützlich, und manche Seiten bieten diesen Service bereits an. Zehn Jahre sind zwar nicht genug Zeit um die schwerwiegenden Probleme der künstlichen Intelligenz zu lösen, allerdings werden die Agenten dieser Zeit hochentwickelt und gewöhnlich sein. Ausserdem werden sie weniger direkte Eingaben von Ihnen benötigen.

Ähnlich dazu wird das Anschliessen von Objekten an das Internet bald billig genug, um rentabel zu sein. Es gibt bereits zahlreiche Untersuchungsergebnisse mit und über internetfähige medizinische Geräte, intelligente Stromnetze, die Kommunikation mit Smartphones und vernetzte Autos. Nike Turnschuhe können bereits jetzt mit dem iPhone kommunizieren. Ihr Telefon verrät dem Netz bereits wo Sie sich befinden. Internetfähige Geräte sind bereits begrenzt im Einsatz, werden aber bald schon die Norm sein. Unternehmen werden smarte Klimageräte, Aufzüge und Inventarsysteme erwerben. Und wie Kurzdistanzkommunikationssysteme — wie RFID und Bluetooth — billiger werden, wird alles smart.

Das “Internet der Dinge” wird Sie nicht benötigen um zu kommunizieren. Die intelligenten Geräte in Ihrem intelligenten Zuhause werden direkt mit den Energieversorgungsunternehmen kommunizieren. Ihr intelligentes Auto wird mit Fahrbahnsensoren und schliesslich auch anderen Autos kommunizieren. Ihre Kleidung wird mit ihrem Trockner sprechen und Ihr Handy mit Automaten; wie es bereits in einigen Ländern der Fall ist. Die Folgen davon sind schwer vorstellbar, es ist wahrscheinlich verrückter und weniger geordnet als die aktuelle Presse es beschreibt. Smarte Objekte werden aber mit Sicherheit über sie sprechen, und Sie werden wahrscheinlich nicht viel Kontrolle darüber haben, was sie sagen.

Ein alter Trend: Deperimeterisierung. Zwei aktuelle Trends: Konsumerisierung und Dezentralisierung. Drei zukünftige Trends: Dezentralisierung, Dekonsumerisierung und Depersonalisierung. Das IT-Jahr 2020 — es ist nicht unter Ihrer Kontrolle. Es wird Dinge tun, ohne Ihr Wissen und Ihre Zustimmung, und es wird nicht unbedingt in Ihrem Interesse handeln. Und dies ist, wie die Dinge sein werden, wenn sie so funktionieren wie sie funktionieren sollen; Ich habe noch nicht einmal begonnen über die bösen Jungs zu reden.

Das liegt daran, dass die IT-Sicherheit im Jahr 2020 sich weniger darum kümmert Sie vor den traditionellen bösen Jungs zu schützen, sondern mehr darum Geschäftsmodelle vor Ihnen zu schützen. Deperimeterisierung empfindet alles und jeden als nicht vertrauenswürdig, bis das Gegenteil bewiesen wurde. Konsumerisierung erfordert Netzwerke anzunehmen, dass jedes Endgerät unzuverlässig ist, bis das Gegenteil bewiesen wurde. Dezentralisierung und Dekonzentration werden nicht funktionieren, wenn Sie in der Lage sind, die Geräte zu hacken und so nicht autorisierte Software ausführen können oder unbefugten Zugang zu Daten erhalten können. Dekonsumerisierung wird nicht lebensfähig sein, wenn Sie die Werbeanzeigen, oder was auch immer der Verkäufer benutzt um mit Ihnen Geld zu verdienen, umgehen können. Und Depersonalisierung erfordert die autonomen Geräte, nunja, autonom zu sein.

Moore’s Gesetz besagt, dass im Jahr 2020 — also in 10 Jahren — der Computer 100-mal leistungsfähiger wird. Das wird Dinge auf Arten ändern, von denen wir nichts wissen können, aber wir wissen, das sich die menschliche Natur niemals ändern wird. Cory Doctorow hat zurecht darauf hingewiesen, dass alle komplexen Ökosysteme Parasiten aufweisen. Die Parasiten der heutigen Gesellschaft sind Kriminelle, allerdings macht eine breitere Definition hier mehr Sinn. Während die Benutzer die Kontrolle über diese Systeme verlieren und die IT Anbieter mehr Kontrolle für ihre eigenen Zwecke erhalten, wird sich auch die Definition von “Parasiten” verändern. Ob es nun Kriminelle sind die versuchen Ihr Bankkonto leer zu räumen, Raubkopierer die versuchen jeden Kopierschutz zu umgehen den Filmstudios verwenden um Ihre Profite zu schützen, oder Facebook-Nutzer versuchen den Dienst ohne Preisgabe ihrer Privatsphäre zu nutzen. Parasiten werden weiterhin versuchen die IT-Systeme zu ihrem Vorteil zu nutzen. Sie werden existieren, so wie sie es schon immer gegeben hat, und — wie heute — werden es die Sicherheitsexperten schwer haben mit ihnen mitzuhalten.

Willkommen in der Zukunft. Unternehmen verwenden technische Sicherheitsmassnahmen, die von gesetzlichen Massnahmen unterstützt werden, um ihre Geschäftsmodelle zu schützen. Und wenn Sie kein Modell-Benutzer sind, werden Sie der Parasit sein.

Diese Abhandlung wurde ursprünglich als Vorwort zu “Security 2020″ von Doug Howard und Kevin Prince geschrieben.

Schneier on Security: Security in 2020


Die Kommentare sind zur Zeit geschlossen.