Informatiksicherheit: Quo vadis? PD Dr. Rolf Oppliger esecurity Technologies Rolf Oppliger (www.esecurity.ch) Thunstrasse 57b, CH-3074 Muri b. Bern E-Mail: rolf.oppliger@esecurtiy.ch 2000 esecurity Technologies Rolf Oppliger Folie 1 Übersicht Was ist Informatiksicherheit? Was haben wir erreicht? Was wollen wir? Was hält uns zurück? Was bringt die Zukunft? 2000 esecurity Technologies Rolf Oppliger Folie 2
Was ist Informatiksicherheit? 1/7 Boden Information Kapital Arbeit Information stellt einen vierten, Boden, Kapital und Arbeit ergänzenden Produktionsfaktor dar. Unsere Gesellschaft ist daran, sich von einer Industrie- zu einer Informationsgesellschaft zu wandeln. 2000 esecurity Technologies Rolf Oppliger Folie 3 Was ist Informatiksicherheit? 2/7 Die Informatik ist die Wissenschaft, die sich mit der systematischen und möglichst automatisierten Speicherung, Verarbeitung und Übertragung von Informationen (d.h. informationstragenden Daten) befasst. Die Informatiksicherheit (bzw. IT-Sicherheit) befasst sich mit der Sicherheit in der Informatik, d.h. mit der sicheren Speicherung, Verarbeitung und Übertragung von Information....11100110101111110000110101100011011001000100111110000100100111... 2000 esecurity Technologies Rolf Oppliger Folie 4
Was ist Informatiksicherheit? 3/7 Dabei entsprechen dem deutschen Sicherheitsbegriff in der englischen Sprache zwei Bedeutungen: - Sicherheit im Sinne von safety bezieht sich auf die Zuverlässigkeit eines Systems, d.h. auf dessen Ablauf- und Ausfallsicherheit. - Sicherheit im Sinne von security bezieht sich auf den Schutz eines Systems vor beabsichtigten Störungen und Angriffen. Zuweilen werden die zwei Bedeutungen auch unter dem deutschen Begriff Verlässlichkeit subsummiert. 2000 esecurity Technologies Rolf Oppliger Folie 5 Was ist Informatiksicherheit? 4/7 Aspekte der Informatiksicherheit: - Verfügbarkeit - Vertraulichkeit - Integrität - Authentizität - Verbindlichkeit - Anonymität -... 2000 esecurity Technologies Rolf Oppliger Folie 6
Was ist Informatiksicherheit? 5/7 Sicherheit kann als Zustand des Nichtvorhanden- oder Geschütztseins vor Bedrohungen und Risiken umschrieben werden. Sicherheit ist als subjektiv wahrnehmbare Grösse weder direkt sicht- noch messbar. Was als sicher oder unsicher zu bezeichnen ist, hängt auch vom Betrachter und dessen individuellen Risikobereitschaft ab (z.b. Fliegen). 2000 esecurity Technologies Rolf Oppliger Folie 7 Was ist Informatiksicherheit? 6/7 Sicherheit ist relativ und immer situationsbezogen (bzw. abhängig von der aktuellen Bedrohungslage). Bis heute fehlt eine (brauchbare) Metrik für Informatiksicherheit, d.h. Informatiksicherheit wird in der Praxis durch Räuber-und-Gendarm -Spiele approximiert (z.b. durch den Einsatz von Tiger Teams). Solche Spiele und Approximationen hat es immer schon gegeben (z.b. Geldtransporte im Wilden Westen, einbruchsichere Safes, ausbruchsichere Gefängnisse,... ). 2000 esecurity Technologies Rolf Oppliger Folie 8
Was ist Informatiksicherheit? 7/7 Beispiel eines approximativ ausbruchsicheren Gefängnisses 2000 esecurity Technologies Rolf Oppliger Folie 9 Was haben wir erreicht? 1/5 Schwerpunktthemen der Informatiksicherheit in der Vergangenheit: - Physikalische Sicherheit (z.b. Rechenzentren) - Kryptologie (z.b. Verschlüsselungen, digitale Signaturen,... ) - Authentifikationsverfahren ( was ich weiss, was ich habe, wer ich bin bzw. wo ich bin ) - Zugriffskontrollen (z.b. DAC, MAC,... ) - Evaluation und Zertifikation von IT-Produkten und -Systemen (z.b. TCSEC, ITSEC, CC,... ) - Datenbanksicherheit (z.b. Inferenzproblem) - Softwareanomalien und -manipulationen (z.b. Computerviren) -... 2000 esecurity Technologies Rolf Oppliger Folie 10
Was haben wir erreicht? 2/5 Aktuelle Produkte -Landschaft: Firewalls (statische und dynamische Paketfilterung, Proxy Server,... ) IPSec (Virtuell private Netze) SSL/TLS Sicheres E-Mail (z.b. PGP, S/MIME,... ) Authentifikationssysteme (z.b. Kerberos,... ) PKI Sicherheitsscanner und IDS 2000 esecurity Technologies Rolf Oppliger Folie 11 Was haben wir erreicht? 3/5 Zwischen Theorie und Praxis gibt es ein (über-) grosses Delta: - In der Theorie gibt es gute Verschlüsselungssysteme. - In der Praxis wird nicht oder nur mit ungenügend starken Verschlüsselungssystemen gearbeitet. - In der Theorie kennt man Authentifikationsverfahren mit beweisbaren Sicherheitseigenschaften (z.b. ZKIPS). - In der Praxis werden Passwörter eingesetzt. - In der Theorie gibt es einen Bedarf nach korrigierten Softwareversionen. - In der Praxis werden Patches kaum installiert. 2000 esecurity Technologies Rolf Oppliger Folie 12
Was haben wir erreicht? 4/5 Für die bis heute erstaunlich geringe Zahl von Zwischenfällen gibt es zwei mögliche Begründungen (neben einer hohen Dunkelziffer): - Die Räuber sind nicht gut genug. - Die Räuber sind zwar gut genug, aus ihrer Sicht gibt es aber im Internet (immer noch) zuwenig zu holen. Die zweite Begründung ist wahrscheinlicher. Damit haben wir eine extrem gefährliche Ausgangslage für den elektronsichen Handel und die elektronische Geschäftsabwicklung im Internet. 2000 esecurity Technologies Rolf Oppliger Folie 13 Was haben wir erreicht? 5/5 Prognose: Sobald sich der Internet-basierte E-Commerce durchzusetzen beginnt, werden die Räuber angreifen und die Gedarmerie wird beginnen, ihre aus der Theorie bekannten Sicherheitstechnologien besser und konsequenter einzusetzen. Besser wäre ein proaktiver Einsatz von Sicherheitstechnologien bereits in der Entwurfsphase von Produkten und Applikationen (die Entwicklung einer sicheren Applikation muss nicht notwendigerweise viel aufwendiger sein als die Entwicklung einer unsicheren Applikation). 2000 esecurity Technologies Rolf Oppliger Folie 14
Was wollen wir? 1/2 Analogie: Briefpost Computersicherheit Kommunikationssicherheit Sicherheitsleitbild (-politik) Sicherheitsstragie Sicherheitsplan Organisatorische Sicherheit Rechtliche Sicherheit 2000 esecurity Technologies Rolf Oppliger Folie 15 Was wollen wir? 2/2 Man kann viel lernen aus der Art und Weise, wie man für andere Infrastrukturen Sicherheit bzw. Verlässlichkeit zu erreichen versucht. Beispiel Strassenverkehr: Fahrzeugprüfungen Fahrerprüfungen Ausbildungsprogramme Bauliche Massnahmen Gesetzliche Vorgaben Polizeiliche Kontrollen... 2000 esecurity Technologies Rolf Oppliger Folie 16
Was hält uns zurück? 1/2 Es gibt eine asymmetrische Lastverteilung zwischen einem Räuber und der Gendarmerie (der Räuber muss nur eine Verwundbarkeit finden und ausnutzen). Bis heute gibt es keine (Produkte-) Haftung für fehlerhafte Software. Diese Situation macht es schwierig, Softwarehersteller für Verwundbarkeiten in ihren Produkten in die Pflicht zu nehmen. Soziale Komponente in einem Informatiksystem (als sozio-technisches System) kann immer angegriffen werden (z.b. Social Engineering). 2000 esecurity Technologies Rolf Oppliger Folie 17 Was hält uns zurück? 2/2 Zwei natürliche Feinde der Informatiksicherheit: Komplexität (z.b. W2K) Geschwindigkeit (z.b. Beta-Test -Effekt, Sicherheit-in- Version-2 -Effekt,... ) 2000 esecurity Technologies Rolf Oppliger Folie 18
Was bringt die Zukunft? 1/3 Bis vor wenigen Jahren ist die Informatiksicherheit (bzw. IT-Sicherheit) noch ein Fachgebiet gewesen, das mit Ausnahme von ein paar wenigen Forschungsinstituten (vorwiegend im militärischen Bereich) niemanden ernsthaft interessiert hat. Dieses Bild hat sich mit dem Aufkommen des Internet und World Wide Web (WWW), bzw. des elektronischen Handels (E-Commerce) und der elektronischen Geschäftsabwicklung (E-Business) im Internet grundlegend und nachhaltig geändert. 2000 esecurity Technologies Rolf Oppliger Folie 19 Was bringt die Zukunft? 2/3 Zum ersten Mal sind heute mögliche finanzielle Verluste und entsprechende Risiken durch nicht oder zu schlecht gesicherte Applikationen und Applikationsprogramme quantifizierbar. Entsprechende Medienberichte gleichen oft Berichten über Überfälle auf Banken und Geldtransporte im Wilden Westen. 2000 esecurity Technologies Rolf Oppliger Folie 20
Was bringt die Zukunft? 3/3 Die Sicherheit ist heute eine der grundlegenden Anforderungen (neben der Skalierbarkeit). Davon zeugen viele Konferenzen und Fachtagungen zu diesen Themen. Diese Tendenz wir sich - mit der zunehmenden Finanzrelevanz von entsprechenden Applikationen - in Zukunft noch verstärken. Entsprechend wichtig wird ein proaktiver Einsatz von präventiven Sicherheitstechnologien, sowie ein zusätzlicher Einsatz von detektiven und reaktiven Sicherheitstechnologien. 2000 esecurity Technologies Rolf Oppliger Folie 21 Fragen und Antworten 2000 esecurity Technologies Rolf Oppliger Folie 22