29.05.2006, 21:31 Uhr
Viele Fragen, wenige Antworten
Anlässlich des «Swiss Security Day» hinterfragt ETH-Professor Ueli Maurer gängige Denkmuster der Security-Branche.
ETH-Professor Ueli Maurer erschüttert die Grundfesten der Security-Abteilungen. Sicherheit werde noch nicht einmal richtig verstanden, sagt er.
«Warum ist Sicherheit so schwierig? Weil wir vieles davon noch gar nicht verstehen», so die provokative These von Ueli Maurer, IT-Professor und Kryptografieexperte an der ETH Zürich, in seinem Einstiegsreferat zum IBM Security Day. Diesen hatte die Schweizer Niederlassung des Armonker Konzerns auf den nationalen «Swiss Security Day» getimt, der wiederum von Infosurance initiiert und von diversen Partnern der IT-Branche, von Banken, Kommunikationsunternehmen sowie Hochschulen unterstützt wurde. Viele Faktoren stünden einer sicheren IT im Wege, holt Maurer aus: Angefangen von der ungeheuren Komplexität heutiger Software und der damit einhergehenden Fehleranfälligkeit über die aktuelle Rechtsunsicherheit im Cyberspace bis hin zu heutigen Business-Modellen für das Internet. Diese zeigten, dass noch völlig unklar sei, wie das Medium Internet zu Geschäftszwecken zu nutzen sei. Die mangelhafte Security, so Maurer weiter, bremse den technischen Fortschritt gar aus. Unbeantwortet stünden drei Kernfragen im Raum: Was ist sichere IT? Wer muss für sie aufkommen? Und wer will, wenn man genau hinsieht, überhaupt Security? Letzteres «bei weitem nicht jeder», sagt Maurer und nennt zum Beweis die amerikanischen Geheimdienste, aufgrund deren Intervention sich starke Verschlüsselungsalgorithmen nicht verbreiten konnten. Was überhaupt ist bösartiger Code, bohrt Maurer weiter, und wie erkennt man ihn? Auf diese Frage gebe es grundsätzlich keine Antwort, sagt er und beraubt damit alle Security-Verantwortlichen, die sich aus Virenscannern plus Firewall genügend Schutz versprechen, ihrer Illusionen. Zahlreiche weitere Fragen bleiben offen, wie zum Beispiel: Wie archiviert man digitale Objekte? Wie verkauft man Software, ohne sie dabei aus der Hand zu geben? Wie lässt sich Datenschutz garantieren? Wie sieht ein allgemeines, praktikables Konzept für digitale Signaturen aus?
Catharina Bujnoch