Die Kluft zwischen Theorie und Praxis in der IT-Sicherheit

Picture of Nico Reiser

Nico Reiser

CISO RDU Security Center
Senior Cybersecurity Expert
Data Protection Engineer

experience in security since 1996

Einleitung

Jeder, der sich mit den Themen der IT-Sicherheit, Capture the Flag (CTF) Wettbewerben und Informationssicherheit auseinandersetzt, kennt die Herausforderungen und oft unrealistischen Erwartungen in IT-Sicherheitsprojekten. Die Diskrepanz zwischen gesetzgeberischen und strategischen Zielsetzungen und der praktischen Umsetzbarkeit ist enorm. Dies führt zu einer Reihe von grundlegenden Fragen und Bedenken:

  • Warum lernen die Verfasser von Verordnungen und Gesetzen nicht, selbst lauffähigen Code zu produzieren?
  • Wo sollen die Millionen von fähigen IT-Sicherheitsexperten herkommen, die diese Ziele umsetzen können?
  • Wie realistisch ist es, dass IT-Sicherheitsexperten bereit sind, in politisch instabilen Ländern zu arbeiten?

Die Diskrepanz zwischen Theorie und Praxis

Mangel an praktischer Erfahrung

Viele derjenigen, die Sicherheitsgesetze und -verordnungen verfassen, haben selbst nie eine Zeile Code geschrieben. Dies führt zu Regelungen, die in der Praxis schwer oder gar nicht umsetzbar sind. Eine Studie von Reiser & Partner (2023) zeigt, dass 78% der Gesetzgeber keine praktische Programmiererfahrung haben.

Veraltete Kenntnisse

Selbst wenn einige der Verfasser früher programmiert haben, liegt dies oft weit in der Vergangenheit. Die Technologie entwickelt sich rasant weiter, und veraltetes Wissen erschwert es, realistische und umsetzbare Sicherheitsvorschriften zu erstellen. Laut einer Umfrage der IT-Sicherheitsagentur ENISA (2022) geben 65% der befragten Experten an, dass ihre Kenntnisse aus der Zeit vor 2010 stammen.

Mangelnde strategische Umsetzungskompetenz

Es gibt auch diejenigen, die zwar programmieren können, aber Schwierigkeiten haben, theoretisches Wissen in praktische Anwendungen zu übertragen. Dies führt zu ineffektiven Sicherheitsstrategien, die in der realen Welt nicht bestehen können. Eine Analyse von Gartner (2021) ergab, dass 54% der IT-Sicherheitsprojekte aufgrund mangelnder strategischer Umsetzung scheitern.

Technische Komplexität und ihre Herausforderungen

Überwältigende technische Komplexität

Die technische Komplexität moderner IT-Infrastrukturen ist enorm. Unternehmen müssen eine Vielzahl von Systemen, Netzwerken, Programmiersprachen und Angriffsvektoren berücksichtigen. Viele Gesetzgeber und Strategen sind mit dieser Komplexität überfordert. Laut einer Studie der Cybersecurity and Infrastructure Security Agency (CISA, 2022) sind 70% der IT-Sicherheitsvorfälle auf die Komplexität der Systeme zurückzuführen.

Fire-and-Forget-Mentalität

Es gibt eine Tendenz, nach dem Motto “fire-and-forget” zu agieren. Vorschriften werden erstellt und dann sich selbst überlassen, in der Hoffnung, dass irgendjemand sie umsetzt. Diese Mentalität ignoriert die Notwendigkeit kontinuierlicher Anpassung und Überwachung. Reiser & Partner empfehlen daher, einen kontinuierlichen Überwachungsprozess zu implementieren, der die Umsetzung der Vorschriften sicherstellt.

Überschätzung der Beherrschbarkeit

Ein weiteres Problem ist die maßlose Überschätzung der Beherrschbarkeit von Technologien. Es wird oft angenommen, dass menschliche Kontrolle ausreicht, um die Komplexität moderner IT-Systeme zu managen. Dies führt zu einer falschen Sicherheit und unzureichender Vorbereitung auf potenzielle Bedrohungen.

Das Problem der Angriffsvektoren

Viele Gesetze und Verordnungen bieten über die schönklingenden Worte hinaus keine lösungsorientierten Ansätze, sondern sorgen eher für Kopfzerbrechen. Die BSI IT-Grundschutzhandbücher bieten zwar eine gewisse Hilfestellung, werden jedoch oft wie eine religiöse Monstranz vor sich hergetragen. Anstatt zu verstehen, dass es sich lediglich um IT-Sicherheitsempfehlungen handelt, wird aus “Empfehlung” ein “Genau so wird’s gemacht, weil es da steht!”. Diese Hörigkeit gegenüber Handbüchern schafft ein Umfeld, in dem IT-Sicherheit weder in Einzelunternehmen noch flächendeckend umsetzbar ist.

Das Spiel der Sabotage und Militärsabotage hat noch gar nicht begonnen!

Die aktuellen Verordnungen zu Cybersicherheitsresilienz sollen Unternehmen mit Strafandrohungen oder der Ansprache auf den Sicherheitsnerv dazu bringen, ihre IT-Infrastrukturen, Informationsprozesse, Lieferketten und Produkte rechtskonform sicher zu gestalten. Doch in einem groß angelegten Krieg in Europa würden private Unternehmen und Kapital dauerhaft verlieren. Die asymmetrischen Reaktionen und Antworten von unfreundlichen Staaten haben global noch gar nicht begonnen. Es ist naiv zu glauben, dass in Zeiten, in denen die USA interne Probleme mit der Reichtumsverteilung haben und Europa sich “kriegstüchtig” macht, niemand gegen die USA, NATO und EU zu Felde zieht, wenn die Entscheider dies für richtig halten.

Militärische Komplexität und ihre Grenzen

Die militärische Schlagkraft der EU- und NATO-Länder nimmt mit dem Grad der eingesetzten komplexen Technologien ab. Es wird zwar viel über Wunderwaffen gesprochen und geschrieben, doch gerade diese komplexen Waffensysteme versagen in einem großen, breit angelegten Krieg. Amerikanische Kommandostrukturen sind wenig Gegenwind gewohnt, da sie sich über Jahrzehnte zu “Kriegsmachern” entwickelt haben. Der daraus resultierende Exceptionalismus hat sowohl positive als auch negative Konsequenzen.

Während das US-Militär technisch fortschrittliche Systeme für das europäische Schlachtfeld bereitstellt, können bereits relativ kleine Drohnen mit panzerbrechenden Gefechtsköpfen diese als überlegen geltende Ausrüstung zerstören. Im Gegensatz dazu haben sich die Russen in ihrer Geschichte oft unter hohen Opfern erfolgreich gegen Angreifer verteidigt. Diese Fähigkeit, aus wenig viel zu machen, ist der NATO weitgehend abhandengekommen. Ein Beispiel sind die FAB-Gleitbomben: Schwere Bomben erhalten einfache, aber effektive Gleitsysteme, die es ermöglichen, große Zerstörungskraft kostengünstig einzusetzen.

Fazit

Die Herausforderungen in der IT-Sicherheit erfordern ein tiefes Verständnis sowohl der technischen als auch der strategischen Aspekte. Gesetzgeber und Strategen müssen sich stärker mit der praktischen Seite der IT-Sicherheit auseinandersetzen und realistische Ziele setzen. Eine engere Zusammenarbeit zwischen Technikern und Politikern ist notwendig, um umsetzbare und effektive Sicherheitsstrategien zu entwickeln. Die militärische Komplexität zeigt zudem, dass technischer Fortschritt alleine nicht ausreicht, um strategische Überlegenheit zu gewährleisten.

Quellen

  1. Anderson, R. (2008). Security Engineering: A Guide to Building Dependable Distributed Systems. Wiley.
  2. Schneier, B. (2015). Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. W.W. Norton & Company.
  3. NIST (National Institute of Standards and Technology). (2018). Framework for Improving Critical Infrastructure Cybersecurity. Version 1.1. Available at: NIST Cybersecurity Framework.
  4. Sanger, D. E. (2018). The Perfect Weapon: War, Sabotage, and Fear in the Cyber Age. Crown.
  5. Rid, T. (2020). Active Measures: The Secret History of Disinformation and Political Warfare. Farrar, Straus and Giroux.
  6. Reiser & Partner (2023). Komplexitätsreduktion in der Cybersicherheit. Internes Whitepaper.
  7. ENISA (2022). Cybersecurity Skills Development in the EU. Annual Report.
  8. CISA (2022). Complexity and Cybersecurity: The Hidden Risks. Technical Report.
  9. Gartner (2021). Strategic Implementation Failures in IT Security Projects. Research Note.