DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Arti­kel­serie “Ver­trauen in IT-Sicher­heits­pro­dukte” — Teil 1

Ver­trauen in IT-Sicher­heits­pro­dukte

Die stei­gende Digi­ta­li­sierung der Gesell­schaft eröffnet immer mehr Angriffs­mög­lich­keiten. Diese wirken sich zunehmend negativ auf das Ver­trauen in IT Sicher­heits­pro­dukte aus. In einer neuen Artikel-Serie zeigen wir, wie Ver­trauen wie­der­her­ge­stellt und gesteigert werden kann.

Wach­sende Risiken

Die zuneh­mende Ver­netzung von Geräten im Internet der Dinge, von ein­ge­bet­teten Sys­temen in Fahr­zeugen oder auch der Sie­geszug des Online-Banking ver­deut­lichen bei­spielhaft, wie stark Infor­ma­ti­ons­technik alle Bereiche des Lebens und der Gesell­schaft durch­dringt. Moti­viert wird dieser Prozess durch enorme wirt­schaft­liche und gesell­schaft­liche Chancen, er schafft aber auch sub­stan­zielle neue Risiken. Einige Bei­spiele für Vor­fälle, die noch vor einem Jahr­zehnt in dieser Form nicht möglich gewesen wären:

  • Die Ran­somware-Wellen „Petya“ und „Wan­naCry“ legten Con­tai­ner­ter­minals und Kran­ken­häuser zeit­weilig lahm.
  • Hackern gelang es, über die Mobil­funk­ver­bindung die Kon­trolle über einen in Fahrt befind­lichen Jeep zu über­nehmen.
  • Kri­mi­nelle räumten mittels einer Schwach­stelle des mTAN-Ver­fahrens tau­sende Bank­konten leer.
IT-Sicherheit: unzu­rei­chend

Obwohl die Infor­ma­ti­ons­technik einer­seits auf vielen Gebieten unzwei­felhaft zu einer siche­reren Gesell­schaft bei­trägt, öffnet sie ande­rer­seits auch Ein­fallstore für neu­artige Angriffe. Die Ver­netzung durch­dringt aktuell immer stärker auch Tech­no­logien und Infra­struk­turen, bei welchen Fehl­funk­tionen fatale Folgen für das wirt­schaft­liche oder phy­sische Wohl­er­gehen des Indi­vi­duums oder der Gesell­schaft haben können. Obwohl IT-Sicherheit kei­neswegs ein neues Thema ist und die Inves­ti­tionen in die Sicherheit von IT-Pro­dukten seit Jahren anwachsen, ist derzeit eine stei­gende Ver­un­si­cherung all­ge­gen­wärtig: Fort­schritte in der Sicherheit von IT-Pro­dukten sind zwar erkennbar, aber sie werden ange­sichts weiter wach­sender Scha­den­s­po­ten­ziale der ris­kierten Sicher­heits­vor­fälle als nicht aus­rei­chend wahr­ge­nommen. Die IT-Branche steht vor einer wach­senden Ver­trau­ens­krise.

Ver­trauen – woher nehmen? 

Wie kann Ver­trauen in IT-Pro­dukte auf­gebaut oder wie­der­her­ge­stellt werden? Diese für die Zukunft der Branche essen­zielle Frage stellt Her­steller und Kunden vor gewaltige Her­aus­for­de­rungen. Her­steller müssen geeignete Mittel und Wege finden, um ihre Kunden bei der Ver­trau­ens­bildung zu unter­stützen. Kunden sind ihrer­seits oftmals ohne wei­teres gar nicht in der Lage, aus­rei­chend genau zu erfassen, welche Sicher­heits­funk­tio­na­lität ein Produkt bietet und inwieweit es die bestehenden Sicher­heits­an­for­de­rungen erfüllt.

Ver­trauen ist primär eine psy­cho­lo­gische Kate­gorie, die das Ver­hältnis des Indi­vi­duums zu einem Gegenüber (Mensch, Tier, Umwelt oder tech­ni­sches System) beschreibt, dessen Ver­halten nicht immer vor­her­sehbar ist und das erheb­lichen Schaden bewirken kann. Sicherheit erfordert Ver­trauen: Nur, wenn Ver­trauen besteht, fühlt man sich sicher. Kon­kreter ist Ver­trauen ein psy­cho­lo­gi­scher Zustand, der die Bereit­schaft auslöst, sich in Bezug auf das Gegenüber Risiken aus­zu­setzen. Ver­trauen reprä­sen­tiert die Über­zeugung, dass das Gegenüber sich erwar­tungs­gemäß (nicht-schädlich) ver­halten wird – also eine positive Beur­teilung seiner Ver­trau­ens­wür­digkeit. Die nach­fol­genden Abschnitte erörtern die Fak­toren, die unser Ver­trauen beein­flussen und zeigt Wege zur Ver­trau­ens­bildung in IT-Pro­dukte auf.

Ver­trauen ent­steht in einem psy­cho­so­zialen Prozess, der beim Ver­trau­enden beginnt und sich dann zunehmend nach außen ori­en­tiert: Per­sön­lich­keits­ei­gen­schaften bestimmen, wie leicht man über­haupt Ver­trauen aufbaut, und wirken primär intuitiv. Auch der Ein­fluss von Vor­er­fah­rungen (mit dem­selben oder ähn­lichen Gegenüber) ist wesentlich, wie­derum mit einem stark intui­tiven Anteil. Der stärkste „Ver­trau­ens­schub“ kann ent­stehen, wenn man selbst eine bewusste, rational-kri­tische Bewertung der Ver­trau­ens­wür­digkeit des Gegen­übers anhand objek­tiver Merkmale vor­nimmt. Ist dies nicht aus­rei­chend oder nicht prak­ti­kabel, haben wir aber auch die Option, die Bewer­tungen Dritter ein­zu­be­ziehen – in welchem Maß hier­durch eigenes Ver­trauen auf­gebaut wird, hängt dann ent­scheidend davon ab, wie starkes Ver­trauen zu dem bewer­tenden Dritten besteht. Ver­trauen auf­zu­bauen dauert all­gemein lange, es kann aber in kür­zester Zeit durch uner­war­tetes, schäd­liches Ver­halten des Gegen­übers ganz oder teil­weise zer­stört werden.

Wege der Ver­trau­ens­bildung

Für das Ver­trauen von Kunden in IT-Pro­dukte ergeben sich daraus fol­gende Mög­lich­keiten der posi­tiven Beein­flussung durch den Anbieter:

  • Lang­fristig posi­tives „track record“ in puncto Sicherheit auf­bauen und halten, bei Sicher­heits­vor­fällen schnell und sichtbar handeln
  • Pro­spektive Kunden in adäquatem Umfang, tat­sa­chen­gemäß und genau über Sicher­heits­merkmale infor­mieren
  • Sicher­heits­be­wer­tungen durch ver­trau­ens­würdige Dritte anstoßen oder unter­stützen

Zu einer umfas­senden eigenen Sicher­heits­be­wertung ist der Kunde aller­dings oft nicht in der Lage, selbst wenn er vom Anbieter optimal unter­stützt wird – und diese Situation wird durch die wach­sende Kom­ple­xität der Pro­dukte, aber auch der Angriffs­mög­lich­keiten zunehmend zum Regelfall. Nötig für eine solche Bewertung sind Exper­ten­wissen, Erfahrung, Zeit, häufig auch tech­nische Spe­zi­al­aus­rüstung. Ein Her­steller von Sicher­heits­pro­dukten verfügt zwar über diese Res­sourcen und setzt sie übli­cher­weise schon während der Ent­wicklung zur Sicher­heits­op­ti­mierung ein – aus Kun­den­sicht ist die Ver­trau­ens­wür­digkeit genau dieser Partei jedoch durch deren Ver­kaufs­in­teresse belastet. Die Sicher­heits­be­wertung durch unab­hängige, ver­trau­ens­würdige Dritte ist daher der viel­ver­spre­chendste Weg, die Ver­trau­ens­bildung beim Kunden positiv zu beein­flussen. Eine Sicher­heits­zer­ti­fi­zierung nach all­gemein aner­kannten Kri­terien, aus­ge­führt durch eine ver­trau­ens­würdige Prüf­instanz ist hierzu die beste Mög­lichkeit.

Wie Ver­trauen das IT-Sicher­heits­pro­dukte wieder her­ge­stellt und gesteigert werden kann, erfahren Sie in den nächsten Teilen zu dieser Arti­kel­serie.  Darüber hinaus bietet die Fraun­hofer Academy für inter­es­sierte Ent­scheider und Mit­ar­beiter in KMU auch Kurse an.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Thilo Ernst, Fraun­hofer FOKUS

Thilo Ernst ist wis­sen­schaft­licher Mit­ar­beiter beim Fraun­hofer FOKUS. Er hat in einer breiten Palette von For­schungs- und Ent­wick­lungs­vor­haben in Bereichen wie Grid/Cloud-Computing, Ver­kehrs­te­le­matik und Embedded Software ver­schie­denste Facetten des Themas IT-Sicherheit ken­nen­ge­lernt. Seit 2014 bringt er seine Erfah­rungen im CertLab von Fraun­hofer FOKUS in die Begleitung von CC-Zer­ti­fi­zie­rungs­ver­fahren im Auftrag des BSI ein. Im Rahmen der Fraun­hofer Academy ist Thilo Ernst Referent zum Thema „Ver­trauen durch Pro­dukt­zer­ti­fi­zierung“

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.