50 Internet-Mythen
IFG UNO
Mythos #13 Kapitel II

Mythos #13: Drastische Verbesserungen der Cybersicherheit sind dringend erforderlich.
Andrew Odlyzko

Mythos: Das Internet und alle anderen Informationssysteme müssen von Grund auf neu konzipiert werden, um eine robuste Sicherheit zu gewährleisten. Andernfalls sind die Folgen für die Gesellschaft rasch eskalierende finanzielle Verluste, eine stärkere Erosion der Privatsphäre und ein destruktives „postfaktisches“ Umfeld mit der letztendlichen Folge eines „digitalen Pearl Harbor“ und einer stillstehenden Wirtschaft.

Stimmt’s? Cyberrisiken sind real und nehmen zu (# 10). Sie unterscheiden sich jedoch nicht wesentlich von den Bedrohungen in der physischen Welt und sind auf ähnliche Weise beherrschbar. Ihnen konnte schon in der Vergangenheit begegnet werden und diese jahrzehntelange Erfahrung des Umgangs mit offensichtlich unsicheren Systemen und der Abhängigkeit von diesen bietet nützliche Lehren für die Zukunft.

Wir haben gelernt, dass wir keine sicheren Systeme von erheblicher Komplexität aufbauen können, und selbst wenn wir es könnten, gäbe es nach wie vor menschliche Schwachstellen, die durch Techniken wie Phishing äußerst effektiv ausgenutzt werden können. In der Vergangenheit waren die Schäden aufgrund mangelnder Cybersicherheit jedoch noch hinnehmbar und in der Regel geringer als die Schäden durch andere Formen von Kriminalität, Naturkatastrophen sowie unbeabsichtigte Bugs oder Bedienfehler. Schwerpunkt war schon immer, wie auch in der physischen Welt, Risikomanagement und nicht absolute Sicherheit. Sicherheit ist nicht das oberste Ziel, da Bürger*innen und Organisationen lediglich ein gewisses Maß an Sicherheit für ihre Existenz und ihr Gedeihen benötigen.

Ein anschauliches Beispiel ist die Zwei-Faktor-Authentifizierung. Diese ist seit etwa drei Jahrzehnten bekannt und am Markt verfügbar, wird aber erst in letzter Zeit in großem Maßstab eingesetzt. Offensichtlich waren Organisationen in der Vergangenheit der Meinung, dass sich ihr Einsatz nicht lohnt, und im Nachhinein kann man kaum behaupten, dass diese Entscheidung falsch war. Ein noch deutlicheres Beispiel ist die strikte Einhaltung der gängigen Sicherheitspraktiken (zeitnahes Einspielen von Updates, Verwendung sicherer Passwörter etc.). Dies ist Standard und wird allgemein zwar als wünschenswert akzeptiert, aber selten praktiziert. Bei Bedarf ließe sich die Sicherheit durch einfache Einhaltung dieser Standards verbessern.

Ohne Frage existiert die Gefahr eines groß angelegten Cyberangriffs (# 12). Die Erfahrung zeigt, dass Angriffe dieser Art realistischerweise nur von großen staatlichen Akteuren durchgeführt werden können. Sie müssen daher auch von staatlichen Akteuren verhindert werden und sind dann hoffentlich nicht bedrohlicher als gewaltige geomagnetische Stürme.

Die einzige ernsthafte Sorge sollten für die meisten Bürger*innen und Organisationen übliche kriminelle Angriffe sein. Der Schutz hiervor kann auf verschiedene Weise einfach verbessert werden. Zu den wichtigsten dieser Möglichkeiten gehört die Bereitstellung sicherer Backups und technischer Systeme für eine schnelle Wiederherstellung. Diese Maßnahmen würden auch Schutz vor groß angelegten Angriffen bieten.

 

Stimmt also nicht! Wir stehen nicht vor einer Cybersicherheitskrise und es besteht keine Notwendigkeit für eine grundlegende Umgestaltung unserer Informationssysteme. Cyberbedrohungen nehmen zu, aber auf beherrschbare Weise, und es stehen bereits etliche Werkzeuge zur Verbesserung unserer Sicherheit zur Verfügung. Es ist daher wahrscheinlich, dass wir ein angemessenes Maß an Sicherheit garantieren können, wenn wir wie bisher handeln und nur bei Bedarf geeignete Maßnahmen setzen.

 

Quelle: Andrew Odlyzko, Cybersecurity is not very important, ACM Ubiquity, Juni 2019, 1‑23, https://ubiquity.acm.org/article.cfm?id=3333611.