Manfred Kloiber: In Brüssel haben am Dienstag eine ganze Reihe von Wissenschaftlern und Forschungsinstituten eine Roadmap für die IT-Sicherheitsforschung vorgestellt und der Europäischen Agentur für Netz- und Informationssicherheit übergeben. Die Liste der Unterzeichner ist imposant. Mein Kollege Achim Killer hat sich die Roadmap etwas näher angeschaut. Achim, worum geht es dabei?
Achim Killer: Na ja, da haben sich durchweg wichtige europäische IT-Sicherheitsforscher darüber verständigt, was in ihrer wissenschaftlichen Disziplin in den nächsten zehn Jahren zu tun ist. Es sind vor allem deutsche Instituts-Chef und eine Chefin, die da ganz vorne unterschrieben haben. Das sind zumindest hier, die Leute, die tatsächlich sagen, wo's lang geht in der IT-Sicherheitsforschung. Und insoweit kann man das durchaus als einen verbindlichen Forschungsplan betrachten.
Kloiber: Und was steht drin in diesem Plan?
Killer: Was sich wie ein roter Faden durch die gesamten 50 Seiten zieht, das ist die Frage: Was braucht man, um mit Sicherheitsproblemen vernünftig umgehen zu können? Es geht nicht darum, Sicherheitsprobleme zu identifizieren und final zu lösen nach dem Prinzip: Lücke – Patch – Sicherheit, auch perspektivisch nicht. Sondern IT-Sicherheit soll gemessen werden, eine eigene Metrik entwickelt werden.
Und Sicherheit soll bewertet werden, auch ökonomisch. Damit Unternehmen Kosten und Nutzen kalkulieren können. Es sei mittlerweile eine im Wesentlichen interdisziplinäre Aufgabe, sagen die Verfasser, eine, bei der Juristen eine große Rolle spielen – wegen der Bedeutung rechtlicher Vorgaben – und Wirtschaftswissenschaftler, weil Sicherheit Geld kostet – ja, und keine Sicherheit halt noch mehr.
Kloiber: Das hört sich aber doch etwas resigniert an.
Killer: Nö, ich würde sagen, es ist einfach realistisch. Beispielsweise werden heute ja viele unsichere Hard- und Software-Komponenten eingesetzt. Das ist ein Fakt. Da kommt man nicht drum herum. Von anderen weiß man's nicht, da wird zumindest behauptet, sie seien unsicher. Huawei aktuell.
Nun kann man aber nicht jedwede Systemintegration einstellen, bis alle erdenklichen Zweifel auf allen Gebieten zerstreut sind. Stattdessen ist es sinnig, Architekturen weiterzuentwickeln, die trotz unsicherer Komponenten zuverlässig sind. Das kann mit Gateways gehen, dadurch dass der Datenverkehr gefiltert wird, oder dadurch, dass man Komponenten gegeneinander abschottet. Virtualisierung spielt da eine Schlüsselrolle.
Oder: Systeme, die heute als sicher gelten, die können morgen definitiv unsicher sein. Und statt vergeblich zu versuchen, Sicherheit für alle Ewigkeit zu entwickeln, ist da wohl besser, Update-Möglichkeiten einzubauen.
"IT-Sicherheit bestimmt das Leben aller ganz massiv"
Kloiber: Das hört sich jetzt aber eher nach einem philosophischen Diskurs als nach Forschungsfahrplan an.
Killer: Nee. Das beschreibt beispielsweise exakt die Situation, in der sich die Kryptographie derzeit befindet. Es gibt Verschlüsselungsverfahren, die sind nach menschlichem Ermessen sicher – heute. Aber wenn Quantencomputer kommen – und das wird geschehen – dann sind sie's nicht mehr. Und deshalb bauen seriöse Krypto-Firmen heute Update-Möglichkeiten in ihre Produkte ein. – Postquantenkryptographie ist übrigens auch eines der Felder, wo die Roadmap ganz aktuell Forschungsbedarf sieht.
Kloiber: Gibt's da noch mehr – Gebiete, auf denen die Autoren der Roadmap dringenden Forschungsbedarf sehen?
Killer: Ja, bei den einschlägigen Hype-Themen, die halt sehr schnell groß geworden sind: Blockchain, Big Data und künstliche Intelligenz (KI). Bei der KI schreiben sie, dass eben verhindert werden muss, dass lernende Systeme etwas Falsches lernen, dass also schon die Trainingsphase solcher Systeme manipuliert wird. Und bezüglich Big Data schreiben sie, dass es stärkere Anonymisierungstechniken braucht, damit die Privatsphäre geschützt werden kann und damit die Leute überhaupt – freiwillig, weil anders geht's gar nicht – ihre Daten zu Verfügung stellen.
Es ist, wie gesagt, ein Papier, dass das gesellschaftliche Umfeld stark einbezieht. Und das ist meines Erachtens auch richtig und notwendig, weil Informationstechnologie ja längst nicht mehr nur die Angelegenheit von Fachinformatikern ist, sondern das Leben aller ganz massiv bestimmt.
Kloiber: Über die Cybersicherheitsforschung in Europa sprach ich mit Achim Killer, vielen Dank!
