Information Security Solutions Europe 2006
Europatreffen der Sicherheitsprofis
Technische Information aus den Entwicklungslabors, marketingfrei garniert mit Überlegungen zu den gesellschaftlichen Anwendungsfolgen und angereichert mit Einblicken in rechtliche und regulative Bestrebungen - die jährliche ISSE mausert sich weiter zu einem erstklassigen IT-Security-Event.
Wer zu einer IT-Konferenz anreist, einen verspäteten Flieger erwischt und deshalb den
Einleitungsvortrag von Bruce Schneier verpasst, hat allen Grund zum Ärger, denn der weltweit wohl
gefragteste IT-Sicherheits-Allrounder ist immer für ein paar ebenso scharfe wie treffende
Kommentare zu Security-Anbietern und zur Sicherheitspolitik gut. Wer ihn dann vor dem
Veranstaltungszentrum in der Sonne sitzend findet und "bis das Taxi kommt" schnell ein paar Fragen
stellen darf, ist wieder versöhnt, speziell wenn die Taxis so selten und auch auf Bestellung so
zögerlich kommen wie zum Conference-Center SGM an der Via Portuense im Außenbereich von Rom. So
entstand beim LANline-Besuch der Konferenz Information Security Solutions Europe in Rom 2006 gleich
zu Beginn ein kleines Interview über den aktuellen Compliance-Hype (siehe Kasten).
Die Hersteller in die Pflicht nehmen
Was Schneier dem ISSE-Publikum in seiner Keynote gesagt hatte, diskutierten die Teilnehmer
später in den Pausen: Sein Vortrag hatte die ökonomischen Rahmenbedingungen der IT und
IT-Sicherheit zum Thema. Kennzeichnend für den Markt, so Schneier, seien unter anderem hohe
Fixkosten, hohe Kosten bei Systemveränderungen und Anbieterwechseln und das Phänomen, dass
schlechte Produkte gute vom Markt verdrängen, wenn die Verkäufer über bessere Fachkenntnisse
verfügen als die Käufer. Die Microsoft-Strategie, bei neuem Bedarf in den Unternehmen schnell mit
passenden Produkten zur Stelle zu sein, sei angesichts dieser Situation immer vorteilhaft gewesen,
merkte der Spezialist an. Er vergaß auch nicht, wieder einmal darauf zu drängen, Softwarehersteller
für Schäden verantwortlich zu machen, die durch Sicherheitslücken und Fehler in ihren Produkten
entstehen. Software selbst würde dadurch vielleicht teurer, aber der Sicherheit käme dieses Modell
zugute. Viviane Reding, EU-Commissioner für Informationsgesellschaft und Medien, teilt Schneiers
Meinung und kritisierte ebenfalls die Hersteller für ihre Bereitschaft, Software auch mit
Schwachstellen auf den Markt zu bringen. Als Ad-hoc-Abhilfe empfahl sie den Anwendern, bei
heterogenen IT-Umgebungen zu bleiben, um die potenziellen Auswirkungen einzelner Fehlerquellen zu
reduzieren.
Die schwierige Verkehrsanbindung war übrigens das einzige organisatorische Problem der ISSE –
und dass, obwohl exakt zwei Wochen vor dem Event das ursprüngliche Gebäude in der Innenstadt durch
einen Brand so stark beschädigt wurde, dass sich die Veranstalter Hals über Kopf nach einem anderen
Ort für 300 Teilnehmer und 100 Referenten aus 35 Nationen umsehen mussten. Im freundlichen und
modernen SGM-Center erweisen sich Technik und Ausstattung aber als so perfekt, als sei die
Konferenz nie anderswo geplant gewesen.
Bei der ISSE stimmt aber nicht nur die professionelle Hülle. Teilnehmer erleben einen echten
Informationsaustausch zwischen Spezialisten mit, aus dem die Eventleitung lästiges Marketing
erfolgreich verbannt. Kennzeichnend ist auch, dass sich die meist hochtechnischen Konferenzbeiträge
ganz ungezwungen in den sozialen und politischen Kontext gestellt sehen, in dem sich die von ihnen
diskutierten Konzepte bewegen. Dieses Kunststück gelingt bei der ISSE, weil viele politische
Gremien aktiv an der Konferenz beteiligt sind und ihrerseits technisch versierte Teilnehmer
schicken.
Auch dumme RFID-Chips bieten Datenschutz
Ein gutes Beispiel für diese Charakteristik bot die Diskussion rund um Smartcards, Tokens und
RFID, die sich am ersten Tag im Technik-Track entspann. Während Boris Skoric, Senior Research
Scientist bei Philips in den Niederlanden, Ansätze zur Abwehr von Cloning-Attacken auf RFID-Chips
und andere Token-Formen entwickelte, analysierte Unisys-Spezialist Christian Wernberg-Tougaard die
gesellschaftlichen Bedingungen und die Kritik, auf die die RFID-Technik inzwischen trifft. Sein
zumindest für einige Teilnehmer überraschender Rettungsvorschlag: Anstatt auf
verschlüsselungsfähige und damit teure RFID-Prozessoren zu setzen, wie es unter anderem EMC/RSA
immer wieder ins Gespräch bringt, könnte man den Verschlüsselungsvorgang auf externe Geräte
verlegen. Bis zum Kauf an der Ladenkasse etwa könnte der Inhalt eines Funkchips dann im Klartest
lesbar bleiben, aber dort ließe er sich auf Wunsch des Kunden auslesen, löschen, und mit einem
öffentlichem Schlüssel des Käufers wieder neu verschlüsselt speichern. Alle Vorteile der
RFID-Technik blieben so erhalten, aber eine unkontrollierte Verarbeitung mithilfe unautorisierter
Lesegeräte wäre so auch bei Verwendung "dummer" Chips unterbunden. Zwar setzt auch dieses Modell
einiges an Infrastruktur und eine hinreichende Verbreitung asymmetrischer Schlüsselpaare voraus,
aber angesichts der zunehmenden Verbreitung signaturfähiger Bankkarten und Personalausweise ist die
Umsetzung der Idee vielleicht weniger schwierig, als es auf den ersten Blick scheint.
Ein zentrales Anliegen der Konferenz war die Förderung der Standardisierung – gleich zu Beginn
eingefordert vom italienischen Kommunikationsminister Paolo Gentiloni, der den
Security-Kompatibilitätsstandard ISO 15408 als gutes Beispiel pries. Vor allem VoIP und IT-TV
sollten der Sicherheit wegen stärker bindenden Standards unterworfen werden als bisher.
Hilfe für Laien
Als weiterer Schwerpunkt der ISSE kristallisierte sich die Frage nach Hilfe für Anwender heraus,
die über geringes Security-Wissen verfügen. Endanwender und kleine Unternehmen sollten mehr
Unterstützung von ISPs bekommen, war eine mehrfach geäußerte Ansicht, und Anwendungssoftware sollte
mit eingebauter Sicherheit auf den Markt kommen. Den Problemen der KMUs widmete sich eine
Diskussion über Awareness-Maßnahmen (siehe folgender Artikel). Der "Award for Excellence in Secure
Electronic Business" des ISSE-Veranstalters EEMA ging an die Norwegischen Banken und die
Organisation "Banking und Business Solutions (BSS)" für ihr zertifikatsgestützes Sicherheitssystem,
das bereits 600.000 Bankkunden die digitale Signatur von Dokumenten mithilfe ihres digitalen
Bankzertifikats erlaubt. Die Konferenz war ein voller Erfolg – auch bei den Sponsoren, die die
nächste ISSE in Warschau ebenfalls unterstützen wollen.
Lesen Sie mehr zum Thema
