RSA-Konferenz Europa 2007 in London
Quo vadis, Security?
Die RSA-Konferenz Europa 2007, eine der größten europäischen Sicherheitskonferenzen, fand vom 22. bis 24. Oktober in London statt. Zwar gab es wie in früheren Jahren durchaus interessante Anregungen, doch blieb diesmal oft der Eindruck der Ratlosigkeit zurück: So wie bisher kann es mit der IT-Sicherheit nicht weitergehen, aber wie sonst?
1500 Experten aus aller Welt besuchten die
RSA-Konferenz mit ihren etwa 100 Vorträge
und Tutorials in zehn Tracks. Stoff zum Nachdenken lieferte unter anderem Art Coviello, Präsident
von RSA: 2006 seien weltweit 176 Exabyte an Daten erzeugt worden. Wie will man bei einer solch
riesigen Menge überhaupt noch von Sicherheit und Datenschutz reden? RSA setzt wie viele andere
Anbieter auf den "informationszentrierten Datenschutz". Er verlangt unter anderem eine möglichst
automatische Klassifizierung von Dokumenten nach ihrer Vertraulichkeit. Wie zuverlässig aber kann
eine Klassifizierung bei dem heutigen Tempo der Veränderung überhaupt sein, und wie verhindert man,
dass aus vielen "unwichtigen" Daten nicht auch "wesentliche" abgeleitet werden? Das Paradebeispiel
für Letzteres ist die Analyse von Kaufhandlungen – hinreichend viele ergeben ein
Persönlichkeitsprofil. So können auch Industriespione aus Belanglosigkeiten interessante Puzzles
zusammensetzen.
Das in diesem Zusammenhangimmer wieder zu hörende Buzzword "Information Lifecycle Management"
erinnert mehr an den Versuch, Zugriffsbeschränkungen durchzusetzen (Stichwort Digital Rights
Management, DRM) – ein Konzept, dem die unzähligen Probleme gegenüberstehen, die durch immer
billigere und kleinere Massenspeicher und immer stärkere Vernetzung verursacht werden. Hinzu kommt,
dass der Sicherheitsstatus von Daten nach wie vor kaum belegbar und ihr Diebstahl kaum beweisbar
ist. So kommen die Spezialisten immer wieder auf bekannte Angriffsformen zurück. Ben Fathi von
Microsoft erwähnte, dass die Zahl der "Trojan Downloaders" vom zweiten Halbjahr 2006 zum ersten
Halbjahr 2007 von einer Million auf 5,9 Millionen anstieg.
Gefühlt ist nicht real
Schwierig für Unternehmen ist nach wie vor das Risikomanagement. Eine Umfrage bei
Finanzdienstleistern zeigte, dass diese Fragen in den Chefetagen zwar höchste Priorität haben, die
Praxis aber trüb aussieht. Und selbst wenn wirklich viel getan wird, muss man genau dies dem Kunden
immer noch glaubhaft machen. Passend dazu fiel die Keynote des bekannten Sicherheitsexperten
Bruce Schneier aus: Er
verwies auf den Unterschied zwischen gefühlter und realer Sicherheit und forderte neue Konzepte.
Interessant ist seine Idee, dass Sicherheitsprodukte einen asymmetrischen Markt ("Lemon Market")
bilden, bei dem der Käufer weniger über das Produkt weiß als der Hersteller. Auf solchen Märkten
sinkt die Qualität zwangsläufig. Der Ausweg könnte größeres Wissen bei den Anwendern sein. Auch
beim Diskussionsforum "Büchse der Pandora – Jugend und Internet" entstand der Eindruck, dass
technische und regulatorische Maßnahmen wenig helfen. Die Lösung muss im sozialen Bereich und in
der Bildung liegen.
FBI-Berater
Frank Abagnale, ein berühmter ehemaliger
Scheckbetrüger und die Hauptfigur des Films "
Catch me if you can", erwähnte in einem
Gespräch, dass Identitätsdiebstahl heute leichter und profitabler sei als je zuvor, zumal Ethik
dabei kaum noch eine Rolle spiele. Dass dies kein Randthema ist, vermag jeder selbst nachprüfen:
Die
http://www.google.de/search?hl=de&q=fake+ID&meta=">Google-Suche nach "
Fake ID" ergibt über 800.000 Hits. Es geht dabei keineswegs nur um Fälschungen von Pässen und
anderen Dokumenten, wie die ersten Google-Hits suggerieren könnten. Das Problem ist breit
gefächert: Kreditkartenbetrug, Einkauf unter fremdem Namen, gezieltes Mobbing, Ausspähen von
Informationen unter falscher Identität. Ins Detail ging unter anderem ein Vortrag von Paul Wang
(KPMG) und Gilles Gravier (Sun Microsystems) zum Thema "Wie weit haftet man bei
Identitätsdiebstahl?" Im Unterschied zu den europäischen Staaten trägt in den USA das Opfer die
Beweislast, was insbesondere mit dem verbreiteten Missbrauch der Sozialversicherungsnummer zum
Problem geworden ist. Die meisten Opfer sind derzeit übrigens Studenten, da sie im Netz sehr aktiv
sind und dabei viel Information über sich preisgeben.
Wang und Gravier diskutierten die Forderung, nur so viele Daten zu speichern, wie wirklich
benötigt werden. Dies wäre eine wirksame Vorsorge. Allerdings stellt sich die Frage, wie die
Situation kontrolliert werden soll. In der Praxis kommt man zumindest in den USA bereits online an
die Unterschriften vieler Personen heran. Biometrie kann helfen, wirft jedoch auch neue Probleme
auf: Im Unterschied zur digitalen Identität lassen sich biometrische Merkmale nicht widerrufen.
Biometrie bleibt problematisch
Um Biometrie ging es auch im Vortrag von Tim Best (Logica CMG) – genauer gesagt um multimodale
Biometrie, die mehrere Merkmale gleichzeitig auswertet. Interessant war dabei die Idee der
Einbeziehung biografischer Daten wie Alter, Größe und Geschlecht, die die Auswertung der Merkmale
beeinflusst. Sicherlich ist multimodale Biometrie sicherer und besser als die übliche, die nur eine
Art von Merkmalen (Fingerabdruck, Gesicht, Iris und so weiter) nutzt. Zwei kritische Punkte wurden
allerdings nicht erwähnt: Die hohe Ablehnungsquote bei hoch eingestelltem Sicherheitslevel und die
hohen Kosten. Im weiteren Verlauf des Vortrags wurde allerdings klar, dass es bei Best vorwiegend
um Passkontrollen ging, wo derartige Einwände die Hersteller wenig stören. Zumindest wurde erwähnt,
dass sechs Prozent aller Menschen keinen verwertbaren Fingerabdruck liefern, und wie unsicher
Gesichtserkennung oft noch ist: Dem jungen Dozenten wurde von einem Programm Ähnlichkeit mit der
norwegischen Premierministerin beglaubigt. Beunruhigend erscheint, dass in den USA bereits 500
Millionen Fingerabdrücke erfasst wurden. Der Datenschutz läuft der Entwicklung offenbar
hinterher.
Ebenfalls nicht allzu optimistisch stimmte ein Praxisbericht von Ed Giles (The Northern Trust)
über E-Mail-Chiffrierung. "Hier ist die Kryptografie der einfachste Teil", erklärte er. In der
Praxis scheint E-Mail-Chiffrierung eher auf dem Rückzug, und der Vortragende berichtete, welche
Schwierigkeiten beim Durchsetzen einer Sicherheits-Policy zur Verschlüsselung auftreten. Sie
beginnen mit dem Anpassen von E-Mail-Clients und von Spam-Filtern und setzen sich fort über
Schlüsselgenerierung, Schlüsselverlust (der häufigste Schadensfall), Schwierigkeiten mit
Mailing-Listen und Webinterfaces bis hin zu unwilligen Anwendern. Zu seiner Verwunderung ergab eine
Umfrage im Saal, dass mehr Zuhörer OpenPGP als S/MIME nutzten.
Chiffrierte E-Mail schützt Nachrichten bei der Übertragung, den Schutz von Daten auf
Speichermedien behandelte die Keynote von Paul Parke (Safeboot). Verschlüsselte Dateisysteme gibt
es zahlreiche, doch greift dieses Konzept heute zu kurz. Auch die Backups müssen geschützt werden,
was noch zu selten geschieht, und darüber hinaus Netzwerkspeicher und mobile Endgeräte aller Art.
Dabei war zu hören, dass Intel mit seiner Vpro-Technik die Festplattenverschlüsselung im Prozessor
integrieren will, gebunden an ein TPM-Modul – die DRM-Verfechter werden hier jubeln.
Insgesamt blieb nach der sehr interessanten Konferenz der Eindruck, dass zwar viele Methoden zum
Schutz von Daten entwickelt werden, der generelle technische Fortschritt der IT jedoch ein noch
höheres Tempo vorlegt und eine schlüssige Antwort, wie viel Schutz überhaupt möglich und sinnvoll
ist, nach wie vor aussteht.
Lesen Sie mehr zum Thema
