„Ich denke, dass es weltweit einen Markt für vielleicht fünf Computer gibt.“ Thomas Watson, Vorstandsvorsitzender von IBM, 1943
Diese Prognose des einstigen IBM Vorstands ist auch eines der bekanntesten Irrtümer der IT-Geschichte [1]. Da irren menschlich ist, lagen auch in Sachen Security viele Experten mit ihren Aussagen daneben. Wir haben 5 der spannendsten Irrtümer und Falschprognosen der IT-Security-Geschichte gesammelt.
1 | Die Umkehrwalze der Enigma
Die Enigma ist die wohl bekannteste Schlüsselmaschine der Geschichte. Sie wurde im Zweiten Weltkrieg zur Verschlüsselung des Nachrichtenverkehrs des deutschen Militärs verwendet und galt lange Zeit als unüberwindbare Hürde für die Kryptoanalyse. Das kryptografische Konzept enthielt jedoch einige Schwächen und Irrtümer, die letzten Endes dazu führten, dass die Verschlüsselung der Enigma gebrochen werden konnte. Eine der Schwachstellen war die durch Willi Korn patentierte Umkehrwalze [2]. Korn sah vor allem Vorteile:
„Infolge dieser Anordnung ist es möglich, mit verhältnismäßig wenig Chiffrierwalzen auszukommen und trotzdem eine große Chiffriersicherheit aufrechtzuerhalten“, schrieb Korn in der Patentschrift.
Das war jedoch ein Trugschluss. Die Anordnung bewirkte ebenfalls eine drastische Reduzierung der zur Verschlüsselung verfügbaren Alphabete und machte das Verfahren angreifbar, so dass die Verschlüsselung am Ende gebrochen werden konnte.
2 | Das Jahr 2000 Problem (Y2K)
Die Hysterie zum Ende der 90er Jahre bezüglich des Jahr 2000 Problems war intensiv [3]: Viele befürchteten durch das Problem das Ende der IT-Zivilisation zur Jahrtausendwende. Am Ende entpuppte sich alles als die bis da hin größte Ente der IT-Welt, allerdings mit erheblichen Kosten: Der Gesamtaufwand für Y2K-Projekte wurde von Gartner auf weltweit „bis zu 600 Milliarden US-Dollar“ geschätzt.
3 | Technik als Lösung aller Sicherheitsprobleme
Der renommierte Sicherheitsexperte Bruce Schneier revidierte 2001 seine Meinung zur Wirksamkeit von technischen Sicherheitsmaßnahmen. Im Vorwort zu seinem Bestseller Secret & Lies [4] schreibt er: „Falls Sie glauben, dass Technologie Ihre Sicherheitsprobleme lösen kann, verstehen Sie die Probleme nicht, und Sie haben von Technologie keine Ahnung.“ Er kritisiert damit auch sein ebenfalls als Bestseller verkauftes Buch Applied Cryprography, in dem er Technik nach eigener Aussage „ziemlich naiv“ als die Lösung aller Probleme beschrieb.
4 | In zwei Jahren wird das Spam-Problem gelöst sein
Diese Aussicht klingt verlockend. Das dachte sicher auch Bill Gates als er bereits im Jahr 2004 genau das ankündigte. Auf dem Weltwirtschaftsforum in Davos schlug er eine Art elektronische Briefmarke vor, mit der das Spam-Aufkommen reduziert werden sollte [5]. Würde die Nachricht vom Empfänger als Spam eingeordnet, sollte der Absender zahlen. Das sollte vor allem für Versender von Massen-Mails teuer werden. Große Fortschritte bei der Bekämpfung von Spam-Nachrichten würden noch im Laufe des Jahres gemacht werden, prophezeite Gates seinerzeit. Leider macht Spam auch heute noch zwischen 70% und 90% des weltweiten Mailverkehrs aus und wir sind weit davon entfernt, das Spam-Problem im Griff zu haben.
5 | Mit uns wäre Carbanak nicht passiert
Anfang 2015 sorgte ein Banküberfall bisher nicht dagewesenen Ausmaßes für Aufsehen. Die sogenannte Carbanak-Bande erbeutete im Rahmen eines Cyber Angriffs bei über hundert Banken bis zu einer Milliarde Dollar. Ein namhafter Security Anbieter verkündete daraufhin in seinem Blog, dass es mit seinem Produkt nicht zu den Überfällen gekommen wäre. So einfach ist das aber nicht, da trotz großer Schadenssumme die Wirtschaftlichkeit der Maßnahme nicht gegeben wäre.
Auch mit der entsprechenden Security-Software in den durch Carbanak betroffenen Geldhäusern hätte es einen Angriff in ähnlicher Form gegeben: in anderen Geldhäusern irgendwo auf der Welt. Carbanak hätte auf diesem Wege höchstens verhindert werden können, wenn die schützende Software dauerhaft in allen Geldhäusern der Welt installiert worden wäre. Dann jedoch stellt sich die Frage, ob ein Security-Anbieter das weltweit für weniger als einer Milliarde als Service anbieten würde.
Allein in Deutschland gibt es über 2000 Kreditinstitute, weltweit entsprechend mehr. Setzt man die gesamte, weltweite Schadensumme als Rechengrundlage an, ergäbe das nur für die deutschen Banken in diesem risikoorientierten Business-Case einmalig maximal 500.000 EUR pro Institut – weltweit entsprechend weniger. Mit diesem Geld müsste die Software ausgerollt und dauerhaft betrieben werden. Investitionskosten der Sicherheitsmaßnahme und Schadenshöhe stehen in keinem Verhältnis, das die Investition in die Sicherheitssoftware auf Grundlage des Carbanak-Falls rechtfertigt. Aus dem Blog des Herstellers ist der Beitrag übrigens mittlerweile verschwunden. Es existiert allerdings noch ein Repost [6].
Weitere Einblicke zum Thema Cyber Security gesucht?
Die Irrtümer 3 und 5 tauchen auch im Buch Cyber Security: Ein Einblick für Wirtschaftswissenschaftler von CycleSEC Geschäftsführer Sebastian Klipper als Fallbeispiele auf. In diesem Buch erfahren wirtschaftswissenschaftlich geprägte Leser, u.a. wie Firmen nach Hackerangriffen vom Markt verschwinden und wie Hacker Aktienkurse beeinflussen können. ohne technisches Grundwissen vorauszusetzen, beschreibt das Buch anhand aktueller Vorfälle, was Ökonomen wissen müssen, um sich am Gespräch über eines der wichtigsten Zukunftsthemen unserer Zeit beteiligen zu können. Das Buch wird am 06.12.2015 bei Springer Vieweg erscheinen und kann zum Preis von 9.99€ zum Beispiel bei Amazon vorbestellt werden.
Quellen
[1] https://de.wikipedia.org
[2] http://www.cdvandt.org
[3] https://de.wikipedia.org
[4] Bruce Schneier (2001) Secrets & Lies: IT-Sicherheit in einer vernetzten Welt. dpunkt.verlag, Heidelberg
[5] https://www.pcwelt.de/ratgeber/Die_spektakulaersten_Fehlprognosen_der_IT-Geschichte-6948150.html
[6] https://researchcenter.paloaltonetworks.com/2015/02/sophisticated-palo-alto-networks-traps-would-prevent-the-carbanak-campaign/