Security is a process!

5 Irrtümer und Falschprognosen in der IT-Security-Geschichte

„Ich denke, dass es weltweit einen Markt für vielleicht fünf Computer gibt.“ Thomas Watson, Vorstandsvorsitzender von IBM, 1943

Diese Prognose des einstigen IBM Vorstands ist auch eines der bekanntesten Irrtümer der IT-Geschichte [1]. Da irren menschlich ist, lagen auch in Sachen Security viele Experten mit ihren Aussagen daneben. Wir haben 5 der spannendsten Irrtümer und Falschprognosen der IT-Security-Geschichte gesammelt.

1 | Die Umkehrwalze der Enigma

Die Enigma ist die wohl bekannteste Schlüsselmaschine der Geschichte. Sie wurde im Zweiten Weltkrieg zur Verschlüsselung des Nachrichtenverkehrs des deutschen Militärs verwendet und galt lange Zeit als unüberwindbare Hürde für die Kryptoanalyse. Das kryptografische Konzept enthielt jedoch einige Schwächen und Irrtümer, die letzten Endes dazu führten, dass die Verschlüsselung der Enigma gebrochen werden konnte. Eine der Schwachstellen war die durch Willi Korn patentierte Umkehrwalze [2]. Korn sah vor allem Vorteile:

„Infolge dieser Anordnung ist es möglich, mit verhältnismäßig wenig Chiffrierwalzen auszukommen und trotzdem eine große Chiffriersicherheit aufrechtzuerhalten“, schrieb Korn in der Patentschrift.

Das war jedoch ein Trugschluss. Die Anordnung bewirkte ebenfalls eine drastische Reduzierung der zur Verschlüsselung verfügbaren Alphabete und machte das Verfahren angreifbar, so dass die Verschlüsselung am Ende gebrochen werden konnte.

2 | Das Jahr 2000 Problem (Y2K)

Artikelbild-Y2K
Das Kürzel Y2K sorgte Ende der 90er für Angst und Schrecken.

Die Hysterie zum Ende der 90er Jahre bezüglich des Jahr 2000 Problems war intensiv [3]: Viele befürchteten durch das Problem das Ende der IT-Zivilisation zur Jahrtausendwende.  Am Ende entpuppte sich alles als die bis da hin größte Ente der IT-Welt, allerdings mit erheblichen Kosten: Der Gesamtaufwand für Y2K-Projekte wurde von Gartner auf weltweit „bis zu 600 Milliarden US-Dollar“ geschätzt.

3 | Technik als Lösung aller Sicherheitsprobleme

Der renommierte Sicherheitsexperte Bruce Schneier revidierte  2001 seine Meinung zur Wirksamkeit von technischen Sicherheitsmaßnahmen. Im Vorwort zu seinem Bestseller Secret & Lies [4] schreibt er: „Falls Sie glauben, dass Technologie Ihre Sicherheitsprobleme lösen kann, verstehen Sie die Probleme nicht, und Sie haben von Technologie keine Ahnung.“ Er kritisiert damit auch sein ebenfalls als Bestseller verkauftes Buch Applied Cryprography, in dem er Technik nach eigener Aussage „ziemlich naiv“ als die Lösung aller Probleme beschrieb.

4 | In zwei Jahren wird das Spam-Problem gelöst sein

Stempel
Irren ist menschlich: Nicht nur Gates lag mal daneben.

Diese Aussicht klingt verlockend. Das dachte sicher auch Bill Gates als er bereits im Jahr 2004 genau das ankündigte. Auf dem Weltwirtschaftsforum in Davos schlug er eine Art elektronische Briefmarke vor, mit der das Spam-Aufkommen reduziert werden sollte [5]. Würde die Nachricht vom Empfänger als Spam eingeordnet, sollte der Absender zahlen. Das sollte vor allem für Versender von Massen-Mails teuer werden. Große Fortschritte bei der Bekämpfung von Spam-Nachrichten würden noch im Laufe des Jahres gemacht werden, prophezeite Gates seinerzeit. Leider macht Spam auch heute noch zwischen 70% und 90% des weltweiten Mailverkehrs aus und wir sind weit davon entfernt, das Spam-Problem im Griff zu haben.

5 | Mit uns wäre Carbanak nicht passiert

Anfang 2015 sorgte ein Banküberfall bisher nicht dagewesenen Ausmaßes für Aufsehen. Die sogenannte Carbanak-Bande erbeutete im Rahmen eines Cyber Angriffs bei über hundert Banken bis zu einer Milliarde Dollar. Ein namhafter Security Anbieter verkündete daraufhin in seinem Blog, dass es mit seinem Produkt nicht zu den Überfällen gekommen wäre. So einfach ist das aber nicht, da trotz großer Schadenssumme die Wirtschaftlichkeit der Maßnahme nicht gegeben wäre.

Auch mit der entsprechenden Security-Software in den durch Carbanak betroffenen Geldhäusern hätte es einen Angriff in ähnlicher Form gegeben: in anderen Geldhäusern irgendwo auf der Welt. Carbanak hätte auf diesem Wege höchstens verhindert werden können, wenn die schützende Software dauerhaft in allen Geldhäusern der Welt installiert worden wäre. Dann jedoch stellt sich die Frage, ob ein Security-Anbieter das weltweit für weniger als einer Milliarde als Service anbieten würde.

Allein in Deutschland gibt es über 2000 Kreditinstitute, weltweit entsprechend mehr. Setzt man die gesamte, weltweite Schadensumme als Rechengrundlage an, ergäbe das nur für die deutschen Banken in diesem risikoorientierten Business-Case einmalig maximal 500.000 EUR pro Institut – weltweit entsprechend weniger. Mit diesem Geld müsste die Software ausgerollt und dauerhaft betrieben werden. Investitionskosten der Sicherheitsmaßnahme und Schadenshöhe stehen in keinem Verhältnis, das die Investition in die Sicherheitssoftware auf Grundlage des Carbanak-Falls rechtfertigt. Aus dem Blog des Herstellers ist der Beitrag übrigens mittlerweile verschwunden. Es existiert allerdings noch ein Repost [6].

Weitere Einblicke zum Thema Cyber Security gesucht?

CyberSecurityCover
Sebastian Klipper, Cyber Security: Ein Einblick für Wirtschaftswissenschaftler Springer Vieweg, 2015; 47 Seiten; 9,99€; ISBN: 978-3-658-11576-0

Die Irrtümer 3 und 5 tauchen auch im Buch Cyber Security: Ein Einblick für Wirtschaftswissenschaftler von CycleSEC Geschäftsführer Sebastian Klipper als Fallbeispiele auf. In diesem Buch erfahren wirtschaftswissenschaftlich geprägte Leser, u.a. wie Firmen nach Hackerangriffen vom Markt verschwinden und wie Hacker Aktienkurse beeinflussen können. ohne technisches Grundwissen vorauszusetzen, beschreibt das Buch anhand aktueller Vorfälle,  was Ökonomen wissen müssen, um sich am Gespräch über eines der wichtigsten Zukunftsthemen unserer Zeit beteiligen zu können. Das Buch wird am 06.12.2015 bei Springer Vieweg erscheinen und kann zum Preis von 9.99€ zum Beispiel bei Amazon vorbestellt werden.

Quellen

[1] https://de.wikipedia.org
[2] http://www.cdvandt.org
[3] https://de.wikipedia.org
[4] Bruce Schneier (2001) Secrets & Lies: IT-Sicherheit in einer vernetzten Welt. dpunkt.verlag, Heidelberg
[5] https://www.pcwelt.de/ratgeber/Die_spektakulaersten_Fehlprognosen_der_IT-Geschichte-6948150.html
[6] https://researchcenter.paloaltonetworks.com/2015/02/sophisticated-palo-alto-networks-traps-would-prevent-the-carbanak-campaign/

Veröffentlicht am

Foto des Autors

Dieser Beitrag kommt von

Sebastian Klipper

Sebastian Klipper ist Geschäftsführer und Eigentümer der CycleSEC GmbH. Er ist Autor mehrerer Fachbücher zu den Themen Cyber Security, ISMS-Implementierung mit ISO/IEC 27001 und Risikomanagement.

Sie haben noch Fragen?

Nehmen Sie Kontakt zu uns auf:

Hier geht's zum Kontaktformular

Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

Informationen zu Coockies

Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

Schließen