Kolumne
09.01.2020, 06:21 Uhr
Cybersecurity verlangt Offenheit
Es wird viel über Cybersecurity geredet, meist aber wenig gesagt. Wissen und Transparenz fehlen. Statt andere Länder zu imitieren, sollten wir uns auf gutes Engineering konzentrieren.
Experimentelle Forschung zu Software-Entwicklung hat in Deutschland gezeigt, dass Entwickler dazu tendieren, Passwörter ohne Zugriffsschutz zu implementieren. Ein sicheres Design ist keine fachliche Selbstverständlichkeit. Ganz im Gegenteil. Selbst bei explizitem Hinweis wird Sicherheit meist nur rudimentär implementiert. Gilt das auch für die Praxis in der Schweiz?
Meine eigene Erfahrung hat mich gelehrt, dass selbst viele Top-Leute sich IT-Systeme als zentrale Systeme vorstellen und mit Zuverlässigkeitskonzepten nicht vertraut sind. Das gilt natürlich nicht für jene, die Steuerungs-Software für Flugzeuge oder autonomes Autofahren entwickeln. Aber auch in ganz banalen Anwendungsbereichen wäre es gelegentlich nützlich, IT-Lösungen korrekt zu designen. Leider gibt es genügend Anreize, das nicht zu tun. Mit sachlichen Analysen wird man schnell zum Verhinderer, der Ideen aus der Direktion blockiert. Zudem muss man sich regelmässig weiterbilden. Vor allem aber geben Spezialisten oft schlechte Vorbilder ab.
Bekannt ist seit Langem, dass für die Mehrheit der Schweizer KMU Cybersecurity kein Thema ist. Sie machen nicht einmal den Schnelltest von ICTswitzerland. Weniger bekannt ist die Mischung aus diffusen Abstraktionen, obskuren Spekulationen und kühnen Thesen, die Teile des Expertendialogs prägen. Dort werden Klarheit und Genauigkeit gern durch Dialektik ersetzt, kombiniert mit dem Verweis auf das Vorbild anderer Länder.
Teillösungen als Wundermittel verkauft
Auf Experten-Veranstaltungen hört man immer wieder, dass Cybersecurity für die Schweiz in erster Linie eine grossartige wirtschaftliche Wachstumschance sei. Was für ein Glück, dass es so viele Verbrecher gibt! Es wird auch gern viel Zeit mit sehr speziellen Diskussionen verbracht, beispielsweise der Forderung, dass der Staat (= die Steuerzahler) Cybersecurity-Firmen direkt subventionieren sollten, während gleichzeitig die Einwohner vom Staat (= der Verwaltung) keinen Schutz erwarten dürften.
“Was für ein Glück, dass es so viele Verbrecher gibt!„
Reinhard Riedl
Zur Schweiz gehört die Erfahrung, dass selbst funktionierende technische Lösungen keine Akzeptanz finden. Trotzdem werden Teillösungen als Wundermittel angepriesen – beispielsweis verkaufen einige Spezialisten die Ende-zu-Ende-Verschlüsselung als Garant für Sicherheit. Der Effekt ist jeweils vor allem der, dass Sicherheitsbemühungen auf anderen Ebenen torpediert werden, beispielsweise solche bei der Passwortimplementierung.
Auf die Ingenieursstärken konzentrieren
Für die Start-up-Szene sind die Folgen ambivalent. Wer gute Geschichten erzählt und schlagfertig beim Argumentieren ist, profitiert. Wer nachhaltige Lösungen anbietet, kann schnell untergehen. Oft ist nicht einmal ersichtlich, wie zwei neue Teillösungen zueinander stehen. Die von der Expertenszene ausgegebene Losung «viele Start-ups = viel Sicherheit» erleichtert zwar die in der Schweiz chronisch schwierige Finanzierung des Unternehmensaufbaus, aber dahinter steht ein Föifer-und-Weggli-Wunschdenken: Man hätte gerne Israels wirtschaftlichen Erfolg, aber mit den politischen Mitteln der Schweiz.
Wir benötigen stattdessen eine Abkehr vom Imitieren anderer Kulturen und eine Rückbesinnung auf gutes Schweizer Engineering. Zu dem gehören profundes Wissen, eine klare Sprache und präzises Denken, ergänzt durch einen ganzheitlichen Blick auf die Herausforderungen einer multirationalen Gesellschaft. Wir sollten den Nutzen von Wissen, Klarheit und Genauigkeit nicht unterschätzen!
Zum Autor
Reinhard Riedl
ist Präsident der Schweizer Informatik Gesellschaft. Riedl beschäftigt sich mit digitalen Ökosystemen und leitet das transdisziplinäre Forschungszentrum «Digital Society» an der Berner Fachhochschule.
Autor(in)
Computerworld
Redaktion