Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Security Modelle: Quo Vadis?

Wurden wir vor 100 Jahren durch Räuber und die Kavallerie auf dem Pferd bedroht, so waren es vor zehn Jahren die Bankräuber mit Masken und Pistolen und heute sind es die Cyberkriminellen mit Viren und Trojanern, die uns bedrohen. Wer bedroht uns morgen? Es fällt auf, dass die bekannten Security-Modelle schon von einiger Zeit entwickelt wurden und als Hauptziel die Vertraulichkeit und die Verfügbarkeit hatten. Die Modelle wurden entwickelt, als noch kein Anti-Virus System (1987) bekannt war und auch kein Intrusion- Detection-System (1985). Im Jahr 1991 wurde durch Fred Cohen Defense-in-Depth entwickelt. Schaut man die Entwicklung der Informationstechnik in den letzten 30 Jahren an, so ging man damals von anderen Voraussetzungen aus als die Realität heute ist. Viele Betriebssysteme basieren auf diesen Security-Modellen. Sind diese aber noch sicher genug? Wir haben heute viel modernere Mittel, die Bevölkerung und die Systeme sind viel vernetzter, die Komplexität ist viel grösser und das Sicherheitsbewusstsein ist meistens noch zu gering. Meistens sind die Anwendungen, Server in einem Systemverbund. Auf die Daten wird von verschiedenen Systemen zugegriffen oder sie werden kopiert. Je komplexer die Systeme sind und je mehr Systeme es gibt, desto grösser ist die Wahrscheinlichkeit einer Fehlkonfiguration. Wer hat da noch die Übersicht? Sind die Abhängigkeiten bekannt? Wo ist das schwächste Glied? Auswirkungen von fehlender/zu komplexer (IT)Sicherheit kann zu Verwundeten, sogarToten führen (Spitäler, Soldaten). Die Ressourcen der Angreifer sind grösser, die Leistung der Server ist viel höher. Heutzutage ist die Reife der Informationssicherheit höher, aber der Präventionserfolg tiefer als vor 25 Jahren. Immer mehr Geräte sind vernetzt (IoT). Brauchen wir neue Security-Modelle und/oder müssen wir die Komplexität wieder reduzieren? Der Lifecycle von Produkten ist heute viel kürzer; im Lifecycle Management rechnet man heute mit drei bis fünf Jahren. Bei einem Unternehmen mit ca. 60 Anwendungen/Systemen im Einsatz heisst das sieben bis zehn Assessments pro Jahr! Sind etwa zu viele Tools zum Verwalten der Sicherheit in den Firmen im Einsatz? Einerseits helfen sie, den Überblick zu behalten und gewisse Prozesse zu automatisieren. Andererseits sind immer mehr Ressourcen (Personen und Geld) nötig. Vor allem ist immer mehr Spezialwissen erforderlich, was den Einsatz von Spezialisten nachsichzieht. Die Abhängigkeiten von den Spezialisten, die meist nicht im Überfluss auf dem Markt verfügbar steigt, und diese verlangen ein entsprechendes Gehalt. Ist neben Vertraulichkeit und Integrität heutzutage nicht die Verfügbarkeit eine grosse Gefahr? Wie funktioniert die Firma ohne Internet? Wie ist das Privatleben ohne Internetzugang? Meine Meinung ist, dass die bewährten Security-Modelle immer noch ihre Berechtigung haben, aber es braucht zwingend Ergänzungen durch neue Security-Modelle. Es braucht aber auch eine bessere Übersicht, und wir müssen die Komplexität im Griff haben. Ich habe diesen Blogbeitrag spontan erfasst und er ist eher unausgegoren. Er soll anregen, mit Fragen eine Diskussion zu führen. Was meint ihr, wie die Entwicklung der Security-Modelle in der Zukunft aussehen wird? Ich bin gespannt auf euer Feedback und eure Fragen.

---

Blogpost wurde erstellt von Markus Käch im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.