Institut für Internet-sicherheit - if(is)
IT-Technologien müssen für die digitale Zukunft robuster werden
Wir brauchen robuste IT-Technologien, um negative Auswirkungen, hervorgerufen durch einen marginalen Softwarefehler in Zukunft zu vermeiden.
Kleine Ursache, aber eine große Wirkung
Am Freitag haben wir es leider wieder erleben müssen, welche Auswirkungen ein einziger Softwarefehler haben kann. Ein Softwarefehler in einem Update der IT-Sicherheitsfirma Crowdstrike hat dafür gesorgt, dass nicht nur deren IT-Sicherheitsanwendung, sondern das ganze Microsoft-System nicht mehr funktioniert hat. Das waren nach ersten Schätzungen von Microsoft in der Summe 8,5 Millionen IT-Systeme weltweit.
Das wiederum hatte zum Beispiel katastrophale Folgen für den Betrieb von Flughäfen, Krankenhäusern und Bankensysteme: Aus diesem Grund sind sehr viele Flüge ausgefallen, Operationen konnten nicht durchgeführt werden, Zahlungen mussten verschoben werden und sehr viele Mitarbeiter konnten ihre Tätigkeiten nicht ausführen. Die direkten und indirekten Schäden sind enorm und werden sicherlich noch konkret berechnet.
Unsere heutige IT ist keine gute Basis für die digitale Zukunft
In unseren IT-Systemen, IT-Infrastrukturen, IT-Technologien sowie Anwendungssystemen werden zunehmend mehr Software auch von verschiedensten Drittanbietern eingebunden, weil die technologischen Herausforderungen durch die schnelle Digitalisierung immer größer werden. Dadurch steigt die Komplexität unserer IT und des Internets. Aber gleichzeitig steigen damit auch die Abhängigkeiten aller genutzten Drittanbieter und die Risiken werden größer, wie der Softwarefehler bei der Firma Crowdstrike gezeigt hat. Auch wenn die Softwarequalität kontinuierlich verbessert wird, werden in der Zukunft immer wieder solche Softwarefehler, aber auch gezielte Angriffe auftreten. Aus diesem Grund werden dringend neue IT-Sicherheitsarchitekturen-, Konzepte und Funktionen benötigt, die deutlich robuster sind.
Unsere IT-Technologien müssen robuster werden
Damit alle IT-Systeme (Smartphones, Notebooks, Server, Cloud-Systeme …) robust umgesetzt werden können, werden moderne und sichere IT-Sicherheitsarchitekturen-, Konzepte und Funktionen benötigt, mit denen eine deutlich höheren Robustheit und ein höherer IT-Sicherheitslevel umgesetzt werden kann.
Mithilfe von robusten IT-Sicherheitsarchitekturen können die Auswirkungen von Softwarefehlen, aber auch die böswillige Manipulation von Angreifern, deutlich eingeschränkt werden können.
Robuste IT-Sicherheitsarchitekturen arbeiten mit einer kleinen vertrauenswürdigen Softwarebasis, die besonders sicher umgesetzt ist. Auf dieser vertrauenswürdigen Softwarebasis werden modular Softwareanwendungen in sogenannten virtuellen Maschinen isoliert voneinander zur Ausführung gebracht. Der Vorteil von dieser modularen IT-Architektur ist, dass auftretende Fehler in einer virtuellen Maschine in einem geschlossenen Bereich begrenzt bleiben und nicht das ganze IT-System zum Absturz bringen. Ein Softwarefehler, der bei einer solchen IT-Architektur auftreten würde, hätten nur eine eingeschränkte Auswirkung.
Wo liegen die Probleme und können diese gefixt werden?
Moderne und sichere IT-Sicherheitsarchitekturen stehen im Prinzip schon sehr lange zur Verfügung, werden aber von den monopolistischen Anbietern noch nicht ausreichend und offen genug umgesetzt.
Gründe dafür sind: Diese robusten IT-Sicherheitsarchitekturen haben einen etwas höheren Leistungsbedarf, der aber bei den immer leistungsfähigeren IT-Systemen nicht wirklich ein Problem darstellt. Aber solche neuen IT-Architekturen müssen offener mit sehr vielen Drittanbietern umgesetzt werden, was dem Geschäftsmodell der Monopolisten entgegenwirkt.
Um aber weiter in eine verlässliche digitale Zukunft zu investieren, müssen wir unsere IT so aufbauen, dass solche katastrophalen Folgen nicht mehr auftreten.
Eine derart radikale Veränderung der IT-Sicherheitsarchitektur werden wir nur umsetzen können, wenn alle Stakeholder aus der Wirtschaft, Wissenschaft und Staat deutlich enger zusammenarbeiten und gemeinsam zielgerichtet handeln.
Jetzt ist der richtige Zeitpunkt zu handeln
Die digitale Zukunft kann nur mit sicheren, vertrauenswürdigen und vor allem robusten IT-Technologien umgesetzt werden, wie der Crowdstrike-Vorfall deutlich macht. Wir sollten diesen fatalen Vorfall als Weckruf nehmen, unsere digitale Zukunft entsprechend aktiv so zu gestalten, dass wir die IT im Griff haben und nicht umgekehrt.
