Der digitale Daemon

einer gut gewählten Cloud besser fahren werden als mit einer selbst betriebenen IT. Für Großunternehmen und -einrichtungen lassen sich die Effizienz und Kostenvorteile von Clouds oft auch intern, durch Private Clouds, oder durch klassisches Outsourcing realisieren.
    Sicherheitstechnologie dient dazu, Nutzen und Risiken in der Balance zu halten. Man kann IT-Sicherheit leicht als »Innovationsbremser« missverstehen. Wie das Beispiel Cloud zeigt, gibt es aber tatsächlich keine Innovation in der IT ohne gleichzeitige Innovation in der IT-Sicherheit.
IT-Sicherheit als Problem
    Das Thema Sicherheit stellt offensichtlich ein großes Problem für die IT-Industrie dar. Forscher und Anbieter von Sicherheitslösungen sind sich einig, dass die Sicherheitslage gleichbleibend problematisch ist. 11
    Wir alle kennen Beispiele für Angriffe auf IT-Systeme: 12
    - Spam und Phishing zum Ausspähen von Kontodaten. Dateneinbrüche in Firmen, bei denen meist Geschäftsgeheimnisse oder die Passwörter und Kreditkartendaten der Kunden dieser Firma das Ziel sind. Lahmlegen von Websites durch eine Flut sinnloser Anfragen ( distributed denial of service ) als moderne Form der Sitzblockade.
    - Drive-by-Angriffe über kompromittierte Webserver, bei denen schon das Ansehen einer Webseite zur unbemerkten Infektion mit einem Trojaner führen kann. Solche Trojaner können den infizierten Rechner komplett unter die Kontrolle des Angreifers bringen und beispielsweise als Plattform für weitere Angriffe missbrauchen. Angriffe richten sich auch auf den Herstellungsprozess von IT und resultieren dann in Software oder Hardware, die schon bei der Auslieferung Trojaner enthalten.
    - Am Ende des Spektrums stehen Advanced Persistent Threats, kurz APTs, die auf einzelne Einrichtungen oder Personen ausgerichtet sind und oft sehr aufwendig vorbereitet und mit viel Zeit und Kosten durchgeführt werden. Das bisher spektakulärste Beispiel für einen solchen Angriff war »Stuxnet«, ein Computer-Wurm, der gezielt die iranische Urananreicherung sabotierte.
    Die Vorbereitung und Durchführung von Angriffen erfolgt oft sehr professionell. Es hat sich eine arbeitsteilige Industrie entwickelt, mit Spezialisten für alle Schritte: das Erforschen und Aufbereiten neuer Schwachstellen, die Automatisierung von Angriffen, die Bereitstelleung von Tools als Dienstleistungen, die Durchführung der Angriffe an sich und die »Vermarktung« der Resultate. 13
    Neue Technologien wie Cloud Computing bieten zwar neue Angriffswege, die Angriffsmethoden und -absichten bleiben jedoch gleich.
Angriffe nutzen fast immer Fehler im IT-System aus.
    Solche Fehler können in allen Phasen des Lebenszyklus auftreten: Sicherheitsanforderungen werden falsch verstanden.
    - Software wird falsch programmiert.
    - Bei der Installation werden vordefinierte Passwörter vom Nutzer nicht geändert (das sind gleich zwei Fehler: der Hersteller müsste den Nutzer eigentlich zwingen, sie zu ändern).
    - Mitarbeitern werden Rechte zugewiesen, es wird aber vergessen, sie ihnen bei Abteilungswechseln wieder zu entziehen.
    - Administratoren ändern Konfigurationen, vergessen aber, die Änderungen zu dokumentieren – wodurch irgendwann der Überblick über die IT und damit die Reaktionsfähigkeit auf Angriffe verloren geht.
    - Sehr häufig wird auch vergessen, vor dem Entsorgen von IT-Komponenten (vom Fileserver bis zum persönlichen Smartphone) die gespeicherten Daten unwiederherstellbar zu löschen.
Es gibt viele Ursachen für solche Fehler.
    Der Entwurf und die Administration von IT sind sehr komplex, und diese Komplexität steigt immer weiter. Vielen Informatikern mangelt es am Grundwissen zur IT-Sicherheit, und der Arbeitsmarkt für erfahrene Sicherheitsexperten ist praktisch leergefegt. Ganz generell kann man Fehlerraten reduzieren durch Standardisierung von Prozessen und Komponenten sowie durch Automatisierung von Entwurf, Test und Administration. In all diesen Bereichen mangelt es an der IT-Sicherheit. Teils existiert die Technologie (z. B. zum IT-Sicherheitsmanagement), wird aber zu selten oder falsch eingesetzt. Teils fehlt es noch an den technischen Grundlagen (z. B. in der Entwurfsautomatisierung).
    Ein weiteres fehlerträchtiges Problem ist die schlechte Benutzbarkeit von IT-Sicherheit. Die meisten Nutzer verfügen über kein intuitives Verständnis dafür, wovon die Sicherheit ihres Systems abhängt. Dementsprechend werden zeitaufwendige Sicherheitsregeln umgangen, Entscheidungen falsch getroffen