Der digitale Daemon

Virtualisierung und Verschlüsselung. »Sandboxes« ermöglichen es, potenziell gefährliche Anwendungen gefahrlos in einer isolierten Umgebung zu nutzen. Pseudonyme für verschiedene Bereiche unterstützen die Nutzer darin, den Datenfluss zwischen verschiedenen Bereichen zu kontrollieren, so dass Daten desselben Nutzers in verschiedenen Bereichen nicht miteinander verknüpft werden können.
    Es sollten immer mehrere Stellen existieren, an denen derselbe Fehler abgefangen werden kann. Vertrauliche Daten können zum Beispiel durch Zugriffskontrolle geschützt werden. Filter, die in ausgehenden E-Mails nach vertraulichen Daten suchen, könnten eine zweite Verteidigungslinie bilden.
    Auch fehlerfreundliche Architekturen brauchen einen »Anker«, der als sicher und vertrauenswürdig angenommen werden darf, und von dem aus das restliche System aufgebaut und hochgefahren werden kann. Hier werden Konzepte des trusted computing zum Einsatz kommen.
Die Rolle von Forschung und Entwicklung in der IT-Sicherheit
    IT-Sicherheit ist ein andauernder Wettlauf zwischen den »Guten« und den »Bösen«. Die heutige IT bietet bereits mehr als genug Schwachstellen, an denen die »Bösen« angreifen können, und mit jeder neuen Technologie und neuen Anwendung eröffnen sich ihnen neue Möglichkeiten. Nur durch aktive Forschung und Entwicklung kann IT-Sicherheit dauerhaft ausreichend gewährleistet werden.
    Diese Erkenntnis spiegelt sich in der Entwicklung der deutschen Forschungslandschaft wider: Im akademischen Umfeld gibt es große Forschungsinstitute in Darmstadt (Center for Advanced Security Research Darmstadt, CASED) und Bochum (Horst-Görtz-Institut, HGI). Das BMBF fördert seit 2011 drei große Cybersecurity-Zentren an den Universitäten Darmstadt (EC-SPRIDE), Karlsruhe (KASTEL) und Saarbrücken (CISPA). In der Fraunhofer-Gesellschaft gibt es vier Institute, die sich ganz oder teilweise Themen der IT-Sicherheit widmen (SIT in Darmstadt, FKIE in Bonn, AISEC in München und IOSB in Karlsruhe). In der Summe darf Deutschland als der in Europa führende Standort für IT-Sicherheitsforschung gelten.
    Der nächste Schritt ist, diese geballte Forschungskapazität und den Ruf Deutschlands als ein Land der Ingenieure in Produkte und Dienstleistungen mit »IT-Security made in Germany« umzusetzen. Gerade für neue Technologien wie Cloud Computing, Cyberphysical Systems und Mobile Computing, Smart Infrastructures und Big Data bietet sich hier für die Industrie in Deutschland und Europa eine Marktchance, die nicht verpasst werden sollte.
    5 Allgemeinverständliches zur IT-Sicherheit findet man z. B. auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik (https://www.bsi-fuer-buerger.de).
    6 Statistisches Bundesamt: »Unfallentwicklung auf deutschen Straßen 2010«, Wiesbaden 2011 (http://www.destatis.de).
    7 P. Mell, T. Grance: The NIST Definition of Cloud Computing , NIST Special Publication 800–145, Gaithersburg, MD 2011 (http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf). Wir verwenden Cloud gleichbedeutend mit Public Cloud. Beispiele sind die Angebote von Amazon, Google oder Salesforce. Daneben gibt es auch Private Clouds, die dieselbe Technologie verwenden, aber nur von einer Organisation genutzt werden und damit sehr viel einfacher abzusichern sind.
    8 European Network and Information Security Agency (ENISA): Cloud Computing Security Risk Assessment , Heraklion 2009 (http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment).
    9 M. Borgmann, T. Hahn, M. Herfert, T. Kunz, M. Richter, U. Viebeg, S. Vowé: »On the Security of Cloud Storage Services«, SIT Technical Reports, SIT-TR-001, Darmstadt 2012.
    10 S. Bugiel, T. Pöppelmann, S. Nürnberger, A. Sadeghi, T. Schneider: »Amazon IA – When Elasticity Snaps Back«, 2011 ACM Conference on Computer and Communications Security (CCS 2011), S. 389.
    11 BSI: »Die Lage der IT-Sicherheit in Deutschland 2011«, Bonn 2011 (https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html). Microsoft: » Microsoft Security Intelligence Report « , Vol. 12 (7-12/2011), Redmond 2012 (http://www.microsoft.com/security/sir/default.aspx).
    12 BSI: »Register aktueller Cyber-Gefährdungen und -Angriffsformen« (BSI-A-CS 001), Bonn 2012
(https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Gefaerdungslage/Register/cs_Register_node.html).
    13 Panda Security Report: » The Cyber-Crime Black Market « , 2010