Die diesjährige Deepsec In-Depth Security Konferenz 2020 steht im Zeichen der Wissenschaft und möchte ihren Beitrag zur informationssicheren Digitalisierung liefern. Am 19. Und 20. November wird es in Wien Fachvorträge, Trainings und einen intensiven Austausch mit Experten geben. Der Zweck ist die Weiterbildung von Fachpersonen in der Informationstechnologie, um zukünftig die bestehende Hardware und Software sicher zu gestalten. Die Trainings finden am 17. und 18. November statt.
Das Angebot der Konferenz richtet sich an die Tätigkeitsbereiche Produktentwicklung, Softwareentwicklung, Geschäftsführung, Systemadministration, Forschung und Lehre. Zusätzlich wird ein Internet of Things (IoT) Hacking Village zusammen mit Partnern aufgebaut. Man kann sich direkt mit Experten austauschen und sehen, dass viele Smart Systeme alles andere als sicher sind.
Deepsec Konferenz warnt vor unsicherer Software und mangelnden Kenntnissen der Fachkräfte
Die Monate der Quarantänemaßnahmen in der Corona-Pandemie haben der Bedeutung der Informationstechnologie entschieden Nachdruck verliehen. Zwar ist das Internet schon lange in vielen Branchen integraler Bestandteil von Beruf und Alltag, aber die physischen Beschränkungen aufgrund der Covid-19-Pandemie hätten ohne moderne Telekommunikation noch wesentlich einschneidender für Behörden, die Wirtschaft und die Gesellschaft sein können. Audio-, Video- und Chat-Plattformen haben Schlimmes verhindert. Dem Ruf nach mehr Digitalisierung fehlt allerdings die wichtigste Zutat - die Informationssicherheit.
Publizierte Software ist sicher, oder?
In der Welt der Softwareentwicklung gibt es den inoffiziellen Spruch, dass ein Produkt fertig ist, wenn man es installieren kann. Der Rest ergebe sich ja dann im Betrieb. Das mag nicht die Regel sein. Einige Branchen betreiben sehr gewissenhafte Qualitätssicherung. Oft ist die Popularität der Feind der Qualität. Die Verbreitung von Software ist leider keine geeignete Metrik für die Inhalte. Im Falle der Telekonferenzplattform Zoom konnte man auch gut erkennen, dass dieses Produkt eigentlich für einen ganz anderen Zweck bzw. eine andere Zielgruppe gedacht war. Darüber hinaus sind Fehler in Software gängig und lassen sich nur mit sorgfältigen Tests, Prozessen zum Aufspüren von Fehlfunktionen und Feedbackschleifen zurück zum Code beseitigen. Dieser Weg bedarf Zeit, die Start-ups nicht unbedingt haben. Als Folge daraus ist der Stand der Sicherheit in publizierter bzw. verfügbarer Software bestenfalls unbekannt.
Bevor ein Programm zur Verfügung stehen kann, muss es Design, Prototypen und schließlich eine Implementation geben. Erste Voraussetzung ist das sogenannte Secure Design. Werden am Anfang grundlegende Fehler gemacht, so kann die spätere Implementation daran nichts mehr ändern. Bildlich gesprochen kann ein Auto mit einer Bambuskarosserie bestimmten Herausforderungen nie genügen. Bei Software ist es genauso. Die zweite Voraussetzung ist das Secure Coding, also das Programmieren mit Methoden, die Fehler in der Software minimieren. Das ist die Theorie. Die Praxis sieht anders aus.
Secure Design und Coding sind nicht optional
Secure Design und Coding sind keine Features, welche sich leicht ein- oder ausschalten lassen. Man hat sie entweder berücksichtig, oder sie fehlen. Einen Mittelweg gibt es nicht. Darüber hinaus bietet eine sichere Software gegenüber der gleichartigen, schneller entwickelten, beliebteren und günstigeren Lösung auf den ersten Blick keine unmittelbaren Vorteile. Der Code funktioniert ja in beiden Fällen. Der Unterschied kommt erst in Ausnahmesituationen zum Vorschein. Psychologisch sind Vorteile, die man im normalen Betrieb nie sieht, sehr schwer zu bewerben. Im Falle von Zoom war es zwar einfach, auf die Verfehlungen im Bereich der sicheren Implementation hinzuweisen, aber die Schwächen waren vorher ohne kritisches Hinterfragen weltweit bei allen Installationen in täglicher Verwendung. Es wurden zu wenig Fragen gestellt. Dasselbe Problem findet sich vielfach in Wohnzimmern und Büros weltweit. Ganze Wirtschaftszweige verlassen sich auf Produkte, die sehr komplex sind, über Netzwerke wechselwirken und möglicherweise nie für die Aufgaben, die sie heute verrichten, gedacht waren. Dokumenterstellung und -verarbeitung ist ein weiteres verbreitetes Beispiel.
Solide und nachhaltige Ausbildung ist nötig
Um die Digitalisierung mit Informationssicherheit zu versehen, läuft man in ein didaktisches Dilemma. Methoden der sicheren Softwareentwicklung und des sicheren Designs kann man erst lernen, wenn man ein Grundverständnis von der Funktionsweise von Computern, gängigen Programmiersprachen (Plural, also mehr als eine), Netzwerkprotokollen und Betriebssystemen hat. Ohne Vorwissen lassen sich die grundlegenden Prinzipien nicht erfassen. Aus diesem Grund sind Themen der IT-Security fast ausschließlich Wahlfächer, die man nach seiner Grundausbildung belegt. Die Praxis in Unternehmen bestätigt dies.
Laut Recruitern großer Tech-Firmen aus dem Silicon Valley müssen Sicherheitsspezialisten in mindesten drei verschiedenen Bereichen mehrere Jahre lang gearbeitet haben, um überhaupt für eine Stelle in der Informationssicherheit in Betracht zu kommen. Dieser Ansatz verläuft komplett diametral zur Ausrichtung vieler Ausbildungsstätten. Der viel beschworene Fachkräftemangel im Bereich der Digitalisierung hat oft Ausgebildete zum Ergebnis, die in Rekordzeit wenig gelernt haben - gesehen vom Standpunkt der Sicherheit aus. Eine erfolgreiche Digitalisierung bedingt daher eine solide und nachhaltige Ausbildung von Programmiererinnen und Programmierern sowie allen weiteren Spezialisten und Spezialistinnen im Prozess der Softwareentwicklung. Bits und Bytes ständig zu erwähnen, das Internet zu verwenden oder dauernd die Allmacht der Apps zu beschwören ist nicht ausreichend für eine sichere Zukunft. In der IT-Sicherheit ist Oberflächlichkeit keine Tugend.
Die Deepsec 2020 findet am 19. Und 20. November 2020 im Hotel „The Imperial Riding School Vienna - A Renaissance Hotel“, in der Ungargasse 60, 1030 Wien, statt.
