Newsfeed abonnieren
Die Liste der Vortragenden auf der RSA-Konferenz liest sich wie ein Who-is-who der IT-Security-Branche und reicht von Craig Mundie, Chief Research and Strategy Officer von Microsoft und John W. Thompson, CEO von Symantec über die IT-Gurus Hugh Thompson und Bruce Schneier bis hin zum Erfolgsbuchautor Malcom Gladwell ("Blink! Die Macht des Moments" und "Der Tipping Point. Wie kleine Dinge Großes bewirken"). Mehr als Publikumsmagnet denn als Security-Experte referierte selbst der ehemalige US-Vizepräsident Al Gore auf der RSA - allerdings weniger über sichere als über umweltschonende Technologien.
Neben den einzelnen Lösungen, die die 350 Aussteller in der Messehalle zeigten, ging es im Moscone-Center in San Francisco vor allem um neue Gefahrenpotenziale und Security-Trends. Tatsächlich hat sich das Bedrohungsszenario verändert, ist Paul Stamp, Analyst bei dem Marktforschungsunternehmen Forrester Research, überzeugt. So hätten sich die Unternehmen noch nicht mit entsprechenden Sicherheitsrichtlinien auf die neuen Gefahren eingestellt, die die stetig zunehmenden mobilen Einsatzszenarien mit Notebooks, Blackberrys und Smartphones mit sich brächten.
Der Buchautor Malcolm Gladwell hielt einen packenden Vortrag darüber, wie man zur richtigen Entscheidung findet.
Dabei sollte heute das Hauptaugenmerk weniger auf den Schutz der IT-Infrastruktur gerichtet werden, so Stamp, sondern auf den Schutz der Daten und Vorbeugung vor Datenverlust. Im Falle eines Falles muss die schnelle Wiederherstellung der Daten möglich sein.
Microsoft ruft Industrie zum Dialog
Microsofts Bereichsleiter für Forschung und Strategie, Craig Mundie, nutzte die RSA-Konferenz um anstelle einer sonst üblichen neuen Strategieankündigung zum branchenweiten Dialog der IT-Hersteller aufzurufen. Das von Mundie angestrebte Ziel heißt "End-to-end-Trust" und bezeichnet eine vertrauenswürdige Kommunikation im Internet. Dazu sind laut Mundie drei Forderungen zu erfüllen:
- Die Entwicklung einer sicheren Kette, in der jedes Glied authentifiziert werden kann und vertrauenswürdig ist - angefangen vom Betriebssystem über Anwendungen bis hin zu Menschen und Daten.
- Ein System, das es Anwendern erlaubt, weitgehend über den Grad ihres Identitätsnachweises zu bestimmen, während gleichzeitig die Authentifizierungs-, Autorisierungs- und Zugriffsvorgänge gewahrt werden.
- Eine engere Zusammenarbeit aller Beteiligten in technischer, politischer, sozialer und wirtschaftlicher Hinsicht, um zügige Fortschritte zu erzielen, die zur Erreichung der "End-to-end-Trust"-Vision führen.
Eine genaue Beschreibung der End-to-end-Trust-Initiative hat Microsoft in einem White Paper niedergelegt, das unter www.microsoft.com/endtoendtrust zum Download bereitsteht. Die Zeit für diesen Dialog ist reif, meint auch der Verfasser des Weißpapiers Scott Charney, Bereichsleiter Trustworthy Computing bei Microsoft. So sind wichtige Technologien wie die Public Key Infrastructure (PKI) oder SmartCards bereit für einen breiten Einsatz. Es sei jetzt möglich, glaubt Charney, die Sicherheit zu erhöhen und dabei gleichzeitig den Schutz der persönlichen Daten zu verstärken. So muss nicht immer der ganze Name als Identitätsnachweis gefordert sein, manchmal reiche auch die Angabe von Alter oder Staatsbürgerschaft, erklärt Charney.
Der Security-Guru Bruce Schneier ging diesmal der psychologischen Seite der Sicherheit nach.
Im Privatanwenderbereich hat Microsoft ihren auch in Österreich verfügbaren Online-Dienst Windows Live One Care (http://onecare.live.com) zur Bekämpfung von Schadsoftware ausgebaut. Mit dieser Lösung konkurriere man weniger mit bekannten Anbietern von Antivirus-Software, sondern "gegen Anwender, die nicht hinreichend vor Schadsoftware geschützt sind", sagt Amy Barzdukas, Senior Director von Windows Live OneCare bei Microsoft. Immerhin verwendeten 60% der Privatanwender keine oder veraltete Antivirus-Software, berichtet Barzdukas. Da sei das bedienungseinfache OneCare eine gute Lösung. Zudem machen neue Funktionen wie monatliche Berichte und proaktive Aktionen OneCare transparenter und leistungsfähiger. Eine zentralisierte Backup-Möglichkeit für alle PCs, die dasselbe OneCare-Abonnement haben sowie ein neues online Photo-Backup runden das Angebot ab.
Last but not least hat Microsoft auch die Beta 1 des Internet Explorer 8 zum Download zur Verfügung gestellt. Der IE8 soll sich durch Einhaltung der vom World Wide Web Consortium (W3C) vorgegebenen Standards auszeichnen. Beispielsweise hat der IE8 den Acid2-Test (eine Testsite zur Überprüfung der Standard-Kompatibilität) korrekt absolviert. Der gehobene Sicherheitsanspruch beim IE8 zeigt sich auch daran, dass Microsoft den Hackerschutz DEP/NX (Data Execution Protection/No Execute) standardmäßig einschaltet. Beim IE7 war DEO/NX zwar auch schon vorhanden, aber aus Kompatibilitätsgründen mit einigen Add-ons von Haus aus ausgeschaltet gewesen.
Die Psychologie der Sicherheit
Craig Mundie nutzte die RSA Conference, um die End-to-End-Trust-Initiative vorzustellen.
Schneier unterscheidet zwischen reeller und gefühlter Sicherheit - zwei Dinge, die oft genug grundverschieden seien. Schneier: "Man kann sich sicher fühlen, obgleich man es nicht ist. Man kann aber auch sicher sein, ohne sich sicher zu fühlen." Das Problem dabei ist, dass ein Wort zwei Erlebniszustände beschreibt.
Schneier interessiert nun, wann diese Konzepte konvergieren und wann sie divergieren und was passiert, wenn sie konvergieren - also wie wir über Sicherheit denken.
Als Beispiel wo reelle und gefühlte Sicherheit divergieren nennt Schneier die Luftfahrt. Viele Leute haben mehr Angst vorm Fliegen als vorm Autofahren, obgleich das Autofahren sehr viel unsicherer ist. Umgekehrt ist die Einschätzung der Verbrechensrate ein Beispiel, wo gefühlte und tatsächliche Sicherheit konvergieren. Schneier: "Anrainer wissen normalerweise ganz gut Bescheid darüber, wie sicher das eigene Viertel ist."
Ein Grund, warum die Einschätzung der Verbrechensrate (die "gefühlte" Rate) im Wohnviertel mit der tatsächlichen Verbrechensrate konvergiert, nicht aber bei der Einschätzung von Terroranschlägen im Flugwesen, ist, dass es im letztegenannten Fall nicht genügend Ereignisse gibt, um unsere Sicht der Dinge zu schärfen.
Im Unternehmen ist dieser Unterschied zwischen gefühlter und reeller Bedrohung sehr wichtig. IT-Security-Verantwortliche könnten ein Lied davon singen, meint Schneier. Sie wissen, dass es sehr schwer ist, die subjektiven Sichtweisen der Menschen zu ändern. Wie überzeugt man seinen Boss von einer realen Bedrohung. Oder wie sagt man seinem Boss, dass die Gefahr, die er für so schrecklich hält, gar nicht so schrecklich ist. Schneier: "Wie überzeugt man die Mitarbeiter, dass manche Bedrohungen sehr gefährlich sind und manche weniger. Jeder, der mit Security zu tun hat, muss mit individuellen Einschätzungen seitens der Mitarbeiter umgehen lernen." Letztlich bekommt ein IT-Mann nur Unterstützung von den Unternehmensmitarbeitern, wenn sie glauben, dass er etwas Sinnvolles macht.
RSA und RSA-Konferenz im Überblick
Der Name RSA geht auf das 1977 von Ron Rivest, Adi Shamir und Len Adlemann am MIT (Massachussettes Institue of Technology) erfundene asymmterische Kryptosystem zurück, das einerseits für Verschlüsselung von Daten als auch zur digitalen Signatur verwendet werden kann. RSA sind die Anfangsbuchstaben der Nachnamen der Erfinder, die auch das Unternehmen RSA Security gründeten. Dieses veranstaltete 1991 die erste RSA-Konferenz. Seit 2006 ist RSA Security eine Tochtergesellschaft von EMC.
Die RSA-Konferenz wird jährlich in den USA, Europa und Japan abgehalten. Die europäische Konferenz findet vom 27. bis 29. Oktober in London statt.
Hier gratis downloaden!
1/2012
8/2011
7/2011
Mag. Dominik Troger gehört seit 1992 zum MONITOR-Team. Er begann als News-Redakteur und betreute viele Jahre die MONITOR Weiterbildungsbeilage "Job Training". Seit dem Jahre 2000 war er als Chef vom Dienst tätig, mit Dezember 2009 übernahm er die Chefredaktion. 