Information und Bildungsarbeit von und für die SAP-Community

Die finalen Technologien zur Lösung aller IT-Sicherheitsprobleme

Ob nun als „Heiliger Gral“, „eierlegende Wollmilchsau“ oder „Silver Bullet“ angepriesen: Jedes Jahr aufs Neue finden sich auf IT-Security-Messen neue Technologien, die angeblich alle Sicherheitsprobleme besser und kostengünstiger lösen als alles zuvor.
Raimund Genes, Trend Micro
1. November 2016
it security Header
avatar

Aber so, wie sich auch die Theorie von der Praxis unterscheidet, muss man zwischen Technologie und deren Implementation unterscheiden.

Eine Technologie, die laut aktuellem Stand der Forschung als „sicher“ anerkannt ist, kann in einer konkreten Implementation doch unsicher sein.

So geschehen bei Public-Key-Infrastrukturen (PKI). Die Theorie dahinter – also symmetrische und asymmetrische Verschlüsselung, digitale Signaturen und Zertifikate – sind etablierte und bewährte Technologien.

Nichtsdestotrotz hat die Implementierung von PKI Schwachstellen. Im konkreten Fall haben zwei „Certificate Authorities“, (Stamm-) Zertifizierungsstellen, nämlich Startcom und Wosign, falsche oder zumindest fragwürdige Zertifikate ausgestellt.

Die dahinter liegende Technologie hat fehlerfrei funktioniert.

Trotzdem wurde durch die falsche bzw. unsachgemäße Nutzung bzw. Implementierung ein Sicherheitsproblem geschaffen.

Wenn man sich also nur auf die Technologiesicht beschränkt, war alles einwandfrei – trotzdem hat es in der Implementierung Lücken und damit Sicherheitsprobleme gegeben.

Unsichere Zertifikate trotz sicherer Kryptographie. Nun sind kryptographische Algorithmen und PKI, zumindest in unserem IT-Zeitalter, sehr alt. Sozusagen aus der Steinzeit der Informatik…

Das aktuelle Technologie-Buzzword also heißt „Machine Learning“ – insbesondere im IT-Security-Bereich. Glaubt man so manchen Marketingaussagen, macht maschinelles lernen alle anderen Technologien überflüssig.

Aber auch ML ist „nur“ eine Technologie. Und streng genommen nicht mal neu: Viele grundlegende Algorithmen und Vorgehensweisen sind teilweise seit Jahrzehnten bekannt.

Auch wenn ML als Technologie sehr viel Potenzial hat, insbesondere bei der Erkennung neuer unbekannter Gefahren, lohnt sich durchaus ein Blick auf die Implementation.

Einer der wichtigsten Faktoren bei der Implementierung von ML ist das Training.  Dies umfasst sowohl die Menge und Qualität der Trainingsdaten als auch die Trainingsweise.

Die Qualität einer ML-Implementierung hängt also direkt von der Qualität – und in gewisser Weise auch von der Quantität – der Trainingsdaten ab. Es reicht also nicht, die reine Technologie ML gut zu beherrschen.

Vielmehr spielen auch externe Faktoren, in diesem Fall die Trainingsdaten, eine – wenn nicht sogar „die“ entscheidende Rolle. Salopp formuliert: „Müll rein, Müll raus.“

Machine Learning vs. Training

Neben der Dimension „Technologie“ kommt auf einmal eine weitere Dimension hinzu, die es bei der Bewertung von ML-Implementierungen zu beachten gilt: das „Trainings-Set“.

Hier zeigt sich beispielhaft, dass eine Technologie immer im Rahmen der Implementierung zu bewerten ist.

Ein anderer Aspekt, dem die Implementierung einen Strich durch die Rechnung machen kann, sind „False ­Positives“. Also legitime Inhalte, die fälschlicherweise als unerwünscht klassifiziert werden.

Viele ML-Algorithmen leiden historisch an diesem Problem. Sie erkennen u. U. sehr effizient neue Bedrohungen, die andere Technologien nicht erkennen, melden aber gleichzeitig viele unbedenkliche Inhalte als gefährlich.

Im Rahmen einer Optimierung kommen also oft weitere Maßnahmen zu Rauschreduzierung zum Einsatz.

Der Einfluss neuer Technologien ist unabdinglich für die IT-Sicherheit. Allein schon, um der Kreativität der Cyberkriminellen auf Augenhöhe begegnen zu können.

Eine Technologiehörigkeit ist aber nicht zielführend. Hier gilt es immer, die Implementierung und deren Kontext zu betrachten.

Unterbleibt dies, so besteht immer die Gefahr, dass der Eindruck einer „perfekten“ Technologie entsteht. Eine Theorie, die durch die praktische Implementierung allzu oft entzaubert wird.

https://e3mag.com/partners/trend-micro-deutschland-gmbh/

avatar
Raimund Genes, Trend Micro

Raimund Genes war CTO bei Trend Micro.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.