24.01.2020 (kfr)
4.4 von 5, (12 Bewertungen)

Datensicherheit per KI: Kümmern Sie sich lieber selbst

  • Inhalt dieses Artikels
  • KI ersetzt keine fehlerhafte Planung
  • Datensicherheit: Mitarbeiterschulung durch nichts zu ersetzen

Zum anstehenden Datenschutztag am 28. Januar, finden sich einige mehr oder weniger sinnvolle Kommentare über Datensicherheit im Netz. Beispielsweise sinniert der Hersteller einer Security-Plattform darüber, dass IT-Abteilungen endlich damit anfangen müssten, »aktiv nach potenziellen Schwachstellen und Sicherheitslücken zu suchen.« Ein wirksamer Schutz sei kein Hexenwerk, man müsse nur »traditionelle überholte IT-Sicherheit durch neue, erfolgsversprechende Techniken ersetzen.« Als Beispiel werden KI-basierte Endpunkt-Services genannt. 

Kolumne Doc Storage:

An alle aus der »Außenwelt«, die uns gute Ratschläge über den Alltag im Rechenzentrum gegeben – vielen Dank, aber:

Wenn wir EDV ernsthaft und in größerem Umfang betreiben, haben wir mindestens einen, wenn nicht mehrere einschlägig ausgebildete DV-Sicherheitsmenschen pro Schicht im Hause. Und dies bereits vor Jahren im Rahmen des Bundesdatenschutzgesetzes (gilt nämlich schon seit Ende der siebziger Jahre), spätestens aber im Zuge der Umsetzung der DSGVO (gilt nun auch schon seit fast vier, zwingend seit fast zwei Jahren). Diese Kollegen haben – neben der Umsetzung der gesetzlichen Vorgaben – die Aufgabe, unaufhörlich nach entsprechenden Schwachstellen in der internen und unmittelbar angeschlossenen externen Infrastruktur zu suchen.

Mithilfe einschlägiger Anwendungen, natürlich auch mit Ergänzungen der Microcodes der verwendeten Hardware. Somit sollte man die so despektierlich »traditionelle überholte IT-Sicherheit« genannten Maßnahmen nicht ersetzen, sondern ergänzen. Einen Teil, ich würde fast sagen einen sehr großen Teil der anfallenden Datenschutzverletzungen, Eindring- und Manipulationsversuche können schon mit den »konventionellen« Mitteln abgefangen bzw. verhindert werden. Dazu müssen diese auf den neuesten Bedrohungsstand gehoben werden, und sich die Sicherheitsmenschen selbst, permanent auf dem aktuellen Stand halten. Dafür benötigen diese natürlich entsprechende Zeit, und die muss ihnen der Arbeitgeber gewähren.

KI ersetzt keine fehlerhafte Planung

Zweitens benötigen wir – unter anderem – aus den oben genannten Gründen keine »künstliche Intelligenz« (KI), die uns angeblich dabei hilft, an »Endpunkten« fehlerhaften Umgang mit personenbezogenen Daten zu unterbinden. Ist es doch so vielmehr so, dass durch fehlerhafte Planung der Infrastruktur und Prozesse erst die Lücken aufgerissen werden, durch welche dann die Daten, welcher Art auch immer, ins »Freie« gelangen. Es geht nämlich nicht immer nur um »personenbezogene Daten«, es geht auch um die gute alte Industriespionage, das »Abhandenkommen« durch Diebstahl, um den Transport aus den vorgesehenen Umfeldern und vieles mehr.

Wenn wir unseren Job in den letzten Jahren nicht völlig falsch verstanden und gemacht haben, so sollten bereits entsprechende Vorkehrungen getroffen sein, um all die genannten Möglichkeiten weitestgehend zu verhindern. Es fängt damit an, dass es für keinen Anwender im Hause wirklich nötig ist, seinen Desktop-Hintergrund zu verändern oder irgendwelche Ports an seinem Tischrechner zu benutzen. Jeder, der Daten von extern in das Netzwerk bringen möchte, wird physisch und logisch dazu gezwungen, diese an einem dafür vorgesehenen, logisch abgeschirmten und hinter einem Personenvereinzeler befindlichen System zu übertragen. Hier werden sie geprüft, und erst dann im Falle der Unbedenklichkeit an das System des Benutzers weitergeleitet. Genauso der umgekehrte Weg.

Niemandem wird es ermöglicht, Daten auf logischem oder physikalischem Wege (also zum Beispiel als Anhang in E-Mails oder in Schriftform bzw. auf Datenträgern) aus dem Haus zu bringen. Im Ende helfen hierbei nur Kontrollen am Ausgang, und ob die gewünscht sind, überlasse ich dem Personalrat eines jeden Unternehmens. Kein System der zentralen DV, also kein Server oder andere wichtige Installationen, haben in irgendeiner Form Kontakt zur Außenwelt, also zum Internet. Zwischen ihnen und dem weltweiten Netz stehen entsprechende Proxy-Systeme, welche die Qualität und möglichen Absichten aller zu transferierenden Daten, in welche Richtung auch immer, beurteilen und im Bedarfsfalle schlicht die »Weiterreise«“ der Daten verhindern.

Alle Desktop-Systeme wickeln ihren gesamten Kontakt mit der Außenwelt nicht direkt über einen Router, sondern selbstverständlich ebenso über die gute alte »demilitarisierte Zone« ab (jaja, für ALLES, was hier mit neuen Bezeichnungen verbrämt wird, haben wir seit 25 Jahren entsprechende Begriffe). In dieser werden wie an der Schengen-Grenze, alle Pakete geöffnet und durchsucht, während Scheinsysteme die Aufmerksamkeit von Eindringlingen auf sich ziehen und diese beobachtbar machen. Und obendrauf natürlich, neben der logischen und physischen Kontrolle, die optische. Will sagen, alle Tastaturen werden, neben der obligatorischen Aufzeichnung aller Tasteneingaben, durch Kameras überwacht.

Merken Sie was? 😊 Wir müssen einen Kompromiss finden, und mit allen Maßnahmen auf dem Teppich bleiben. Weil wir sonst im schlimmsten Falle nicht nur gegen sämtliche Arbeitsschutzgesetze, sondern auch gegen das Post- und Fernmeldegeheimnis und den gesunden Menschenverstand verstoßen.

Datensicherheit: Mitarbeiterschulung durch nichts zu ersetzen

Wichtig ist zunächst einmal, dass man die gesamte Belegschaft, die irgendwie mit dem Gebrauch von Rechnersystemen zu tun hat, ausgiebig in IT-Sicherheit schult und mit der Bedrohungslage vertraut machen. Das heißt, nicht nur mit dem Unterschreiben irgendeines Zettels, den sich sowieso niemand durchliest.

Und als letztes, nur so als Erfahrung aus über 30 Jahren DV: Gegen zwei Dinge können Sie sich und Ihre Infrastruktur sowieso nicht hundertprozentig schützen – gegen kriminelle Energie einerseits und die Dummheit der Anwender andererseits. Sie müssen immer den alten Spruch von Darwin im Hinterkopf behalten, und ihn auf die heutige Zeit adaptieren. »Der Anwender findet einen Weg«. Er findet einen Weg, sich mehr Speicher zu holen als Sie ihm diesen zuteilen. Er findet einen Weg, Daten vom System abzuziehen, obwohl Sie dieses mit allen Mitteln zu verhindern suchen. Und er findet einen Weg, Ihre Infrastruktur zu sabotieren, wenn er dieses wirklich will.

Sie können diesem nur auf zwei Arten entgegenwirken: Schaffen Sie Vertrauen in Ihre EDV-Mannschaft im eigenen Hause, so wird man auch den Maßnahmen Ihrer IT-Abteilung vertrauen. Sorgen Sie dafür, dass jedes negative Ereignis nur zweimal passiert, nämlich das erste und das letzte Mal. Gegen kriminelle Energie kommen Sie nicht an, Sie können nur die Latte höher legen und denjenigen beim darüber springen erwischen. Dann müssen Sie allerdings ALLE Maßnahmen treffen, die ich oben beschrieben habe. Da hilft keine künstliche Intelligenz oder sonst welcher neumodischer überteuerter Humunkulus, der Ihnen sowieso nur sagt, dass gerade etwas passiert und Sie in Aktion treten müssen.

So, und jetzt darf gerne die gesamte »IT-Sicherheitsbranche« über mich herfallen...

Gruß
Doc Storage

Kommentare (1)
04.03.2020 - LHL

Zum Thema Mitarbeiter -Schulung, -Sensibilisierung ... "Awareness" ist auch der Vortrag "Hirne hacken" von Linus Neumann auf dem 36c3 sehenswert: media.ccc.de/v/36c3-11175-hirne_hacken#t=424
Ansonsten ist das Thema KI bei Angriff/Verteidung auf und von IT-Systemen wohl kaum vermeidbar. Für Angriffe werden wohl schon lernende Systeme eingesetzt und bei Anomalie-Erkennung könnten KI-gestützte Systeme unterstützen. Und es gibt auch schon zumindest Ideen, wie man durch gezieltes "Rauschen" die Lernfähigkeit von "KI-Verteidigungs-Systemen" für Angriffe ausnutzen kann. Also das Hase-Igel-Prinzip geht weiter - alles wie immer ;)
Das Problem ist das "Navigationsgeräte-Phänomen", dass Technik Menschen veranlasst, ihren gesunden Menschenverstand abzuschalten und irgendwo lang zu fahren, weil das Navi gesagt hat, dass es da lang geht. Anti-Viren-Scanner vermitteln z.B. eine scheinbare Sicherheit - es wird auf alles geklickt, der Viren-Scanner wird schon meckern, wenn's was böses ist ... davor schützt auch keine KI


Mehr von Doc. tec. Storage 20.11.2020 Was ist Zoned-Storage?

Die ersten Hersteller setzen auf die sogenannte Zoned-Storage-Architektur. Was genau ist Zoned-Storage? Brauchen wir die neue Technologie und sollen wir uns damit befassen? Ja, sagt Doc Storage.


13.11.2020 Videodateien: 3 TByte/Monat möglichst kostensparend speichern

Die Anforderung eines Handwerk-Betriebs lautet, bis zu 3 TByte an Videodaten monatlich möglichst kostensparend zu speichern. Redaktion und Leser haben sich dazu Gedanken gemacht. Bisheriger Favorit: einzelne HDDs und mittelfristig ein NAS-Server im Eigenbau.


30.10.2020 Was ist eine Shared Nothing-Architektur?

Seid kurzen sprechen Hersteller und Sprecher wie selbstverständlich von Shared-Nothing-Architekturen. Doc Storage erklärt, was darunter zu verstehen ist und warum Shared-Nothing sogar Sinn macht.


16.10.2020 Welchen Stellenwert haben DMTF Redfish und SNIA Swordfish?

Die neuen Versionen von DMTF Redfish und SNIA Swordfish enthalten nun NVMe- und NVMe-oF-Spezifikations-Verbesserungen. Da stellt sich die Frage nach dem Stellenwert der beiden Spezifikationen. Doc Storage sieht hier aber großes Potenzial.


09.10.2020 Was ist ein Ingress- und Egress-Datenverkehr?

Der Datenverkehr unterliegt in Netzwerken und der Cloud einem definierten Regelwerk. Dabei fallen mitunter auch die Begriffe Ingress und Egress. Doc Storage erklärt die Bedeutung.


28.08.2020 Kommt mit QLC-Flash das Ende hybrider Speichersysteme?

Die ersten Arrays mit QLC-Flash-Technologie kommen auf den Markt. Einige Hersteller prophezeien durchaus vollmundig das Ende von hybriden Speichersystemen, also solchen mit Flash und Festplatten. Ist dieses Ende tatsächlich absehbar oder wie sieht die Zukunft in diesem Bereich aus?

powered by
N-TEC GmbH FAST LTA
Cloudian Tech Data IBM Storage Hub
Microchip
Folgen Sie speicherguide.de auch auf unseren Social-Media-Kanälen
Folgen Sie und auf Facebook Folgen Sie und auf YouTube Folgen Sie und auf Twitter