IT-Sicherheit in 50 Jahren – Genese und Wandel

Ich erinnere mich noch deutlich, als ich mir zu Zeiten des 386er-Computers meinen ersten Computer-Virus über eine Shareware-Diskette einfing. Damals war die einzige Auswirkung des Schadprogramms ein pixeliger Krankenwagen, der über den Monitor fuhr.

Awareness_foto_klein.jpg

Awareness 1_2020

Viren waren damals noch eine eher harmlose Randerscheinung, erschaffen durch Computer-Nerds, die damit ihre technologische Überlegenheit demonstrieren wollten. Nun war die Zeit des 386er nicht der Beginn von Cybercrime und bei weitem nicht der Beginn der IT an sich. Vor den 1980er Jahren war die IT einer kleinen Gruppe elitärer Organisationen vorbehalten und spielte sich auf hauptsächlich isolierten Großrechenmaschinen ab.

Durch das Nischendasein der IT und die Begrenztheit ihrer damaligen Anwendungsfälle fehlte schlicht die Fantasie für eine kriminelle Nutzung, weshalb auch die IT-Sicherheit in der damaligen Zeit buchstäblich keine Rolle spielte. Sowohl die Entwicklung von Cybercrime als auch die damit einhergehende IT-Security Awareness als Reaktion darauf zeigte in insgesamt vier Zäsuren einen sprunghaften Anstieg:

Die erste Zäsur begann durch die Verbreitung der sogenannten Personal Computer (PC) Ende der 1970er Jahre. Hierdurch erreichte man beim Launch einer Schadsoftware-Kampagne erstmals eine breite Masse an Systemen, was die Entwicklung von Schadsoftware erstmals rentabel machte.

Die zweite Zäsur fand mit der breiten Nutzung des Internets Ende der 1980er, Anfang 1990er Jahre statt. Hierüber war Schadsoftware erstmals über ein weltweit verzweigtes Netzwerk verteilbar und Systeme von überall in der Welt erreichbar.

Die dritte Zäsur begann mit dem Web 2.0 um die Jahrtausendwende. Während das frühe Internet hauptsächlich statische Webseiten kannte, deren Fokus auf Informationsvermittlung lag, kamen mit dem Web 2.0 zunehmend interaktive Webanwendungen auf. Diese durch E-Commerce getriebene Entwicklung brachte Datenbank-gestützte Programme ins Internet. Damit wurde Angreifern das erste Mal die Möglichkeit gegeben, Laufzeitumgebungen über das Internet zu nutzen, und damit den ganzen Baukasten an Objekten und Schnittstellen zu nutzen, die diese mitbrachten.

Die vierte Zäsur erleben wir gerade mit mobile computing, IoT und IPv6. Durch letzteres kann die Menschheit Geräte in einer Größenordnung vernetzen, die sogar die Anzahl aller Sterne im Universum bei weitem übertrifft. Hierdurch wird es möglich, selbst das kleinste Haushaltsgerät ins Internet zu bringen. Auch persönlich sind wir ständig im Internet präsent über die mobilen Geräte, die wir mit uns herumtragen. Allein die schiere Anzahl an Geräten und ständig wachsende Zahl an Applikationen bietet Angreifern eine immer größere Angriffsfläche, die sich in einer rapide wachsenden Anzahl von Angriffen auf professionelle- und Endkunden-IT äußert.

Es gibt noch viele weitere Aspekte zu dem Thema, die in den nächsten Awareness-Kolumnen zur Sprache kommen werden. Klar ist, dass wir uns in einer Aufwärtsspirale an Cybercrime und deren Gegenmaßnahmen befinden. Die nächsten Elemente, die in dieser Evolution eine zentrale Rolle spielen werden, sind die der selbstlernenden Systeme (KI) und des Quantencomputings. KI kann hier sowohl Chance als auch Fluch für die IT-Sicherheit sein. Der Quantencomputer hingegen treibt Kryptografen die Sorgenfalten auf die Stirn, da hiermit bislang als sicher geltende Verschlüsselungs-Methoden plötzlich obsolet werden.

Was auch immer die nächsten 50 Jahre bringen mögen, es wird allemal eine interessante Zeit für die IT-Sicherheit werden.

Albrecht Weiser, HZD, SecurityTest Service, Teletrust Information Security Professionale (TISP)

Hessen-Suche