Standpunkt
Eine kritische Meinung zum Narrativ der unfehlbaren technischen Innovationen
Das Märchen der unfehlbaren IT
Es war einmal …
eine Zeit mit Männern und Frauen, die ihre Zukunft und ihr Glück in einer ungezähmten digitalen Landschaft suchten, die noch nicht von Menschenhand
berührt oder verändert worden war. Sie drängten nach vorn und machten sich einen Namen als große Pioniere und Abenteurer und brachten neue Geräte und
Software ins Leben. Diese neuen Entdeckungen interessierten nicht nur Akademiker und Technologen, sondern langsam auch die breite Öffentlichkeit,
da die neuen Technologien das Leben mit jeder neuen Innovation etwas einfacher machten. Riesige Fortschritte wie der PC, das Internet und schließlich das
Smartphone brachten all diese Annehmlichkeiten überall in die Welt. Mit der massenhaften Einführung dieser Geräte kam der Aufbau, der die nächste
digitale Revolution auslöste. Dies war der Ausgangspunkt für die Beschleunigung von Komplexität bei der Hard- und Software, mit globalen Cloud-Diensten,
bei dem Internet der Dinge (IoT), bei der künstlichen Intelligenz (KI) uvm.
Doch in dieser globalen digitalen Transformation lauerten weitere mythische Figuren - die gefürchteten Zauberer (auch bekannt als Hacker).
Die Zauberer versuchten Schwachstellen auszunutzen und übersehene Codierungs- und Sicherheitsfehler in der neuen Komplexität zu ihrem eigenen
Vorteil auszunutzen. Sie gaben sich als normale Spieler in diesem Märchenreich aus. Aber sie spielten den ganzen Tag und auch die ganze Nacht mit
verbotener Magie wie Scannern, Fuzzern, Exploits usw. So manipulierten sie Geräte nach ihrem Willen und verschafften sich unbefugten Zugang,
wodurch die Kontrollen und Richtlinien von Unternehmen in Schutt und Asche gelegt wurden.
Das Gleichnis der unfehlbaren IT
Natürlich ist dies nur eine genreübergreifende, alberne und vereinfachte Interpretation der Geschichte des Internets und der Cybersicherheit. Abgesehen davon sind die extreme Geschwindigkeit und die Innovationssprünge, die wir in der IT in den letzten 50 Jahren erlebt haben, verblüffend bis bemerkenswert. Diese Innovationen gehen so schnell voran, dass es uns schwerfällt mit allen Neuerungen, allen Sicherheitsaspekten, dem Verständnis über die neue Komplexität usw., Schritt zu halten. Außerdem bringt jede neue Technologie auch die Vergrößerung der Angriffsfläche für Cyberangriffe evtl. auch neue Sicherheitslücken mit sich. Dummerweise wird aber die zugrundeliegende Sicherheit vorhandener Geräte nicht verbessert, bzw. bestehende Sicherheitslücken werden nicht beseitigt. Mit anderen Worten: Es ist schwierig neuaufkommende Technologien zu implementieren, während wir noch versuchen, traditionelle Infrastrukturen zu sichern. Die angebliche Erkenntnis, dass die normalen Benutzer der schwächste Teil eines jeden Netzwerks sind, ist eine dumme Aussage (Vgl. DAU = dümmster anzunehmender user). Denn wir (Menschen bzw. Benutzer) sind der einzige Grund, warum Netzwerke überhaupt existieren. Fachleute, die sich tagtäglich mit Technologie beschäftigen, verlieren das evtl. aus den Augen.
Resümee - Im wirklichen Leben heißt das:
- Vor der Einführung neuer Technologien müssen diese ausführlich getestet werden (Stichworte: Compliance, Cybersicherheit, Risikobewertung).
- Die Gesamtkomplexität darf das Verständnis der Verantwortlichen nicht übersteigen, also Reduzierung der Komplexität soweit es möglich ist.
- Immer genügend Zeit einplanen und -keep it "very" simple- d.h. die IT-Abt. muss ein tiefes Verständnis der Unternehmensabläufe haben.
Stefan Krumbhorn, Programmierer seit den 90ern, IT- Auditor seit 2010, Unternehmensberater IT
(inspiriert von: Dustin Brewer, ISACA Journal 6/2021 The Bleeding Edge: A Fairy Tale of Innovation)
Kontakt / Impressum
Stefan Krumbhorn
IT Auditor IDW
IDW Institut der Wirtschaftsprüfer
Certified Information Systems Auditor (CISA)
Mitglied
ISACA Organization,
ISACA Germany
Zertifizierter Datenschutzbeauftragter
Montag - Freitag 09:00 - 16:00 Uhr