Doch kein Marketing-Bullshit: Lang lebe CIA – jetzt erst recht!

Als Ende Mai mein Beitrag "Drei Werte – CIA or DIE" in der iX herauskam, passierte zuerst einmal – nichts. Aber als der Text am 5. Juni online erschien, ging es los mit Anrufen von Bekannten und E-Mails von Lesern. Der bekannte Blogger Fefe widmete meinem 5600-Zeichen-Artikel gar eine 3600-Zeichen-Kritik. "Ist das eine Glosse oder Marketing-Bullshit?", so ein Kommentar im heise-online-Forum. Wie hatte ich es geschafft, mir den ersten Shitstorm meines Lebens einzufangen? Ja, ich hatte bewusst zugespitzt – aber so war mir die Diskussion noch nie um die Ohren geflogen.

Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und Über-Cyber-Schreiben: Im Hauptberuf Cofounder und CTO der intcube GmbH, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Vorfälle und allgemeingültige Wahrheiten der Informationssicherheit aus.

Rückblickend muss ich sagen, dass ich drei Fehler begangen hatte. Erstens habe ich die pointierte Form der Glosse benutzt in einem Beitrag, der gar keine Kolumne sein sollte. Zweitens habe ich überspitzt ohne einen Seitenkanal, der klarmachen könnte, wo es mir ernst ist und wo nicht. Das tut mir leid. Und danke für das Feedback!

Werte müssen bleiben!

Drittens gestehe ich ein, dass ich es mit dem provokanten Verkürzen diesmal übertrieben habe. Mir ging es nämlich gar nicht um die Abschaffung der Werte Vertraulichkeit, Integrität und Verfügbarkeit: Die Werte an sich sind wertvoll und wichtig, idealerweise ergänzt um weitere, die entweder implizit eh enthalten sein müssen (Integrität ohne Authentizität ist fast immer sinnlos – ich weiß, dass die E-Mail nicht manipuliert wurde, aber ich weiß nicht, von wem sie kommt), oder solche, die weitere rechtliche oder ethische Werte technisch unterstützen, zum Beispiel Nichtabstreitbarkeit und Anonymität.

Es ist richtig, diese Werte zu schützen. Und es ist ein gutes Zeichen, dass viele Menschen dies als Auftrag und vielleicht sogar Ehre ansehen. Was immer wieder zu hinterfragen ist, ist der beste – und das heißt auch realistischste – Weg zu diesem hehren Ziel. Denn CIA zu fordern allein verändert erst einmal noch gar nichts. Ähnlich ist es mit der reinen Analyse des Vertraulichkeits-, Integritäts- und Verfügbarkeitsbedarfs, das immerhin hat mich das jahrelange Ausfüllen seitenlanger CIA-Begründungstabellen in Sicherheitskonzepten gelehrt. Entscheidend ist die Stelle, wo sich im "Doing" etwas verändert.

Nehmen wir die Cloud. Erstens weil das Thema "Werte" dort besonders kniffelig wird und weil zweitens ein immer größerer Teil unserer Daten dort verarbeitet wird. Wenn man eine Schutzbedarfsfeststellung für einen beliebigen Service durchführt, ist doch meist klar, was herauskommen wird: Irgendjemand wird eh sehr hoch schutzbedürftige Daten hineinlegen, sodass wir entweder sowieso immer für "sehr hoch / sehr hoch / sehr hoch" bauen müssen, oder wir tun so, als würden unsere Policies tatsächlich Kunden davon abhalten, bestimmte Dinge dort einzustellen. Wie gut das funktioniert, lässt sich ja gerade bei LLMs (Large Language Models) gut beobachten.

Wo wir meines Erachtens einen Hebel haben, ist, wenn Betreiber großer Services versuchen, Dinge strukturell-architektonisch besser zu machen. Das DIE-Modell (Distributed – verteilt, Immutable – unveränderbar, Ephemeral – kurzlebig) wurde 2019 von Sounil Yu entwickelt, übrigens damals Bank-CISO, nicht "Cloud-Heini". Es geht von Assume Breach aus: der Erkenntnis, dass alle Organisationen früher oder später gehackt werden. Hundertprozentige Vertraulichkeit oder Verfügbarkeit sind also nicht herstellbar. Was erreicht werden kann, ist die Stärkung der Resilienz durch Verteilung, die Detektion von Manipulationen durch die Festlegung, welche Daten unveränderlich sein sollten, und die Verkleinerung des "Blast Radius" von Leaks durch ein möglichst kurzes Verfallsdatum von Informationen.

Ein Beispiel: Wenn ich sehr hohen Vertraulichkeitsbedarf habe, versuche ich durch starke Maßnahmen einen Zugriff durch Unbefugte zu verhindern. Assume Breach sagt mir nun, dass es trotzdem eines Tages dazu kommen wird. Ein Design-Pattern wie Ephemeral kann dann dafür sorgen, dass im Moment eines Datenabzugs ein Großteil der Daten für die Angreifer schon wertlos ist.

DIE sind keine alternativen Werte, die die eigentlichen Werte verwässern sollen, sondern – wenn richtig angewandt – unterstützende resiliente Design-Patterns, so wie im Datenschutz Privacy by Design mithelfen muss, die informationelle Selbstbestimmung als Wert zu verteidigen.

Von Vieh und Haustieren

Yu stellt sich das so vor, dass Massendaten (Cattle – Vieh) in der Cloud liegen können und mit DIE gesichert werden, während die wertvollsten Daten (Pets – Haustiere) on Premises bleiben und durch CIA geschützt werden. CIA und DIE sind also nicht als Gegensätze gedacht, sondern komplementär. Allerdings wird der Cattle-Anteil durch das absolute und relative Wachstum des Cloud-Sektors immer entscheidender.

Können wir die großen Cloud-Anbieter dazu bekommen, DIE nicht nur auf ihre Fahnen zu schreiben, sondern mit Elan umzusetzen? Hoffentlich. Tun sie das immer in unserem Sinn? Nein. Würde es ausreichen, selbst wenn sie es täten? Nein. Aber macht es für AWS und Co. irgendeinen Unterschied, ob ich die Schutzbedarfsklassen 3-2-1, 1-2-3 oder 3-3-3 auf meine Daten packe? Erst einmal gar nicht. Daher müssen wir lernen, die Sprache derer zu sprechen, die über den Löwenanteil unserer Datenschätze wachen, und sie vor uns hertreiben, die richtigen Patterns zu implementieren – für den Schutz von CIA und allem anderen, das uns lieb ist.

(ur)