Security-Prognosen - Harmloser Nonsens oder unverzichtbare Information

Security-Prognosen

Harmloser Nonsens oder unverzichtbare Information

Stefan Friedli
von Stefan Friedli
am 13. Dezember 2018
Lesezeit: 8 Minuten

Keypoints

So sinnvoll sind Forecasts wirklich

  • Es liegt in der menschlichen Natur, die Zukunft vorhersagen zu wollen
  • Speziell im Bereich der Informationssicherheit, wo der Umgang mit Risiken unabdingbar ist, sind Vorhersagen und Prognosen eine natürliche Erscheinung
  • Die Qualität der Vorhersagen variiert massiv, aber sogar die besten Vorhersagen müssen in den Kontext des einzelnen Umfelds gestellt werden, um einen Wert zu generieren

Die Fähigkeit, die Zukunft vorherzusagen, beschäftigt und fasziniert die Menschheit seit langer, langer Zeit. Die Vorstellung, zu wissen was in der Zukunft passieren wird, begeistert uns und verleiht unserer Fantasie Flügel. Was wäre wenn wir die Lottozahlen von kommender Woche kennen würden, zum Beispiel? Ein substantieller Teil des Zeitreise-Themas, das oftmals in Fantasieliteratur behandelt wird, widmet sich der Idee die Zukunft zu kennen und – unter Umständen – mit diesem Wissen zu verändern.

Einer der vielen nützlichen Aspekte, die das Kennen der Zukunft mit sich bringen würde, ist das Umschiffen von Risiken auf eine sehr souveräne und wohlorganisierte Art und Weise. Wer gewusst hätte, dass das Schweizer Bahnsystem rund um den Bahnhof Bern dieses Jahr mit vielen substantiellen Problemen zu kämpfen haben wird und wann diese auftreten würden, der hätte unter Umständen viel Zeit und noch mehr Nerven gespart. Und dennoch: Bilder von vollen Bahnperrons sind uns in guter Erinnerung. Solche Ereignisse erwarten uns unvermittelt, unvorhergesehen.

Dieses Beispiel zeigt aber auch auf, warum Vorhersagen im Bereich der Informationssicherheit grosse Beliebtheit geniessen und daher auch mit schöner Regelmässigkeit von Blogs und Magazinen erstellt und propagiert werden. Unsere eigene Forschungsabteilung unter der Führung von Marc Ruef wird in der kommenden Woche ihre eigenen Vorhersagen veröffentlichen, die über die letzten Wochen und Monate entwickelt wurden. Aber ja, natürlich ist die Informationssicherheits-Community daran interessiert, die Zukunft zu kennen. Eine der Kernaufgaben eines CISOs ist es, aufkeimende Risiken und Bedrohungen zu erkennen und zu adressieren. Bevorzugterweise, bevor sie zu einem Problem werden. Eine anspruchsvolle Aufgabe.

Vorhersagen: Caveat Emptor

Unter der etablierten Prämisse, dass das Adressieren zukünftiger Herausforderungen zu den vielen Verantwortlichkeiten unseres Berufsstandes zählt, ist es nachvollziehbar, warum soviele Prognosen angestellt werden. Wir sollten uns aber auch darauf fokussieren, wie es zu diesen jeweiligen Annahmen kommt.

In vielerlei Hinsicht ähnlich wie ein Wetterbericht können Prognosen und Vorhersagen im Informatonssicherheits-Bereich auf einer Skala von wissenschaftlich bis zu Muotathaler Wetterschmöcker eingeordnet werden. Leider ist es nicht selten, dass grössere Fachpublikationen sehr Buzzfeed-eske Listicles veröffentlich, in denen alte Buzzwords mit einem neuen Anstrich als die Herausforderungen des kommenden Kalenderjahres verkauft werden.

Als Beispiel agieren kann hier zum Beispiel die jüngst veröffentlichte Liste CISO Resolutions for 2019 von Dark Reading. Um komplett fair zu sein: Es handelt sich hier mehr um “gute Vorsätze” als um effektive Vorhersagen, in letzter Konsequenz ist die Absicht hier aber identisch.

Eingehende Betrachtung von Vorhersagen und “Vorsätzen”

Es wäre nur zu einfach, diese sechs Punkte des Artikels einfach für irrelevant zu erklären. Kritiker, so stellt es sich heraus, haben einen vergleichweise einfachen Job. In diesem Sinne soll an dieser Stelle ein konstruktiverer Ansatz zur Anwendung kommen: Eine kritisch-konstruktive Einschätzung, ob diese Vorsätze einer Führungskraft im kommenden Jahr effektiv helfen würden.

Was können wir von den Vorhersagen anderer lernen?

Es ist durchaus offensichtlich, dass es viel Diskussionsstoff gibt, sogar bei diesen ziemlich generischen, breit gehaltenen Vorhersagen für das kommende Jahr. Um eine Wertschöpfung aus derartigen Aussagen Dritter zu generieren, braucht es eine Reflektion und eine Anpassung an das individuelle Umfeld, in der sich der Leser in seiner Funktion befindet. Allgemeine Phrasendrescherei, die den Fokus auf eine spezifische Technologie zu forcieren versucht, sollte vermieden und gemieden werden. Aber mit diesen Gedanken im Hinterkopf kann es durchaus ein guter Startpunkt sein, die omnipräsenten Vorhersagen als Grundlage für die Strategie und die Aktionspläne des kommenden Jahres 2019 zu nutzen.

Über den Autor

Stefan Friedli

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

Herausforderung Datenschutz-Grundverordnung DSGVO?

Unsere Spezialisten kontaktieren Sie gern!

×
TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv