USENIX LISA: Sicherheitstheater gehört dazu - Die Keynote von Bruce Schneier
14.11.2008
In der Eröffnungsrede am Donnerstag bei der Konferenz USENIX LISA sprach der Buchautor und Security-Experte Bruce Schneier über Sicherheitskonzepte. Seiner Meinung nach sollte „gefühlte Sicherheit“ fester Bestandteil jedes Sicherheitskonzeptes werden.
Der große Konferenzsaal war voll bei der Rede des Kryptographiefachmanns, übertitelt „Sicherheit neu konzipieren“ (Reconceptualizing Security). In einer der ersten Folien seiner Präsentation macht Schneier deutlich, dass Sicherheit einer der Urinstinkte des Menschen ist: die Grafik zeigt den Sitz des so genannten Mandelkerns, der Amygdala, im menschlichen Gehirn. Seit Urzeiten ist hier das Gefühl der Furcht verankert. „Der neuere Teil des menschlichen Hirns, zuständig für Heuristik, befindet sich noch im Betatest,“ scherzt Schneier. Er untermauert die Diskrepanz zwischen subjektivem Empfinden und überprüfbaren Fakten mit einigen Beispielen. Er verzichtet bald danach auf seine begleitenden Folien und den Einsatz zusätzlicher Präsentationstechnik und verläßt sich allein auf die Wirkung seiner Worte und Gesten. „Sicherheit ist gleichzeitig Gefühl und Realität,“ so seine These, und weiter: „Man kann sich sicher fühlen ohne gleichzeitig sicher zu sein, und man kann sich unsicher fühlen, ohne dass es einen Grund dafür gibt.“
Mario Obejas bedankt sich bei Bruce Schneier für seine Rede.
Dies betrachtet er als Ursache für ein Phänomen, das er „Security-Theater“ nennt. Schneier erklärt dies an dem Beispiel von Sicherheits-Schraubverschlüssen, die nur subjektiv das Gefühl geben, das der Inhalt einer Flasche nicht manipuliert werden könnte. Er meint, ihm fielen auf der Stelle mindestens zehn Möglichkeiten ein, wie dies dennoch möglich sei, beispielsweise mit Hilfe einer Spritze. Dennoch vermittelten die speziellen Schraubverschlüsse ein objektives Sicherheitsgefühl, und nach einem spektakulären Fall von Medikamentenvergiftung sei dies die rettende Idee für eine ganze Branche gewesen. Schneier meint: „Als Techniker täuschen wir einfach vor, dass die Sicherheit, für die wir verantwortlich sind, zuverlässig ist. Das ist nicht so. Wir vergessen, dass Menschen ein wesentlicher Bestandteil sind.“
Er hält es für falsch, wenn die emotionale Seite in Sicherheitskonzepten vernachlässigt wird und rät Technikern, auch das Sicherheitstheater in ihre Überlegungen miteinzubeziehen. Auf Nachfrage meint er, dass die Kenntnis von Statistik nichts wesentlich ändert: „Leute, die Statistiken kennen, glauben, dass sie besser arbeiten. Aber sie tun es nicht,“ so Schreier. Sicherheitsmodelle sollten sich nah an der Realität orientieren, aber er weist darauf hin, dass sich Realitäten laufend verändern. Sein Fazit: „Nur wenn das Gefühl und die Realität von Sicherheit zusammenfließen, haben wir tatsächliche Sicherheit.“
(Britta Wuelfing)
| Whitepaper |
|---|
|
Komfortabler Remote-Access
SSL-VPN im Vergleich zu klassischen VPN-Technologien.
Von zu Hause oder aus der Filiale auf Rechner im Firmennetzwerk zugreifen: Remote-Access heißt das Zauberwort. Dieses Whitepaper erlautert, was hinter PPTP, IPSec, L2TP und SSL steckt und zeigt Ihnen, wie Sie mit Astaro komfortabel ein SSL-VPN aufbauen.
Download PDF (Registrierung erforderlich)
|
|
Service Level Agreements - Der Unterschied liegt im Kleingedruckten
Wenn es um die Verfügbarkeit von Hostingprodukten geht, scheidet sich die Spreu vom Weizen unter den Internet Providern. Wer wissen will, wie verfügbar sein Hostingprodukt wirklich ist, sollte daher die Service Level Agreements seines Providers genauer studieren.
Download PDF (Registrierung erforderlich)
|
|
SWSoft
Dieses SWsoft White Paper soll Ihnen als eine Entscheidungshilfe bei der Auswahl einer Servervirtualisierungslösung dienen. Es gibt einen Überblick über die drei typischen Virtualisierungstechnologien die heute verfügbar sind: Hardware-Virtualisierung, Para-Virtualisierung und Betriebssystem-(OS)-Virtualisierung. Erläutert werden die grundlegenden Konzepte der verschiedenen Ansätze. In einer ausführlichen Übersicht finden Sie die zehn Hauptüberlegungen, die Sie in Betracht ziehen sollten, wenn die Entscheidung für die Einführung und Nutzung einer Virtualisierungstechnologie im Unternehmen ansteht. Im praktischen Arbeitsblatt können Sie abschliessend die für Sie wichtigen Faktoren zusammenfassen und so auf einen Blick die verschiedenen Lösungen vergleichen bzw. Funktionalitäten bewerten.
|
|
