Rückblick voraus

Ordnungsmerkmale

erschienen in: <kes> 2009^#1, Seite 3

Rubrik: Editorial

Schlagwort: 25. <kes>-Jahrgang

Normalerweise blickt die <kes> nach vorn: immer auf der Suche nach neuen oder übersehenen Bedrohungen, Gegenmaßnahmen und Wegen, die Informations-Sicherheit zu verbessern – immer mit dem Ziel, Sicherheits-Verantwortlichen aus der allgemeinen Informationsflut strategisch wichtige Dinge herauszufiltern und hilfreiches Wissen zu vermitteln.

Auch in dieser Ausgabe, mit der unser 25. Jahrgang startet, gehört der Löwenanteil der <kes> natürlich den Fragen des Jahres 2009 – eine kleine Retrospektive konnten und mochten wir uns aber dennoch nicht verkneifen: Einerseits offenbart sich die Bedeutung mancher Themen erst mit "historischem" Abstand – andererseits kann ein "Ausflug in die Geschichte" auch durchaus hilfreich bei der aktuellen Einschätzung von Gefahren und der künftigen Ressourcenplanung sein, wenn sich zeigt, welche Probleme überwunden wurden und welche (ernüchternd: wie viele!) uns erhalten geblieben sind. Und nicht zuletzt hat das "Graben in der Frühzeit" schlicht viel Spaß gemacht, den wir Ihnen nicht vorenthalten möchten – außer der folgenden Zusammenfassung gibt es daher auf unserem ersten eigenen CeBIT-Stand (s. S. 33) auch einige der beschriebenen "Meilensteine" als Wandzeitung zu lesen.

1985: Start frei für "Kommunikations- und EDV-Sicherheit"

"Das Jahr 1984 war durch einige Ereignisse gekennzeichnet, die deutlich erkennbar allgemeine Veränderungen im Benutzerbewusstsein bewirkten", hieß es im ersten Editorial der Zeitschrift für Kommunikations- und EDV-Sicherheit – kurz: KES. Die zugrunde liegenden technischen Entwicklungen, die gleichermaßen die Motivation zur Gründung der Zeitschrift lieferten, waren allem voran eine fortschreitende Dezentralisierung der Datenverarbeitung durch den einsetzenden PC-Boom sowie die beginnende Vernetzung der IT. Hatte man zu Zeiten isolierter Großrechner die Sicherheit der automatisierten (ADV) und elektronischen Datenverarbeitung (EDV) noch auf die RZ-Infrastruktur beschränken können, dämmerte nun ein ganz anderes IT-Zeitalter mit verteilten Systemen und stärkerer Integration der Benutzer herauf, das entsprechend vielfältigere Sicherheitsprobleme aufwarf.

Gleichzeitig hatte "der Automationsgrad [sprich: die IT-Verbreitung] in Produktion und Verwaltung jene Grenze längst überschritten, wo man im Zweifel auf die Technik noch verzichten und mindestens einige Tage oder Wochen auf herkömmlichem Wege weiterwursteln kann". Dementsprechend schien den drei KES-Gründern die Zeit reif für eine spezialisierte Publikation – Peter Hohl war damals der erste verantwortliche Redakteur und ist noch heute Herausgeber und Geschäftsführer des SecuMedia-Verlags.

Hätte es angesichts der EDV-Bedrohungen von Head-Crashs über Hacker bis hin zu Sprengstoffanschlägen noch einer weiteren Legitimation für eine Fachzeitschrift bedurft, sie wäre prompt erfolgt: durch das grundlegend neue und bis dato praktisch unbekannte Prinzip der so genannten Computer-Viren. "Was im SPIEGEL nur global erwähnt war, wird in KES detailliert dargestellt", kündigte die April-Ausgabe für den Juli 1985 an – parallel gab es in der Redaktion die erste "Full-Disclosure"-Debatte: Darf man wirklich derart brandige Ideen aus universitären Forschungslabors in allen Einzelheiten veröffentlichen? Fred Cohen hatte zwar bereits Ende 1983 erste Virenversuche durchgeführt, das Thema wurde jedoch weithin entweder ignoriert oder man hüllte sich "sicherheitshalber" in Schweigen, um niemanden auf "dumme Gedanken" zu bringen.

Während Autor und Redaktion der KES noch das Für und Wider erwogen und zumindest den Werbeversand an unbekannte Adressen infrage stellten, liefen in München bei der "Bayrischen Hackerpost" bereits detaillierte Viren-Grundlagen bedenkenlos über die Kopiermaschine – und wie sich später herausstellte war Mitte Juni, ebenfalls im Münchner Raum, schon ein "Proof-of-Concept"-Virus für IBM PC im Umlauf. Für die KES-Macher ist seither klar, dass Geheimniskrämerei gegenüber Sicherheitsverantwortlichen nicht zu vertreten ist! Denn was White-Hat-Hacker freizügig verbreiten, wissen "die Bösen" schon lange – und ein entsprechender Informationvorsprung ist heute weniger akzeptabel denn je, wenn es um grundlegend neue Bedrohungsmuster geht.

Um wertvolle Informationen zu sammeln, startete ebenfalls noch im ersten Jahr der KES auch die erste "KES-Enquête": Mit einem achtseitigen Fragebogen erbat die Redaktion von RZ-Leitern und Sicherheitsspezialisten Auskunft zum Stand der EDV-Sicherheit und ihre Einschätzung zu aktuellen wie zukünftigen Gefahren. Einige grundlegende Fragen haben sich bis heute in unseren Erhebungen – zuletzt zur <kes>/Microsoft-Sicherheitsstudie 2008 – gehalten, auch wenn angesichts der enorm gestiegenen Komplexität die zugehörige "Checkliste" nunmehr den doppelten Umfang besitzt und sicherlich nicht mehr in den damals veranschlagten 10 Minuten auszufüllen ist.

Die nächsten zehn Jahre

Betrachtet man die folgenden Jahre, findet man gehäuft Beiträge zu Viren und Würmern, Computerkriminalität, Infrastrukturthemen (vor allem bezüglich Zutritt, Überspannung und Wiederanlauf sowie der Ächtung des Löschmittels Halon), aber auch Marktübersichten zu ausgewählten Produktkategorien und Hilfestellung zur Entwicklung von Konzepten und Strategien. 1987 wurde übrigens das Layout der KES überarbeitet und der lange Jahre charakteristische Schriftzug für den Titel kreiert. Im gleichen Jahr findet man unter der Überschrift "Sicherheit wird zum Thema" erstmals einen CeBIT-Vorbericht im Heft – die Sonderschau "Das sichere Rechenzentrum", aus der später das CefIS hervorging, fand dort erstmals 1988 statt.

Während der heutige Chefredakteur noch seine Bundeswehrzeit ableistete und sich mit den stark mathematiklastigen ersten Semestern seines Informatikstudiums herumschlug (um Fragen vorzubeugen: nein, ich habe die TU Clausthal erst ein knappes Jahr nach dem Weihnachtsbaum-"Wurm" betreten, vgl. KES 88/1, S. 4), veröffentlichte die KES bereits Beiträge, deren Themen noch heute aktuell klingen. Im Folgenden finden Sie meine ganz persönliche Auswahl eines solchen Artikels pro Jahr (die Hefte eines Jahrgangs wurden anfangs übrigens noch durchgehend nummeriert):

Sichere Passwortverfahren: "Passwörter sind noch immer das meistgebrauchte Werkzeug für ... Identifikation und Authentifikation. ... Ein einleuchtendes und einfaches Verfahren kann die Schwächen des Passwortschutzes beseitigen" (R. Dierstein, KES 3/86, S. 115)
Kundendaten verkauft: "Nur für [wenige] ... war Computerspionage in der Vergangenheit ein Thema. Dass der vermehrte Einsatz von PC dieses Risiko ständig erhöht, zeigt der Fall einer Großbank, der sich im 1. Quartal dieses Jahres ereignete." (F.-J. Lang, KES 87/4, S. 188)
Datenschutzbeauftragte zum Thema PC-Sicherheit: "Vor jeder Entscheidung, ob für die Arbeiten eines Aufgabengebiets ein PC ... eingesetzt werden kann, muss geprüft werden, ob die dabei erzielbare Datensicherheit ausreichend ist. ... Die Verarbeitung personenbezogener Daten in einem automatisierten Verfahren, das keine angemessene Datensicherheit bietet, verstößt gegen die Datenschutzgesetze." (KES 88/6, S. 372 – aus einer gemeinsamen Entschließung der DSB von Bund und Ländern im Kontext "PC vs. RZ in der Verwaltung")
ICI: Kampagne für Informationssicherheit: "Der Chemiekonzern ICI will mit einer europaweiten Kampagne seine Mitarbeiter für mehr Informationssicherheit motivieren. Über Hilfsmittel und organisatorische Durchführung berichtet der Sicherheits- und Datenschutzbeauftragte der Deutsche ICI GmbH." (H.-R. Behrenroth, KES 89/5, S. 321)
Falsche Sparsamkeit: "Sicherheitsmaßnahmen kosten im Allgemeinen Geld. Nicht ausreichende Sicherheitsmaßnahmen können aber zu Schäden führen, deren finanzielle und sonstige Auswirkungen den Sicherheitsaufwand bei Weitem übersteigen." (zitierte Rüge des Bundesrechnungshofes bezüglich falscher Sparsamkeit bei Sicherheitsmaßnahmen in bundeseigenen Rechenzentren, Editorial zur KES 90/5)
Forderungen an Viren-Suchprogramme: "... Zusätzlich benötigt der Anwender Hinweise darauf, wie er sich im Schadensfall bei Erkennen eines bestimmten Computer-Virus zu verhalten hat. Panische Reaktionen haben bereits größeren Schaden angerichtet, als dies ein vergleichsweise harmloses Virus je hätte erreichen können." (BSI, KES 91/5, S. 335, das Bundesamt für Sicherheit in der Informationstechnik war mit Beginn des Jahres 1991 durch das BSI-Errichtungsgesetz instanziiert worden)
Der Weg zu einer Strategie: "In dem Maße wie die Informationsverarbeitung immer stärker alle Arbeitsbereiche von Unternehmen und Behörden durchdringt und in ihrer Komplexität steigt, nimmt auch die Bedeutung der Informationssicherheit (ISi) und deren eigene Komplexität zu. ISi ist kein eindimensionales Problem, das mit dem Einsatz einiger weniger Maßnahmen (oder gar mithilfe eines käuflichen Produktes) lösbar wäre. Eine Lösung ist nur zu erreichen, wenn ein Paket von Maßnahmen aus den für ISi relevanten Bereichen ergriffen und durch eine fundierte ISi-Strategie und ein professionelles ISi-Management zu einem Gesamtkonzept integriert wird." (H. Lippold und H. A. Gartner, KES 92/4, S. 316)
Der Schutz von IT-Systemen – Praktikable Konzepte: "Die zunehmende Komplexität installierter IT-Systeme und die Gefahren und Bedrohungen, denen diese Systeme ausgesetzt sind, machen es notwendig, neue Schutzkonzeptionen zu entwickeln. Dabei steht das Problem der Komplexitätsbewältigung ... in Konkurrenz zu der Notwendigkeit, eine praktikable Lösung ... finden zu müssen." (R. Voßbein, KES 93/2, S. 40)
Zum Stand der Ausbildung: "Sieht man sich heutzutage in den DV-Abteilungen um, so stellt man sich die Frage, was eigentlich in den letzten Jahren wirklich erreicht wurde. ... Es scheint, als habe man im gesamten Umfeld der DV-Automatisierung den Menschen vergessen oder zu sehr an seine Eliminierung unter Kostengesichtspunkten gedacht. Man war und ist vielfach im Management der Meinung, ausschließlich durch Technik das Problem der Sicherheit und der Verbesserung des Services in den Griff zu bekommen." (G. Kneip, KES 94/1, S. 8)
Firewalls fürs Internet – Alle Schotten dicht? "Das Internet wird in den kommenden Jahren eine wesentliche Rolle in der internationalen Kommunikation spielen. Die vorhandenen Sicherheitsprobleme werden erst durch neue Netzkonzepte mit sicheren Protokollen und Diensten behoben werden – und diese werden wohl noch einige Jahre auf sich warten lassen." (A. Koritnik, KES 95/3, S. 36)

Weitere Meilensteine

Seit Mitte 1993 enthält die KES mit dem "BSI Forum" das offizielle Organ des Bundesamts für Sicherheit in der Informationstechnik (BSI). Auch optisch hatte sich die gedruckte KES 1993 sowie in geringerem Maße 1995 sowie 2001 verändert. Seit der SecuMedia-Verlag 1999 erstmals die Sonderschau "IT-SecurityArea" auf der Münchner SYSTEMS ausrichtete, steigerte dies naturgemäß auch die Messepräsenz der KES. Nicht ungenannt bleiben soll auch der Start unseres Webauftritts im September 2000.

Beim umfassenden Redesign 2003 (vgl. www.kes.info/redesign) erhielt die Zeitschrift dann ihr heutiges Erscheinungsbild – gleichzeitig wechselten Logo und Titel zum jetzigen <kes>: Da schon länger kaum noch jemand von "elektronischer Datenverarbeitung" sprach, mutierte KES vom Akronym zur Marke. Der ebenfalls eingeführte neue Untertitel reflektierte überdies die begrifflichen Veränderungen in der Computertechnik und den Paradigmenwechsel von "EDV-/IT-Sicherheit", also einer Sicherheit der Informations-Technik, hin zur Informations-Sicherheit: Vorrangiges Schutzziel sind ja letztlich immer die Informationen als unternehmenskritische Ressourcen, egal wo und in welchem Zustand sie sich gerade befinden.

Danke und Bitte!

Wie jede Selektion lässt auch diese zwangsläufig etliche weitere bemerkenswerte Vorkommnisse und Beiträge außer Acht – zudem möchte ich eine entsprechende Auswahl der jüngeren "KES-Geschichte" einem späteren Rückblick und anderem "Rezensenten" überlassen. Der Dank von Verlag und Redaktion gilt ohnehin allen (vielfach visionären) Autoren gleichermaßen und generell jedem, der in den vergangenen Jahren zum Erfolg und Bestand der KES beigetragen hat! Dazu gehören natürlich auch unsere Inserenten und Partner und last, but not least ebenso Sie, werter Leser, egal ob Sie uns schon lange Jahre die Treue halten oder "gerade erst zugestiegen" sind!

Unseren eingangs erwähnten Zielen fühlen wir uns jetzt wie früher verpflichtet. Sollten Sie gelegentlich Kritik, Wünsche oder Vorschläge an uns richten mögen, zögern Sie bitte nicht, sich telefonisch oder per E-Mail an die Redaktion (n.luckhardt@kes.de) oder den Herausgeber (p.hohl@secumedia.de) zu wenden.