Zum Inhalt

Beauty is our Business

Vortrag von Dr. Aleksandra Sowa
Dr. Aleksandra Sowa

„Beauty is our Business“ mit diesem Zitat des niederländischen Informatikers und Wegbereiters der strukturierten Programmierung Edsger Dijkstra eröffnete Dr. Aleksandra Sowa ihren Vortrag in der HfTL.

Datenschutz und Datensicherheit müssen wieder zueinanderfinden! Diese von Sowa geprägte These zog sich wie ein roter Faden durch den Vortrag und wurde durch zahlreiche Beispiele plastisch beschrieben.

Ein Beispiel aus der jüngeren Vergangenheit zeigt, welche Auswirkungen fehlerhaft programmierte Software nach sich zieht. So hatte der Chaos Computer Club (CCC) in der zur Stimmauszählung der Bundestagswahl genutzten Software „PC-Wahl“ zahlreiche Schwachstellen gefunden, welche auch nicht durch ein kurzfristiges Update des Herstellers behoben werden konnten. Für Sowa ein klarer Fall von Vernachlässigung der Security by Design – Regeln.
Welche Wege Hersteller von Software – und damit verbunden auch mit Hardware mitunter gehen, zeigte Sie am Beispiel des Little Bird H6-U, einem unbemannten, autonom fliegenden Hubschrauber. Nachdem es in einer Challenge dem „Red Team“ – den Angreifern  -  gelungen war, über Schwachstellen in der Software die komplette Steuerung über die Drohne zu übernehmen, setzte die DARPA bei der  Software ein. Im Ergebnis wurde das Software-Konzept überarbeitet und  in unterschiedliche Blöcke mit abgestuften Zugriffs- und Benutzerrechten realisiert. Dies verhindert im Falle eines erfolgreichen Angriffs die Übernahme des kompletten Systems und verdeutlicht die hohe Wertung eines stimmigen Security by Design Konzeptes bereits in der Planungs-und Entwicklungsphase.

Eine lebhafte Diskussion entbrannte um das Thema der formalen Verifikation von Software. Sowa stellte unterschiedliche Modelle vor und erläuterte diese an exemplarischen Beispielen aus verschiedenen Branchen. Ihr Fazit: Mit der fortschreitenden Vernetzung von Geräten, mit dem Internet of Things und Industrie 4.0, ist heute ein Bug in der Software morgen eine potentielle Schwachstelle, die zu einer Kaskade von Sicherheitsvorfällen führen könnte. Ein weiterer, viel diskutierter Part des Vortrages war die Produkthaftung. Wer haftet für fehlerhafte Software und die daraus entstehenden Folgen? Sehr anschaulich erläuterte sie hier die verschiedenen Positionen aus der Politik, Gesellschaft und der IT-Community.

Die wirtschaftlichen Dimensionen sollte man dabei nicht außer Acht lassen – denn laut einer representativen Studie von Kaspersky Lab aus dem Jahr 2016, „Demage Control: The Cost of Security Breaches“, ist die viert-häufigste Ursache von Sicherheitsvorfällen in fehlerhafter Software begründet.

Was verbirgt sich hinter dem Phänomen des Datenextraktionismus? Sowa sieht hier den Trend bestätigt, daß sowohl große Internetkonzerne als auch kleine Start-ups immer stärker in das Geschäft mit Daten einsteigen. Mit der Entwicklung von künstlicher Intelligenz, die mit unseren Daten trainiert wird, entsteht ein Geschäftsmodell der Zukunft, in dem alle Daten monetarisiert werden. Unsere Systeme wären vermutlich sicherer, wenn zu ihren Funktionalitäten nicht das Sammeln und Übertragen von Daten gehören würden. Welche Risiken damit verbunden sind merkt der Nutzer spätestens dann, wenn er von seinen Gerätschaften erpresst und zur Zahlung von Lösegeld aufgefordert wird. Dabei sind nicht nur Individualnutzer betroffen, sondern auch Behörden, Unternehmen oder Krankenhäuser. Kosteneinsparungen in der IT und die Auslagerung von IT-Systemen, zum Beispiel in die USA oder China, haben diese Problematik vertieft und beschleunigt.

Ausführlich erläuterte Sowa die Datenschutzgrundverordnung und verwies darauf, dass hier Technik und technische Parameter den Datenschutz verbessern sollen. Wie das genau funktionieren kann, zeigte sie anhand des Standard Datenschutzmodells (SDM) der  Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (DSBK)  . Aus der Norm abgeleiteten Gewährleistungsziele, mit drei Schutzbedarfsabstufungen , unter Berücksichtigung von Verfahrenskomponenten ergeben eine Matrixnach welcher geeignete Schutzmaßnahmen definiert werden – oder auch eine standardisierte Datenschutzprüfung erfolgen kann.

Wie zukünftig die Nutzer mithilfe eines Siegels für „geprüfte Sicherheit“ von verbesserter Software profitieren können, schilderte Sowa am Beispiel der gemeinsam mit Prof. Sabine Radomski (HfTL) und Prof. Andreas Hartmann (HfTL) gestarteten Initiative zum  Gütesiegel. Entwicklung eines Gütesiegel für die Softwarequalität, das Nutzern auf einen Blick Orientierung bietet, ist auch das Ziel des von Prof. Dr.-Ing. Sabine Radomski, und Dr. Aleksandra Sowa innerhalb der Gesellschaft für Informatik e. V. gegründeten Arbeitskreises „Sicher in die Digitalisierung mit geprüfter Software“ 

Abschließend lud Sowa alle Studierenden ein, an der am 26.-27. April 2018 in Berlin stattfindenden „Informatik 2018“ teilzunehmen und Erkenntnisse aus ihren  Bachelor- oder Masterarbeit für ein eigenes, einzureichendes Paper zu nutzen (http://informatik2018.de/).

Dr. Aleksandra Sowa ist zertifizierte Datenschutzbeauftragte, Datenschutzauditorin und IT-Compliance Manager. Sie gründete und leitete zusammen mit dem Kryptologen Hans Dobbertin das Horst-Götz-Institut (HGI) für Sicherheit in der Informationstechnik. Sie ist Publizistin, Gastdozentin und Autorin mehrerer Fachbücher zu Datenschutz und Compliance. Dr. Sowa engagiert sich auf vielfältige Weise für den Datenschutz und die Datensicherheit in einer digitalen Gesellschaft.

 

 

<