Security

Datenbearbeitung und Datensicherheit (Teil 4): Abhängigkeiten, Forschung, Bildung und Wissensvermittlung

IT-Ausbildung im digitalen Klassenzimmer
Bild: gorodenkoff | Getty Images

Gastautor Christoph Jaggi ortet im Expertenbericht des Bundes eklatante Mängel, Lücken und Widersprüche – Analyse und Kommentare im vierten Teil unserer Serie.

Im September 2018 hat der Bund den Bericht der Expertengruppe zur Zukunft der Datenbearbeitung und Datensicherheit veröffentlicht. Diese zwölfköpfige Expertengruppe wurde in Umsetzung der Motion von Paul Rechsteiner (13.3841) vom 26. September 2013 eingesetzt.

Unser Gastautor Christoph Jaggi hat den Expertenbericht einer vertieften Analyse unterzogen und ist dabei auf eklatante Mängel, Lücken und Widersprüche gestossen. Wir bringen die Analyse und die Kommentare von Christoph Jaggi innerhalb einer Artikelserie in vier Teilen. Im vierten Teil geht der Autor auf die Themen Abhängigkeiten, Bildung, Forschung und die dringliche Notwendigkeit von Wissensvermittlung auf mehreren Kanälen ein.

Datenbearbeitung und Datensicherheit: Ein Kommentar von Christoph Jaggi zum Expertenbericht des Bundes (Teil 4): Abhängigkeiten, Bildung, Wissenvermittlung.

Abhängigkeiten

Der Expertenbericht zeigt ein weiteres Grundproblem in der IT-Sicherheit nicht auf: Die Abhängigkeit von Anbietern und der Sicherheit derer Produkte und derer Infrastruktur.

IT-Sicherheit ist komplex, folgt aber relativ einfachen Grundsätzen. Absolute Sicherheit gibt es nicht, doch gibt es unterschiedliche Sicherheitsstufen, die mit der Kombination von richtigen Prozessen, richtigem Verhalten und sicheren Produkten erreicht werden können. Je höher die Sicherheitsstufe, desto grösser die Anforderungen und der Aufwand. Dabei sollte berücksichtigt werden, dass Abhängigkeiten bestehen, die meist nur beschränkt beeinflussbar sind.

IT beruht auf einer Kombination von Hardware und Software. Die Hardware selbst setzt sich aus vielen Komponenten zusammen, in denen auch wiederum Software steckt. Auf dieser Hardware läuft ein Betriebssystem, das aus Software besteht. Auf diesem Betriebssystem laufen Programme, die meist von unterschiedlichen Anbietern stammen. Werden Online-Dienste verwendet, so steht auf deren Anbieterseite auch Hardware, auf der ein Betriebssystem mit Programmen läuft. Die Abhängigkeiten sind unübersehbar und nur sehr beschränkt kontrollierbar.

In Tat und Wahrheit ist man den Hardwareanbietern, Betriebssystemanbietern, Programmanbietern und Systemanbietern ausgeliefert

In Tat und Wahrheit ist man den Hardwareanbietern, Betriebssystemanbietern, Programmanbietern und Systemanbietern ausgeliefert. Schon das Herausfinden der Struktur eines komplexen Systems ohne Vorliegen eines detaillierten Systembeschriebs ist eine massive Herausforderung. Das Beurteilen der Implementierungsqualität ist in der Regel nur in beschränktem Umfang möglich.

Überprüfbar ist hingegen, ob ein Anbieter von Produkten mit Sicherheitsfunktionen oder von Sicherheitsprodukten die elementaren Hausaufgaben gemacht hat. Die verfügbaren Dokumentationen reichen dafür allerdings in der Regel nicht aus und die meisten Anbieter können oder wollen die nötigen zusätzlichen Informationen nicht geben. Das macht die Aufgabe der Überprüfung – welche zu den Due Diligence-Pflichten des Kunden gehört – extrem kompliziert und schwierig.

Bildung

Bildung ist das Vermitteln und der Erwerb von Wissen. Bildungsinstitutionen können, wie auch andere Bildungsquellen, nur Wissen vermitteln.

Der Erwerb des Wissens ist vom Individuum abhängig. Bildung ist keine Garantie für Wissen und steht schon gar nicht für Denkfähigkeit. Das heutige formelle Bildungssystem taugt nur beschränkt für die Wissensvermittlung. Die Anforderungen an den Lehrkörper übersteigen teilweise dessen Fähigkeiten deutlich. Zudem kann die Wissensvermittlung durchaus auch online auf Abruf erfolgen. Das ist kostengünstiger und effizienter, bedingt allerdings den Lernwillen und die Denkfähigkeit des Individuums. So könnte sich auch jeder Lernwillige in seinem Rhythmus und mit eigener Zeiteinteilung weiterbilden und wäre für die Wissensvermittlung nicht an fixe Stundenpläne und Institutionen gebunden.

Bildung ist keine Garantie für Wissen und steht schon gar nicht für Denkfähigkeit

Die Empfehlungen der Expertenkommission fordern hingegen Gelder für Bildungsinstitutionen, damit diese entsprechende Kurse und Vorlesungen anbieten. Und die kommen dann nur den Studenten der jeweiligen Bildungsinstitution zugute. Damit ist weder die Effizienz der eingesetzten Gelder noch die angestrebte Breite der Wissensvermittlung erreichbar.

Es ist offensichtlich, dass der effizienteste und kostengünstigste Weg zur Wissensverbreitung in Sachen IT-Sicherheit aus einer Kombination von linearen und nicht-linearen Inhalten besteht, die auf Abruf zur Verfügung stehen. Das schliesst eine Wissensvermittlung an Bildungsinstitutionen nicht aus, sondern erlaubt jedem Individuum die Wissensaneignung auf die Art, die ihm am besten liegt.

Forschung und Produktisierung und Vermarktung

Die Expertenkommission ist zwar der Ansicht, dass es in der IT-Sicherheit noch keine Industrialisierung gibt, doch zeigt dies eher die fehlende Fachkompetenz als die Realität. Auch in der Schweiz werden IT-Sicherheitslösungen und -produkte entwickelt. Sowohl im Bildungs- und Forschungssektor als auch im privaten Sektor. Da "Innosuisse" nur Gelder für Forschung von öffentlich anerkannten Bildungseinrichtungen zur Verfügung stellt, leidet die sogenannte Innovationsförderung des Bundes an systeminhärenten Fehlanreizen und ist eher ineffizient.

Es gibt in der Schweiz durchaus Unternehmen, die IT-Sicherheitsprodukte und Komponenten für IT-Sicherheit entwickeln und vermarkten. Da fehlte der Expertenkommission wohl der entsprechende Überblick. Die Problematik liegt in der überschaubaren Grösse des Heimmarktes, dem relativ bescheidenen nationalen Ökosystem und in der internationalen Vermarktung. Es fehlt an den nötigen Vernetzungen mit wichtigen Industriegrössen, welche die Skaleneffekte zum Spielen bringen.

In anderen Bereichen der IT sind Schweizer Unternehmen durchaus auch international erfolgreich und etliche solcher Unternehmen wurden von Branchengrössen wie Microsoft, Google und SAP übernommen.

Die 51 Empfehlungen an den Bundesrat

Die Expertenkommission gibt dem Bundesrat 51 Empfehlungen. Diese zeigen auf, woran es selbst der Expertenkommission zu mangeln scheint: Fach-, Sach- und Marktkenntnis. Von einer Bildung in Sachen IT und IT-Security würden auch die beigezogenen Experten massiv profitieren. Grundlegende Abhängigkeiten, Ökosysteme und Märkte blieben unberücksichtigt. Die Quantität der Seiten des Expertenberichts steht diametral zur Qualität des Berichts.

Die 51 Empfehlungen zeigen auf, woran es selbst der Expertenkommission zu mangeln scheint: Fach-, Sach- und Marktkenntnis

In der IT gilt ein Prinzip, das auch anderswo weitverbreitet ist: Aus schlechtem Input lässt sich kein guter Output erzeugen. Ausser der Output ist unabhängig vom schlechten Input.

Der Bundesrat würde gut daran tun, künftig qualifizierte Experten beizuziehen. Alles andere ist Zeit- und Geldverschwendung. Zur Zeit tut die Security Interest Group Switzerland (SIGS) im Bereich IT-Security deutlich mehr für die Wissensvermittlung und den Informationsaustausch, als das die Bildungsinstitutionen können. 

Analyse und Kommentare zum Expertenbericht in vier Teilen

Der Autor: Christoph Jaggi

Christoph Jaggi ist Experte für Digitalisierung, Technologien und Marketing. Die Verbindung dieser Kerndisziplinen mit der Orientierung auf Menschen, Märkte und Zielgruppen bildet die Basis für das Lösen komplexer Aufgabenstellungen in unterschiedlichen Bereichen. Und sie ist die Grundlage für das Erkennen und die Entwicklung von Marktstrategien. Christoph Jaggis internationaler Kundenstamm reicht vom Startup über KMU bis zum Grosskonzern.

Für einige Leute ist Christoph Jaggi IT-Experte, für andere IT-Sicherheitsexperte, für andere Marketingexperte, für andere Strategieexperte, für andere Managementexperte und für andere Medienexperte. Er selbst sieht sich allerdings vor allem als Problemlöser, der seine Kunden darin unterstützt, für aktuelle Herausforderungen die optimale Lösung zu finden. Und da sind fachliche Silos eher ein Hindernis.

Als Autor mit weitreichender Erfahrung in den Branchen ITC, Finanzen, Medien und weitere, publiziert Christoph regelmässig zu Entwicklungen in den Bereichen Digitalisierung und Technologie mit Fokus auf Anwender, Produkte und Märkte.