Die Grundsätze von ‚security-by-design‘ und ‚security-by-default‘ müssen stärker in die Produktentwicklung integriert und IT-Produkte in einer sicheren Konfiguration ausgeliefert werden. Das fordern das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit seinen Partnerbehörden in den USA (CISA), Kanada (CCCS), Großbritannien (NCSC UK), den Niederlanden (NCSC NL), Australien (ACSC) und Neuseeland (CERT-NZ) in einer Empfehlung an IT-Hersteller.
Qualitätsmängel in Soft- und Hardware-Produkten erhöhten nach Auffassung der sieben nationalen IT-Sicherheitsbehörden nämlich die Angriffsfläche für Cyber-Kriminelle und könnten damit „ganze IT-Infrastrukturen gefährden“. Die Folgen bekämen die Bürger oft unmittelbar zu spüren, wenn etwa Operationen verschoben werden müssten oder kommunale Dienstleistungen nicht mehr angeboten werden könnten. „Daher fordert das BSI die Hersteller von IT-Produkten auf, IT-Sicherheit von Anfang an mitzudenken und sicherheitsrelevante Produkteigenschaften für Verbraucher erkennbar und verständlich zu machen“, heißt es in dem am 17.04.2023 veröffentlichten Bericht.
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) – ein Kompetenznetzwerk mit Mitgliedern aus Industrie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen – schreibt dazu: „Die ‚security-by-design‘-Prinzipien sind in den gesamten Produktlebenszyklus zu integrieren – von der ersten Idee bis zum Erreichen des „End-of-Life“ eines Produktes. In der Umsetzungsverantwortung stehen alle am Produkt beteiligten Unternehmensbereiche, wie beispielsweise Produktmanagement, Entwicklung, Beschaffung, Fertigung, Vertrieb, Logistik, Service sowie die IT-Sicherheits- und Datenschutzverantwortlichen.“ (Siehe: www.teletrust.de/publikationen/broschueren/security-by-design)
Zusätzlich kommt auf viele Unternehmen bald eine weitere Anforderung hinzu, die der Gesetzgeber bis Ende des Jahres auch in Deutschland umzusetzen hat: die neue EU-Cyberrichtlinie ‚NIS-2‘. Die künftige NIS2-Regulatorik betrifft direkt Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz aus einem der 18 festgelegten kritischen Sektoren (z.B. Energie, Transport, Ernährung oder Bank- und Gesundheitswesen) sowie auch indirekt deren Lieferanten und Dienstleister.
Alle betroffenen Unternehmen müssen danach künftig ihre Maßnahmen zum Schutz vor Cyberangriffen erhöhen, indem sie strengere Sicherheitsstandards etablieren und ihre IT-Systeme stets auf dem neuesten Stand halten. „Nicht nur die Zahl der betroffenen Unternehmen steigt massiv an, sondern es wird auch noch zusätzlich wesentlich höhere Anforderungen geben“, schreibt die IHK Frankfurt am Main, die gemeinsam mit der Handwerkskammer Frankfurt-Rhein-Main und mit anderen IHKs zu einer Veranstaltung am 29. April 2024 mit dem Titel „Bereit für die neue EU-Cyberrichtlinie NIS-2“ nach Frankfurt einlädt.
Veranstaltung in Hildesheim über „die Zukunft der Cybersecurity“
Bereits am 24. April 2024 diskutieren in Hildesheim hochrangige IT-Experten über „die Zukunft der Cybersecurity“. Hauptinitiator ist Dr. Hans-Joachim Bentz, pensionierte Professor der Universität Hildesheim, Institut für Mathematik und Angewandte Informatik (IMAI) und Gründer des IT-Start-Ups Imbit.net. Auf der kostenfreien Veranstaltung, die um 18:00 Uhr in der Speicherstraße 9 in Hildesheim beginnt, wird eine neue Verschlüsslungstechnologie vorgestellt, „an der sich Hacker die Zähne ausbeißen“, heißt es in der gemeinsamen Einladung der lokalen IT-Anbieter eEvolution, HCT, Calix, QuIT, Althammer & Kill, Howmet Aerospace, BSI Group, Imbit.net sowie der Digitalagentur Niedersachsen.
Im Interview erläutert Professor Dr. Hans-Joachim Bentz die Grundlagen und Vorteile des von ihm maßgeblich entwickelten Prinzips des ‚Assoziativcomputers‘:
- Herr Professor Bentz, zahlreiche schwerwiegende Cyberattacken belegen, dass heutige IT-Systeme und -Anwendungen in der Regel höchstens sehr unzureichend oder überhaupt nicht die wichtige Anforderung nach ‚Security by Design‘ erfüllen.
Prof. Bentz: Nun, der Urgrund für die allermeisten Attacken liegt in der von-Neumann-Architektur (https://de.wikipedia.org/wiki/Von-Neumann-Architektur) der heutigen Computer. Die Programme arbeiten auf „Adressen“, deren relativ fixe Gestalt und Anordnung das Unterbringen von Schadsoftware überhaupt erst ermöglicht. Die Architektur und Arbeitsweise einer Assoziativmaschine ist aber grundverschieden davon. Es gibt hier keine Adressen, keine festen, wiedererkennbaren Code-Abschnitte, kein festen Befehlscodes. Auch ist es unmöglich ein Programm zu rekompilieren; auf einer Assoziativmaschine kann man keine Schadsoftware unterbringen. Diese Eigenschaften stützen voll die Anforderung von ‚Security by Design‘.“
- Im Rahmen Ihrer langjährigen Forschungstätigkeit an der Universität Hildesheim haben Sie schon vor über 10 Jahren die Grundlagen für den ‚Assoziativcomputer‘ veröffentlicht, der in Fachkreisen als wirklicher ‚Game-Changer‘ in Punkto Sicherheit gilt. Was ist das Besondere an dieser Technologie?
Ja, Herr Dr. Dierks und ich haben wiederholt eine Vorlesung zur „Assoziativen Programmierung“ durchgeführt, deren Materialien dann zum Buch „Neuromathematik und Assoziativmaschinen“ geführt haben. Alle Programme samt Lösungen sind übrigens frei im Netz abrufbar, so dass man auch als Außenstehender recht effizient mit den Vorlagen im Buch arbeiten kann. Es ist nicht nur so, dass hier die Resistenz gegen Software-Attacken in natürlicher Weise gegeben ist, vielmehr hat eine Assoziativmaschine zusätzlich einige außerordentlich „schöne“, also nützliche Eigenschaften, quasi von ihrer Natur aus: Sie arbeitet robust, opak und schnell. Robust bedeutet fehlertolerant und damit resilient (störfest). Das heißt sie verarbeitet z.B. eingehende Signale von Sensoren sehr zuverlässig, auch wenn diese unvorhergesehen „schwanken“. Die assoziativen Prozesse korrigieren das – systemimmanent. Das Prinzip ähnelt der Reaktionsweise unseres Gehirns: Selbst wenn z.B. ein Wort im Text falsch geschrieben ist (oder eventuell gar nicht existiert), können wir den Satz noch verstehen. „Störfest“ betrifft vor allem die Hardware einer Assoziativmaschine. Hier können geladene Programm-Bits kippen oder „toggeln“ – also zwischen zwei Zuständen wechseln – ohne den korrekten Ablauf zu beeinflussen. Dadurch empfiehlt sich die Maschine auch für Arbeiten in gefährlicher Umgebung (Weltraum, Atomkraftwerk etc.).
Hier haben wir mit dem Simulationsprogramm ausgedehnte Experimente gemacht, die diese Eigenschaft belegen und quantitativ untersuchen lassen. Schließlich sollte man nicht vergessen: Aufgrund der Netzstruktur lassen sich manche Prozessschritte leicht parallelisieren und Programmabläufe somit beschleunigen. Wir sagen immer, man sollte sich die drei Eigenschaften merken: Die Assoziativmaschine ist robust, opak und schnell sowie auch energiesparsam, denn im Netz der Maschine verteilen sich die Aktivitäten, man muss hier keine hochgetaktete CPU kühlen. Auch die Programme sind hier „besonders“; sie sind keine Liste im Speicher, vielmehr bestehen sie aus Eins-Einträgen im neuronalen Netz ihrer Module. Würden Sie da draufschauen, sähen Sie nur Punkte und „Sammelneurone“ im Netz; ähnlich den Synapsen und Zellen im natürlichen Gehirngeflecht. Wie das dann abläuft bestimmen der Startvektor und die Einträge im sogenannten Langzeitgedächtnis, einem Teilmodul im Netz.
Die Architektur einer Assoziativmaschine basiert auf dem Prinzip „mehrdimensionaler Assoziativmatrizen“ (Quelle: www.imbit.net/download/2022-Interview-Laguna-Assoziativmaschine.pdf.)
- Inwiefern hat diese Technologie das Potenzial unsere heute weit verbreiteten IT-Sicherheitsprobleme grundlegend lösen zu können?
Also, es gibt keine Ankerpunkte oder Ankerstrukturen, an denen sich Angreifer orientieren könnten. Ein und dieselbe Programmfunktion kann völlig verschiedenes Aussehen haben. Es ist praktisch so wie bei den Gehirnen: Wenn man zwei Schüler fragt, was 5mal6 ist, dann sagen beide 30 (weil sie es so gelernt haben); dennoch sind ihre Gehirne nicht identisch vernetzt. Man kann also die gleiche Aufgabe lösen mit unterschiedlicher Belegung der Netzpunkte durch Synapsen und Zellen. Das ist also absolut neu und grundlegend. Bei der Assoziativmaschine ist das ja noch viel spannender, denn man kontrolliert die Maschine vollkommen, kann also auch fiktive assoziative Experimente machen, die beim natürlichen Gehirn nicht gehen; wie z.B. „toggeln“ der Synapsen und dann ausmessen, welchen Einfluss das jeweils oder auf Dauer auf die Programmleistung der Maschine hat. Wir können jetzt nicht auf die Schnelle einsichtige Lösungen anbieten – nicht weil das nicht möglich wäre, aber man würden das als „Laie“ nicht verstehen. Wir arbeiten z.B. auch mit dreidimensionalen Assoziativspeichern, wo also die Anfrage und Antworten FLÄCHEN sind. So etwas kennt man konventionell nicht. Und ein assoziatives Programm läuft aus Prinzip nur vorwärts, man kann es unmöglich zurückkompilieren. Man sieht, wir könnten zwar Argumente formulieren und Werkzeuge nennen, würden aber kaum verstanden werden.
- Werden Assoziativcomputer inzwischen auch schon außerhalb der Forschung in relevantem Umfang eingesetzt – und wenn ja: in welchen Anwendungsfeldern?
Ja, es gibt eine Reihe von Anwendungsfeldern. Zum Beispiel die Kryptografie. Hier haben wir mit dem assoziativen Ansatz eine neue Krypto-Methode entwickelt, die inzwischen auch patentiert ist. Da gibt es mehrere Laborversionen (HW), die nur auf ihre Produktion warten, zum Teil aber auch schon funktionsfähige und getestete SW-Anwendungen, wie z.B. https://LAM.imbit.net. Das ist eine (selbsterklärende) Verschlüsselungs-Software für jedermann und jedefrau im Netz. Mit unserer Methodik kann man auch auf bereits verschlüsselten Daten „rechnen“ und anderweitig operieren. Das wäre für sensible Daten möglich und wichtig! Weitere, frühere Anwendungen haben sich bereits in verschiedenen Feldern als Software-Lösungen bewährt, z.B. bei der automatischen Briefverteilung bzw. dem automatischen Lesen von Überweisungsträgern, bei der fehlertoleranten, schnellen und sprachenunabhängigen Suche in großen Textarchiven, bei der schnellen und toleranten Suche in speziellen Datensorten (wie DNA-Sequenzen oder pharmazeutische Stoffnamen), beim Management eines Translation Memorys, wo ganze Sätze verarbeitet werden, bei der Unterschriften- und Signalerkennung und ähnlichem mehr.
- Obwohl Cyberattacken aller Art ja extrem hohe wirtschaftliche und finanzielle Schäden verursachen und unsere heutigen IT-Sicherheitsprobleme mit Hilfe von Assoziativcomputern grundlegende gelöst werden könnten, fristet diese Technologie immer noch nur ein Nischendasein. Woran liegt das Ihrer Meinung nach und wie lange schätzen Sie wird es noch dauern bis große Unternehmen oder auch staatliche Institutionen Ihre bahnbrechende Forschung über Assoziativcomputer operativ stärker nutzen und einsetzen werden?
Es ist tatsächlich so, dass wir schon große Unternehmen als Auftraggeber hatten; allerdings werben die nicht unbedingt für uns, sondern waren froh, eine gute Lösung zu haben. In vielen Sparten, wie z.B. dem IoT kann man die Überlegenheit des assoziativen Ansatzes mit seiner Fehlertoleranz und Störsicherheit demonstrieren. Aber, der Markt ist träge, man verabschiedet sich nicht gern und schnell von bereits installierten „Lösungen“ zugunsten von Neuheiten. Insofern brauchen wir jetzt einen starken Partner mit gutem Netzwerk, viel Mut und Marketingtalent; alle müssen die Ärmel hochkrempeln, um diese neue Technologie auszubauen. Dann kann es sehr schnell gehen. Die Einsatzfelder sind nicht begrenzt; man bedenke, dass eine Assoziativmaschine prinzipiell alles kann, was ein herkömmlicher Computer kann – aber kaum umgekehrt. Und wir stellen viel Know-how bereit.
- Vielen Dank für das Gespräch, Herr Professor Bentz!
Autor: Detlev Spierling
Hintergrundinformationen:
- Assoziativmatrix >> https://de.wikipedia.org/wiki/Assoziativmatrix
- de >> www.assoziativmaschine.de/index2.html
- „Assoziativcomputer: Hildesheimer Grüße an die NSA“ >> https://www.faz.net/-gyc-7ozih
- „Informationstechnologie – Assoziativmaschine kopiert unser Gehirn“ (12.05.2014) >> deutschlandfunkkultur.de/informationstechnologie-assoziativmaschine-kopiert-unser-100.html
- Interview über den assoziativen Ansatz – abrufbar unter dem Download-Link >> imbit.net/download/2022-Interview-Laguna-Assoziativmaschine.pdf
Literatur:
- Hans-Joachim Bentz, Andreas Dierks: „Neuromathematik und Assoziativmaschinen“. Springer Verlag, Heidelberg, Berlin 2013, ISBN 978-3-642-37937-6. (Leseprobe >> https://kurzelinks.de/k289)
- Andreas Dierks, Matthias Glockemann, Hans-Joachim Bentz (2024): „Digitale Forensik mittels assoziativer Technologie„, erscheint im Tagungsband von „Polizeiinformatik 2024“, Mittweida. (Hrg. von Prof. Dr. Wilfried Honekamp, Münster – siehe die Ankündigung für 2025 >> https://www.polizeiinformatik.de).