Cyber-Resilienz vs. Anti-Fragilität

Master-Studiengang Information Security

Dipl.-Ing. Christopher Simader, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa 

Ausgangslage

Cyberbedrohungen entwickeln sich rasant weiter – fast täglich tauchen sie auf. Althergebrachte Cyber-Sicherheitskonzepte sind nicht mehr zeitgemäß und greifen in vielen Ausmaßen zu kurz, um den neuen Herausforderungen zu begegnen. Der Fachbegriff Resilienz steht in der Psychologie für die innere Widerstandsfähigkeit und Anpassungsfähigkeit, welche Menschen hilft mit Stresssituationen umzugehen und diese zu überstehen.

Bei der Cyber-Resilienz werden Vorsorgemaßnahmen getroffen, die sich wie ein Schirm über das gesamte System erstrecken, damit dieses auch während einer Stresssituation voll funktionsfähig bleibt. Sollte es zu einem Störfall kommen, versucht das System den vorherigen sicheren Zustand automatisch wiederherzustellen. Große komplexe Systeme bringen jedoch auch die heutigen Lösungsansätze der Cyber-Resilienz an ihre Grenzen, denn diese Sicherheitskonzepte haben eine niedrige Toleranz gegenüber Fehlern und machen eine Wiederherstellung des ursprünglichen Zustandes fast unmöglich.

Ein neuer Denkansatz ist somit notwendig und wurde womöglich im Konzept der Anti-Fragilität gefunden. Bei der Anti-Fragilität soll nicht nur der ursprüngliche Zustand wiederhergestellt werden, sondern das System soll laufend dazulernen, um zukünftigen Störungen besser entgegenwirken zu können.

Ziele

Das Ziel dieser Arbeit ist es festzustellen, ob die Anti-Fragilität über die Lösungsansätze der Cyber-Resilienz, im Hinblick auf die Sicherheit bei Informations- und Kommunikationstechniken, hinausgeht und mit den neuen Herausforderungen, wie Big Data, also sehr große Datenmengen, oder Industrie 4.0, die derzeitige Digitalisierung, fertig wird.

Es gilt ebenfalls festzustellen, ob das Konzept der Anti-Fragilität zum Schutz der Informations- und Kommunikationstechniken überhaupt anwendbar ist und welche Ansätze bereits in diese Richtung gehen.

Ergebnis

Als einer der Vorreiter in Richtung Anti-Fragilität bei Informations- und Kommunikationssystemen gilt das Tool „Chaos Monkey“ vom Streaming-Portal Netflix. Dabei werden laufend kleine Instanzen mit Absicht zerstört, damit das System lernt damit umzugehen und sich gegen unerwartete Stressoren abzuhärten. Ein weiterer Ansatz, um das System laufend zu verbessern, ist das Cyber Red Teaming. Hierbei agiert eine Gruppe als Angreifer um Schwachstellen im System aufzudecken, und eine zweite Gruppe korrigiert die gefundenen Schwachstellen.