Cyber-Sicherheit hat wenig mit einer Bedrohung oder einem Firewall-Problem auf einem Computer zu tun. Bei der Cyber-Sicherheit geht es um das größere Bild (die gesamte Sicherheitslage) der jeweiligen IT-Umgebung.
Ein Unternehmen vor Angreifern zu schützen ist nicht mehr nur eine technische Angelegenheit und erfordert viel mehr als nur die richtigen Abwehrtechniken zur Hand zu haben. Für mich bedeutet das, die IT-Sicherheit in die Tat umzusetzen. So notwendig diese Funktionen und Tätigkeiten auch sind, sie adressieren jedoch nicht, was passiert, nachdem ein Angreifer in das Unternehmen eingedrungen ist.
Ich versuche ganz bewusst die Aufmerksamkeit auf dieses Thema zu lenken, damit die Sicherheitsteams, Manager und Verantwortliche erkennen, dass die klassische IT-Sicherheit nicht hilft, wenn ein Angreifer bereits sein Angriffsziel infiltriert hat. Ist dies geschehen, dann benötigen wir die Cyber-Sicherheit.
Die Cyber-Sicherheit bestätigt den Verteidigern in den Unternehmen, dass kreative kriminelle Gegner ihre raffinierten Angriffe gegen das Unternehmen starten. Die Cyber-Sicherheit weiß auch, dass bei der Nutzung von Software als Waffe der Aufbau eines stärkeren oder größeren Schutzwalls die bösen Jungs nicht unbedingt abhalten wird. Immer mehr Abwehrmaßnahmen bedeuten für die Angreifer zusätzliche Möglichkeiten und Schwachstellen, um Zugang zu einem Netzwerk zu erhalten.
Dieser Gedanke widerspricht jedoch fundamental dem Grundprinzip der IT-Sicherheit. Hier heißt es, mehrere aufeinander abgestimmte Schutzschichten schützen das Unternehmen besser! Durch zusätzliche Abtrennungen von der Außenwelt fühlen sich viele Unternehmen geschützter bzw. sicherer – zumindest in der Theorie. Dieser Lösungsansatz funktioniert bei der physischen Sicherheit. Hier hat auch die IT-Sicherheit ihren Ursprung. Dieser Lösungsansatz funktioniert jedoch nicht wirklich, wenn man vor Feinden steht, die nur einmal erfolgreich sein müssen, um ihre Mission auszuführen. Die Verteidiger in den Unternehmen verfügen leider nicht über diesen Luxus. Die Verteidiger in den Unternehmen müssen unter allen Umständen jeden Angriff abfangen! Nehmen Sie diese Aussage jedoch nicht als Argument um weiterhin Antivirus-Software, Firewalls und andere Verteidigungstechnologien zu beschaffen. Diese Komponenten werden auch weiterhin, jedoch zukünftig in Verbindung mit Cyber-Sicherheit benötigt.
Cyber-Sicherheit bedeutet, Angriffsvektoren zu finden, keine Malware
Die IT-Sicherheit und die Cyber-Sicherheit unterscheiden sich grundsätzlich darin, welche Maßnahmen zu ergreifen sind, nachdem ein Angreifer die Abwehrmechanismen überwunden hat. Wird ein Problem auf einem Computer von der Sicherheit erkannt, wird es als ein isoliertes Ereignis angesehen, dessen Auswirkungen sich auf die jeweilige Maschine beschränken.
Auf einem Computer eines Managers wird beispielsweise Malware entdeckt. Ein IT-Administrator entfernt die Maschine aus dem Netzwerk, löscht alle Dateien und baut den Rechner wieder neu auf. Vielleicht wird noch eine Untersuchung gestartet, wie der Computer infiziert wurde und unter Umständen wird eine falsch konfigurierte Firewall als Täter identifiziert. Daraufhin wird die Firewall-Konfiguration geändert, die Bedrohung neutralisiert, das Problem behoben und das Ticket geschlossen. Aus Sicht der IT-Sicherheit, die eine schnelle Lösung des Vorfalls fordert, gilt der beschriebene Prozess als voller Erfolg.
Betrachtet man den gleichen Vorfall aus der Perspektive der Cyber-Sicherheit, dann ergibt sich ein völlig anderes Bild. Das Cyber-Sicherheitsteam, das den Vorfall untersucht, geht nicht davon aus, dass die Malware-Infektion nur auf einen Computer beschränkt ist. Darüber hinaus würde das Team nicht sofort den betroffenen Rechner von den Übeltätern befreien. Man lässt eventuell die Malware weiter arbeiten, um zu sehen, wann und wohin diese Kontakt aufnimmt (nach Hause telefoniert) und wie sich dieses auswirkt.
Am wichtigsten dabei ist, dass das Cyber-Sicherheitsteam weiß, dass es sich bei diesem Vorfall nicht um ein zufälliges, einmaliges Ereignis handelt. Jeder noch so kleine Vorfall ist grundsätzlich ein Teil eines größeren, komplexen Angriffs, der ein viel ehrgeizigeres Ziel darstellt als nur einige Maschinen mit Malware zu infizieren. Schließt man ein Ticket ohne zu fragen, wie dieser Zwischenfall zu beurteilen ist bzw. mit welchen weiteren Ereignissen der Zwischenfall verknüpft sein könnte (viele Angriffe diesen nur der Verschleierung des eigentlichen Angriffsziels), dann hat der Angreifer ein leichtes Spiel und die IT-Sicherheit hat ihren Kampf bereits verloren.
Lieb gewonnene Gewohnheiten über Bord werfen
Die Umsetzung der Prinzipien der Cyber-Sicherheit beginnen damit, dass die Sicherheitsteams ihre Einstellungen gegenüber Bedrohungen grundsätzlich ändern. Anfänglich müssen die Sicherheitsteams ermutigt werden, ihre Tickets nicht so schnell zu schließen und mehr Zeit für die Suche nach den Ursachen aufzuwenden. Die Sicherheitsteams müssen auch verstehen, dass es bei der Cyber-Sicherheit nicht um eine einzige Bedrohung oder eine Firewall-Problem auf einem Computer geht. Es geht bei der Cyber-Sicherheit um das größere Bild.
Fazit
Ich gebe zu, dass dieser Ansatz eine radikale Abkehr davon ist, wie die meisten Unternehmen derzeit mit der Sicherheit umgehen. Auch wird die Perspektive der Cyber-Sicherheit nicht in den einschlägigen Security-Kursen gelehrt. Es muss zukünftig im „großen Bild“ gedacht werden. Dieses Merkmal trennt die Cyber-Sicherheit von der IT-Sicherheit.
