Viele – zu viele – Unternehmen konzipieren und planen ihre Cybersicherheitsstrategie nach wie vor sehr starr, konzentrieren sich dabei überwiegend auf den Einbau, die Erweiterung und Optimierung rein technischer Lösungen.
Betrachtet man diese Strategie einmal aus historischer Perspektive, dann drängt sich rasch ein Vergleich zur französischen Maginot-Linie auf. Man glaubt, sämtliche potenziellen Ansatzpunkte des Gegners zu kennen, errichtet, basierend auf dem aktuellen Stand der Technik an Land ein übermächtiges Bollwerk, erweitert und optimiert es und erwartet dann passiv den Zug des Gegners. Am Ende steht dann meist eine beeindruckende, aber letztlich ungenügende Verteidigungsstellung – die im Fall Frankreichs zu starr, für den dynamischen Vorstoß der mobilen deutschen Armee war. Frankreich wurde besetzt. Und dennoch: wenn es um ihre Cybersicherheitsstrategie geht, verfolgen heute viele – zu viele – Unternehmen immer noch genau diese Strategie. Sie investieren massiv in die Implementierung der neuesten Sicherheitstechnologien, um sich eine scheinbar uneinnehmbare digitale Festung zu errichten. Kommt es dann zum Angriff, scheitern sie – wie die Franzosen. Ihre Verteidigungsmaßnahmen sind zu starr, nicht anpassungsfähig genug und vernachlässigen den menschlichen Faktor.
Dabei gäbe es durchaus einen Ansatz, der weit mehr Erfolg verspricht – und dies in der Geschichte auch schon unter Beweis gestellt hat. Die Rede ist von der Funkabhörstelle Bletchley-Park. 1939 kam hier, unter Leitung von Alan Turing, eine Gruppe Mathematiker, Historiker, Linguisten und Schachmeister zusammen, um den Enigma-Code der Deutschen zu knacken – mit Erfolg. Dank des Einblicks, den Briten nun in deutsche Funksprüche nehmen konnten, gelang es der Royal Airforce den Sieg in der Luftschlacht um England zu erringen, konnte die Royal Navy die Versorgungsrouten der Alliierten anpassen und proaktiv gegen die deutsche Ubot-Flotte vorgehen. Es gelang den Briten in der Luft und zu Wasser, worin die Franzosen an Land gescheitert waren: die Entwicklung und Implementierung einer dynamischen, einer anpassungsfähigen, einer erfolgreichen Abwehrstrategie. Das Fundament dieses Erfolgs: unzählige Experten, die Erfahrungen und Ideen aus den unterschiedlichsten Feldern und Bereichen in die Code-Dechiffrierung einbrachten und ein nahezu unbegrenztes Reservoir verschlüsselten deutschen Nachrichtenmaterials, das zur Erkennung von Mustern herangezogen werden konnte.
Tatsächlich bietet das Beispiel Bletchley-Park einige wertvolle Erkenntnisse, aus denen sich Lehren für die Einrichtung einer effektiven Cybersicherheitsstrategie – und den Aufbau einer starken Cybersicherheitskultur – ableiten lassen:
- Zunächst einmal, dass Cybersicherheit keine Disziplin ist, die ausschließlich Cyberabwehrexperten vorbehalten sein sollte. Unternehmen sollten stets darauf achten, sämtliche Mitarbeiter in ihre Cybersicherheitsstrategie mit einzubeziehen. Einer der zentralen Schlüssel beim Knacken des Enigma-Codes war die Fähigkeit des Wissenschaftler-Teams, Muster zu erkennen. In ähnlicher Weise muss und kann allen Mitarbeitern durch regelmäßige Schulungen beigebracht werden, potenzielle Bedrohungen zu erkennen und rechtzeitig zu melden.
- Dann, dass Cybersicherheitsstrategien nicht starr, sondern fluide zu sein haben. So wie die Codebrecher in Bletchley Park ihre Techniken und Methoden immer wieder erneuerten und anpassten, um zum ersehnten Ziel zu gelangen, müssen auch Cybersicherheitsstrategien kontinuierlich weiterentwickelt, an die Strategien und Taktiken der Angreifer angepasst werden.
- Und schließlich: dass es zwingend einer Kultur der offenen Kommunikation bedarf. Die gab es auch in Bletchley Park. Mitarbeiter müssen sich problemlos an die Sicherheitsabteilung ihres Unternehmens wenden können, um schnelles und effektives Feedback erhalten, sollten sie einmal etwas Verdächtiges bemerken.
Berücksichtigen Unternehmen diese drei einfachen Lehren aus Bletchley-Park bei der Konzipierung ihrer Cybersicherheitsstrategie, können sie eine dynamischere und damit effektivere Verteidigung kreieren. Der Wechsel von einem technologiezentrierten Ansatz zu einem Ansatz, der den Menschen in den Mittelpunkt rückt, eröffnet ihnen die Möglichkeit eine Sicherheitskultur zu etablieren, die zahlreiche Schwachstellen rein technologischer Lösungen eliminiert. In den heutigen Zeiten von Phishing, Spear-Phishing und Social-Engineering werden nicht diejenigen Unternehmen die sichersten sein, die die fortschrittlichsten technologischen Lösungen zum Einsatz bringen, sondern diejenigen, denen es am besten gelingt, ihre gesamte Belegschaft erfolgreich in ein kollaborierendes Sicherheits-Ökosystem einzubinden.
#KnowBe4
