Website-Icon Fraunhofer IAO – BLOG

Cybersicherheit: Technisch top – Menschlich flop – Teil 1: Die Organisation

Blogreihe »Digitale Disruption«: Technologien und Anwendungsfelder mit Disruptions­potenzial: »Das Bessere ist des Guten größter Feind« – frei nach diesem alten Sprichwort von Voltaire lädt das Fraunhofer IAO zu einer Blogreihe ein, in der unsere Wissenschaftlerinnen und Wissenschaftler disruptive Trends und Technologien vorstellen und deren Potenziale für Wirtschaft und Gesellschaft aufzeigen. Diskutieren Sie mit!

Cybersecurity, also IT-Sicherheit ist einer der maßgeblichen Faktoren, die es zu berücksichtigen gilt, wenn es an das Thema Digitalisierung geht. Jeder zweite Vortrag von Sicherheitstechnologieherstellern beschäftigt sich mit Problemen wie zunehmende Vernetzungskomplexität und den damit einhergehenden Herausforderungen. Zukünftig sprechen um Größenordnungen mehr Maschinen mit Menschen und Maschinen im Internet der Dinge. In der Konsequenz brauchen wir völlig neue IT-Sicherheitstechnologien.

Auch wenn die Digitalisierung in Zukunft jede Menge zusätzliche Herausforderungen mit sich bringt, existieren doch bereits heute einige Missverständnisse rund um das Thema IT-Sicherheit im Unternehmen. Wir können nicht erwarten, dass allein Technologie diese entstehenden Probleme lösen kann.

“If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand technology“ – Bruce Schneier

Dieses Zitat aus dem Vorwort zu »Secret & Lies« von Bruce Schneier ist, obwohl bereits 17 Jahre alt, heute aktueller denn je. So nutzte die Ransomware Wannacry zur initialen Infektion eine Schwachstelle, die gerade in Deutschland häufig vergessen wird: Den Menschen.

Im Unternehmen wird dieser Faktor häufig ignoriert. Das Bewusstsein für mögliche Gefahren für die Unternehmenssysteme und korrekte Verhaltensweisen für deren Schutz, die so genannte Awareness, wird in 1 bis 2-stündigen, jährlich stattfindenden Seminaren abgesessen, der Handlungsbedarf aber nicht erfasst. Ansprechpartner für die IT-Sicherheit sind häufig nicht bekannt oder nicht erreichbar. Und Verhaltensweisen sollen über Poster angeregt werden.

Vergleicht man dies mit anderen Ansätzen, um Menschen zu einem bestimmten Handeln zu bewegen, so ist diese Vorgehensweise zum Scheitern verurteilt, denn: Von den meisten Verhaltensweisen haben nicht-sicherheitsaffine Mitarbeiter in der Regel keinen direkten Vorteil. Dieser fehlende Mehrwert der Verhaltensweise muss aber dringend in sämtlichen ausgewählten Maßnahmen berücksichtigt und hervorgehoben werden. Geht man davon aus, dass die meisten Mitarbeiter dem Unternehmen nicht schaden möchten, so ist es dennoch nachvollziehbar, dass die wenigsten Mitarbeiter gezwungen sein möchten, (gedankliche) Umwege zu gehen, bloß wegen irgendwelcher nicht direkt nachvollziehbarer IT-Sicherheitsrisiken. So bleiben die Mitarbeiter selbst im Unternehmen eines der größten und nicht adressierten Sicherheitsrisiken.

Ohne Struktur verfällt IT-Sicherheit dem Aktionismus

Sobald jedoch der Mitarbeiter als Risikofaktor mit einbezogen wird, lässt sich bereits durch die geschickte Anordnung von Zutritts- und Zugriffsbereichen ein hoher Sicherheitsgewinn gewinnen. Hierzu sind lediglich die systematische Erfassung und Verwaltung der entsprechenden Risiken sowie die hierauf basierende Auswahl von Sicherheitsmaßnahmen notwendig.

Ein solches IT-Sicherheitsmanagement umfasst die strukturierte Erfassung und Bewertung von Risiken sowie die Auswahl und Integration entsprechender Gegenmaßnahmen. Ohne einen systematischen Prozess wird das Management der IT-Sicherheitsmaßnahmen zu nichts anderem als einem wahllosen Einführen von Gegenmaßnahmen für undokumentierte und ad-hoc erdachte Risiken. Oft ist eine solche strukturierte Vorgehensweise nicht vorhanden oder schlichtweg nicht arbeitsfähig. Dies ist meistens auf fehlenden Ressourcen für das Management der IT-Sicherheit zurückzuführen.

Häufig wird IT-Sicherheit als alleinige Aufgabe der IT-Abteilung und nicht als ein Gebiet, das eigene Ressourcen benötigt, betrachtet. Diese Auffassung könnte aber falscher nicht sein. IT-Sicherheit sollte unter anderem in der Lage sein, die Entscheidungen der IT-Abteilung zu sehen und zu kontrollieren. Dies ist jedoch unmöglich, sofern die IT-Sicherheit dort angesiedelt wird. Weiterhin sind sowohl IT-Sicherheit als auch die Bereitstellung der IT-Infrastruktur des Unternehmens als Vollzeitaufgabe anzusehen, weshalb zentrale Ressourcen für das IT-Sicherheitsmanagement erforderlich sind.

Andernfalls werden Risiken, die mit nicht gepatchten Systemen oder nicht adäquatem Netzmanagement einhergehen, oft nicht erkannt. Dies zeigt sich bereits darin, dass nach Bekanntwerden einer gravierenden Sicherheitslücke die entsprechenden notwendigen Maßnahmen oft nicht getroffen werden: Bemüht man die Suchmaschine Shodan, die besonders gravierende Sicherheitslücken auzeigt, so stellt man fest, dass weltweit 1.981.715 aus dem Internet erreichbare Hosts SMB, also jenes Protokoll, dessen fehlerhafte Windows-Implementierung von Wannacry ausgenutzt wurde, anbieten. Davon alleine 65.801 in Deutschland. So erklärt sich auch die aktuelle Verbreitung der eigentlich bereits bekannten Ransomware Petya.a, denn die verwendete Modifikation von Petya nutzt unter anderem die gleiche Lücke in der SMB-Implementierung wie WannaCry vor wenigen Wochen.

Warum Zertifizierungen alleine nicht helfen

ISO 27001-Zertifizierungen, z.B. nach IT-Grundschutz, zertifizieren das Vorhandensein eines strukturierten Prozesses zur systematischen Erfassung und Bewertung von Risiken und zur Auswahl von Gegenmaßnahmen. Leider ist eine entsprechende Zertifizierung alleine kein ausreichendes Signal der Qualität des IT-Sicherheitsmanagements.

Zwar existieren durchaus Organisationen, welche die Ressourcen investieren, um ihre Informationssicherheitsrisiken und entsprechende Gegenmaßnahmen zu managen. Häufig wird der entsprechende Prozess jedoch nicht gelebt. Da diese Zertifikate alle drei Jahre eine Re-Zertifizierung vorsehen, führt das häufig dazu, dass vorab aktionistisch der Stand von Dokumentation, Risiken und Gegenmaßnahmen auf ein entsprechendes Niveau gebracht werden. Anschließend wird das Informationssicherheitsmanagement wieder vernachlässigt.

Zertifikate zeigen also leider nur, dass ein Sicherheitsprozess existiert – nicht jedoch, dass dieser auch tatsächlich durchgeführt wird. Inzwischen drängen daher Anbieter mit Lösungen auf den Markt, die zusätzliche Informationen über die tatsächliche Qualität der IT-Sicherheit anbieten.

Aber was muss ich beachten, damit IT-Sicherheitstechnologien auch tatsächlich effektiv in meinem Unternehmen genutzt werden?

Leselinks:

Die mobile Version verlassen