Artikel aus dem Handelsblatt Journal CYBERSECURITY & DATENSCHUTZ
Cyber-Defense-Fähigkeiten und -Fertigkeiten kontinuierlich zu verbessern ist das Gebot der Stunde
In den letzten zwei Dekaden der Digitalisierung hat sich in der IT fast alles verändert. Unsere Angst vor Hacking aber ist gleich geblieben. Gefühlt stehen wir immer kurz davor, von Hackern überrannt zu werden. Diese Furcht vor einer baldigen Cyber-Eskalation ist nach meiner Erfahrung allerdings unbegründet. Das zeigt sich schon daran, dass Technik und Software nur noch aus wenigen Lebens- und Wirtschaftsbereichen wegzudenken ist. Hacking hat an einigen Stellen gebremst, war aber nie so präsent, dass wir uns von Technik abgewendet hätten. Ebenso sind von Expert:innen abgesicherte und betriebene IT-Systeme erstaunlich Hacking-resilient. Ukrainische Cyberexpert:innen zeigen dies täglich durch die Abwehr tausender anspruchsvoller Hacking-Versuche. Diese Hacking-Resilienz hat sich über Jahre hinweg durch dezentral organisierte Schutzmaßnahmen aufgebaut.
Andererseits explodieren die Cyberrisiken in Wirtschaft und Gesellschaft gerade. Angriffsszenarien werden immer weiter industrialisiert, durch KI optimiert und Verwundbarkeiten automatisiert ausgenutzt. Um eine Cyber-Eskalation auch in Zukunft zu verhindern, ist das Gebot der Stunde: Cyber-Defense-Fähigkeiten und -Fertigkeiten zu verbessern und nachhaltig in Informationssicherheit zu investieren. Gleichzeitig sollten wir unseren Expert:innen vertrauen und ihnen die Mittel zur Verfügung stellen, damit sie die richtigen Entscheidungen treffen können.
Im Wettstreit mit Kriminellen
Ein hohes Sicherheitsniveau für jede Organisation in Wirtschaft und Gesellschaft erwächst aus drei Expertendisziplinen, die wie ein gut eingespieltes Sport-Team harmonisch interagieren. Cyber-Expert:innen, ausgestattet und trainiert mit der geeigneten Technik sowie organisiert durch sich ständig verbessernde Prozesse & Steuerung, sehen Hacking wie einen Staffellauf. Nur durch ständiges Training, bei dem Cyber-Fähigkeiten und Fertigkeiten adäquat und flexibel genutzt, angepasst und verbessert werden, ist dieser zu gewinnen.
Dieser Staffellauf erfolgt in drei Etappen, die harmonisch aufeinander abgestimmt trainiert werden:
1. Prävention: Der Wettstreit mit Hackern ist nur zu bewältigen, wenn sich der Großteil der Hacking-Vorfälle verhindern lässt. Durch eine Kombination technischer Schutzmaßnahmen und Trainings von Mitarbeitenden (die „Human-Firewall“) lassen sich die meisten Hacker aussperren. An dieser Stelle ist Perfektion aufgrund der Komplexität unserer heutigen IT-Systeme nicht möglich, allerdings auch nicht nötig. Solange eine Organisation überdurchschnittlich gut geschützt ist, verlieren viele Kriminelle ihr Interesse und fokussieren sich auf schwächere Opfer.
2. Detektion: Nicht alle Kriminelle lassen sich durch überdurchschnittliche Prävention abschrecken. Vor allem staatlich motivierte Hacker sind bereit, Monate zu investieren, um strategisch interessante Organisationen auszuspionieren. Der Staffelstab wird an die zweite Expertengruppe weiter gereicht: An Analyst:innen, die in Echtzeit IT-Daten auswerten, um Abweichungen vom Normalverhalten zu entdecken und dadurch Hacker in Systemen zu finden. Dies ist möglich, weil Hacker vom Normalverhalten abweichen müssen, um ihre Ziele zu erreichen – z. B. große Mengen Daten aus der Firma kopieren oder Schadprogramme auf Unternehmensrechnern installieren. Die Analyse erlaubt es, den Zugriff der Kriminellen zu sperren und diejenigen Schwachstelle zu schließen, durch die der Zugriff möglich war. Nach dem Rauswurf des Hackers beginnt die nächste Runde des Wettlaufs, der für die Kriminellen eine Ecke schwieriger geworden ist, da mindestens eine Schwachstelle weniger existiert.
3. Reaktion: Die ersten zwei Staffel-Etappen filtern den Großteil der Hacking-Versuche. Für die verbleidenden „unglücklichen“ Momente geht es in die dritte Etappe: Mit Hacking-Schaden souverän umgehen. Gerade für die dritte Etappe ist Training essenziell, da sie seltenerer durchlaufen wird. Zu jeder Art von Hacking-Vorfall müssen Krisenablaufpläne bereit liegen und regelmäßig verprobt werden. Beispielsweise muss verprobt werden, wie die gesamte IT aus Backups wiederhergestellt werden kann. Dieses Training ist nötig, um der Ransomware oder Bedrohungen durch Wiper-Malware souverän entgegen treten zu können.
Das Zusammenspiel der drei Staffeletappen verhindert den überwiegenden Teil von Hacking-Schaden. Die Ansprüche pro Etappe sind dabei nicht einmal besonders hoch. 80% reichen oft aus: Wenn wir es schaffen, 80% der ernst zu nehmenden Hacking-Versuche präventiv abzuwehren, von den Verbleibenden wiederum 80% zu detektieren und aus unserem Netzwerk zu werfen, bevor Schaden eintritt, und von den dann immer noch verbleibenden bei 80% den Schaden durch Backups und souveräne Kommunikation auszugleichen, ja dann haben wir über 99% des theoretisch möglichen Hacking- Schadens verhindert. Diese 80%-Effektivität pro Etappe lassen sich durch kontinuierliches Training des Cyber- Defense-Teams erreichen.
Das Thema Hacking-Schutz wird nie abgeschlossen, sondern braucht jedes Jahr Aufmerksamkeit und Investitionen. Was genau in den drei Staffel-Etappen nötig ist, um 80% Schutz pro Etappe zu erreichen, verändert sich mit der Evolution von Technik und Hacking-Methoden. Um diese Co-Evolution von Technik und Hacking zu verstehen, haben wir Cyber-Expert:innen. Und diese Expert:innen brauchen nach meiner Erfahrung einen hohen Grad an Autonomie: Die Organisation setzt – wie ein:e Trainer:in – Ziele. Die Expert:innen trainieren – wie Sportler – auf diese Ziele hin. Eine erfolgreiche Sicherheitsorganisation setzt also Ziele und misst regelmäßig den Fortschritt auf diese Ziele hin. Das gibt Expert: innen und Nicht-Expert:innen eine gemeinsame Sprache, ohne dass Nicht-Expert:innen entscheiden müssten, was genau die Expert:innen tun sollen.
Der Hackability Score
Sicherheit zu messen, kann für viele in eine Wissenschaft ausufern – oft werden dutzende technische Kennzahlen nachgehalten und über die Zeit verglichen. Das ist aber weder nötig noch zielführend. Eine sinnvolle Messgröße ist stattdessen: a) auch für Nicht-Expert:innen eingängig, b) aus Sicht der Hacker formuliert und c) actionable, also auf Verbesserungsmaßnahmen ausgerichtet.
Eine Messgröße, die diese drei Eigenschaften mitbringt, kann durch den Hackability Score️ normiert umgesetzt werden. Der Score aggregiert eine Vielzahl von Security-Messungen aus regelmäßigen Cyber-Scans und Tests. Bei der Zusammenfassung der Scan-Rohdaten in den Hackability Score wird für jeden Messpunkt die Frage gestellt: Wie sehr stört es den Hacker, wenn diese Schwachstelle verschwindet? Somit ist klar vorgegeben, welche Handlungsvorschläge durch den Score priorisiert werden. Diejenigen Maßnahmen, die den Score am meisten senken, machen auch den Hackern das Leben am schwersten. Das bestätigt spätestens die nächste Red-Team-Übung.
Da der Score immer gleich berechnet wird – für jede Organisation, jedes Team oder auch jedes Netzwerksegment – ermöglicht er einen Dialog zwischen Peers (Landesgesellschaften eines Konzerns oder anderen Peer Groups bei kleineren Organisationen). Somit hilft der Hackability Score zu erkennen, wer von wem zu welchem Thema das Meiste bei Cyber Defense lernen kann und ermöglicht den Dialog über Cyber-Risiken zwischen Expert:innen und Laien sowie Peers.
Aus der einfach zugänglichen Messgröße entsteht dezentral und selbstorganisiert eine kontinuierliche Verbesserung, indem jede Firma, jedes Team, jede Applikation sich mit eigenen oder fremden Peer Groups vergleicht. Da grundsätzlich niemand unterdurchschnittlich geschützt sein möchte, die meisten sogar weit überdurchschnittlichen Schutz anstreben, geht auch hier der Wettlauf immer weiter.
Eine letzte Zutat ist nötig, um diesen positiven Kreislauf ungestört ablaufen zu lassen: Vertrauen in die Organisation, dezentral Verbesserungen voran treiben zu können. Statt Hacking-Schutz generalstabsmäßig zu steuern, sollte die einzige Aufgabe der „Generäle“ sein, dezentralen Teams einen Zielkorridor für deren Hackability Score vorzugeben. Wie ein Team diese Ziele erreicht, wird dezentral entschieden, oft durch gemeinsames Lernen in der Peer-Group.
Resümee
Der Faktor Mensch ist im Cyber-Defense-Zusammenspiel von Mensch, Technik, Prozessen und Steuerung entscheidend. Jede Organisation in Wirtschaft und Gesellschaft muss sich bewusst machen: Cyber-Fähigkeiten und -Fertigkeiten sind neu zu entwickeln und aufzubauen, wenn Menschen das Training vernachlässigen oder aus der Organisation ausscheiden.
Ein effektiver und effizienter Hacking-Schutz besteht dabei aus internen und externen Cyber-Expert:innen, die den Staffellauf von Prävention, Detektion und Reaktion beherrschen und permanent trainieren, sowie sich kybernetisch mittels eines Hackability Score selbst steuern, regeln und organisieren. Never walk alone in Cyber Defense.
