Immunantwort statt Lösungsorientierung – ein Plädoyer für ein dynamischeres, adaptives Security-Modell : Lösungen sind auch keine Lösung!
Sicherheit ist ein Prozess und 100 % gibts nicht – haben wir alle unzählige Male gehört. Und dennoch setzen wir weiter auf „Lösungen“, die dann systemisch betrachtet doch irgendwie statisch sind, egal wie viel KI oder andere dynamische Elemente sie enthalten. Dabei müssten wir vielmehr das gesamte Sicherheits-System dynamisieren und zu einem adaptiven Immunsystem ausbauen.
„Kaufen Sie unsere Sicherheitslösung, damit Sie als Security-Verantwortlicher wieder ruhig schlafen können.“ – dieser Satz gehört seit Jahren zum Standardarsenal des Security-Marketings und hält sich dort tapfer, obwohl in der Werbung der Security-Anbieter das Bild des hellwachen Hacker-Jägers im Security-Operations-Center (SOC) längst immer mehr Raum einnimmt. Wie kommt es zu dieser Diskrepanz?
„Kaufen“, „Lösung“, „Schlafen“: Diese Begriffstrias verspricht hochbelasteten Sicherheitsspezialisten (gegen Geld) vollständige Erlösung von ihrem ständigen Wettlauf mit Cybergangstern, Bedrohungen und Complianceanforderungen. Sie steht aber auch für eine eher statische, präventive Sicherheit, die eine Organisation zugunsten ihrer „eigentlichen“ Tätigkeiten von der Pflicht entlastet, permanent mit Angriffen umgehen zu müssen. Sie postuliert letztlich die Implementierung einer ultimativen Burg- oder Stadtmauer gegen Eindringlinge aus dem Dark Web, gegebenenfalls noch verbunden mit einer (automatisierten) Stadtwache, die Alarm schlägt oder Tore schließt, wenn der Schutzwall doch einmal nicht ganz so perfekt funktioniert hat.
Firewall und Virenschutz sind noch immer idealtypisch für dieses Konzept, aber auch Produkte mit hohem Wartungsbedarf und großer Anpassungsfähigkeit wie SIEM-Systeme und KI-gestützte Verhaltensanalyseprogramme werden als „Lösungen“ bezeichnet. „Kaufen“ ist hier im Sinne von Freikaufen zu verstehen – „Lösung“ transportiert den gleichen Vorstellungsgehalt: den Einsatz eines Artefakts, das ständiges Regeln oder Managen überflüssig macht. Hier wird suggeriert: Ein Problem wird „gelöst“ und ist dann weg.
Das Angebot, beim ständigen Kräftemessen mit Cyberkriminellen zu unterstützen, wirkt demgegenüber weniger attraktiv, weil es keine Handhabe aufzeigt, die Gefahren grundsätzlich fernzuhalten.
Und der „ruhige Schlaf“? Hinter diesem Begriff steckt eine kulturelle Komplikation und vielleicht die Wurzel des ganzen Übels: Ein Cyber-Angriff, der die präventiven IT-Sicherheitsschranken einer Organisation überwinden kann, gilt weithin immer noch als Beweis für ein Versagen der Security-Teams. Davor haben Security-Verantwortliche Angst und genau deshalb verlangen sie auch nach „Lösungen“ oder eben „Erlösung“.
„Freikaufen“ geht nicht mehr
Fachleute, die explizit für die Minimierung von Cyber-Risiken zuständig sind, sehen dies schon seit geraumer Zeit kritisch. Das Cyber-Risk-Team von Deloitte etwa fordert explizit eine positive Fehlerkultur (vgl. etwa [1]) als Basis für die Arbeit in der Informationssicherheit – vor dem Hintergrund der Annahme, dass eine immer erfolgreiche Prävention ohnehin nicht mehr möglich ist. Wenn aber diese Prämisse gilt, reduziert eine Organisation ihre Risiken genau dann effektiv, wenn sie permanent aus den unvermeidlichen kleinen Niederlagen lernt, um größere verhindern zu können. Seltsamerweise betrachtet man diese Fähigkeit zwar schon als Qualitätskriterium von KI-Assistenten im Security-Operations-Center, aber nicht als positives Merkmal eines menschlichen Security-Teams.
Rein praktisch haben viele Organisationen die statische Sicherheit schon hinter sich gelassen: BYOD, Cloud, IoT – all das generiert zwar Business und Flexibilität, aber auch immer neue Sicherheitslücken und neue Feinde. Um bei diesem schnellen Wandel gegen Cyberkriminelle bestehen zu können, müssen Unternehmen logischerweise den dynamischen Aspekt der Sicherheit – die Abwehr konkreter Angriffe – in den Mittelpunkt stellen [2]. Dazu wiederum benötigen sie Werkzeuge oder gar „Waffen“, wie die bereits erwähnten Erkennungs- und Response-Produkte, und eine hellwache Wachmannschaft. Sie können aber eben nicht mehr auf dauerhaft gültige „Lösungen“ zählen, die immer und jederzeit einhundert-minus-x Prozent Sicherheit garantieren. Nur herrscht dieser Tatsache zum Trotz noch immer die irrige Vorstellung, die Praxis ständiger Gegenwehr mit ungewissem Ausgang sei die Ausnahme und nicht der Normalfall.
Das Gegenstück zur „Lösung“ sind in der Gesellschaft per definitionem die „Regelung“, in der Wirtschaft das „Management“ und in der Security das „Incident-Management“ und die „Incident-Response“. Diese Konzepte müssen in einem übergreifenden Security-Modell aufgehen, das zutiefst dynamisch ist und den Dauerwettlauf mit Angreifern nicht aus der Welt zu zaubern versucht, sondern als Aufgabe für die Security-Teams akzeptiert.
Bruce Schneier hatte deshalb schon 2014 die gegenwärtige Zeit zur „Dekade der Response“ erklärt [3]: Keine Organisation hat seiner Meinung nach mehr so viel Kontrolle über ihre IT-Umgebungen, dass sie noch annehmen darf, ein Eindringen von Cyberkriminellen unter allen Umständen verhindern zu können. Die Optimierung von Incident-Management und -Response, die Schneier primär anstrebt, ist allerdings nur einer der zentralen Aspekte einer zukunftsorientierten Informationssicherheit.
Vorbild Immunabwehr
Die Analogie zum menschlichen Immunsystem, die vor allem IBM derzeit gern zelebriert, ist in diesem Zusammenhang durchaus erhellend: Beim Menschen gibt es zwar ebenfalls präventive Sicherheitsschranken wie den Säureschutzmantel der Haut, aber seine hauptsächliche Waffe gegen Angreifer ist ein selbstlernendes Responsesystem. Findet das Immunsystem eingedrungene Zellen oder Mikroben, die als schädlich einzustufen sind, schickt es Fresszellen auf den Weg oder macht es den Eindringlingen via Temperaturerhöhung ungemütlich. Für einmal erkannte Schädlinge entwickelt das System automatisch ein Gedächtnis, das die Abwehrmechanismen im nächsten Angriffsfall schneller und zielgerichteter reagieren lässt.
Selbst einen dazu passenden „Security-Intelligence-Service“ haben die Menschen entwickelt: Registriert dieser irgendwo auf der Welt den Vormarsch eines Angreifers, der sich als extrem gefährlich erweist, liefert er Erkennungsmuster (Signatur-Update) in Form von Impfungen an die Immunsysteme derjenigen Individuen, die damit nicht unvorbereitet konfrontiert werden sollen. Dies mag man als präventive Maßnahme verstehen, aber auch sie setzt ausschließlich auf eine Beschleunigung der Faktoren „Erkennung“ und „Response“.
Die folgenden Abschnitte handeln davon, welche besonderen Antriebsmomente im Detail ein modernes, dynamisches und adaptives IT-Security-Modell in Schwung bringen können und in Schwung halten müssen.
Security-OperationsCenter (SOC)
SOCs dürften die inzwischen bekanntesten Erscheinungsformen einer dynamisch agierenden Informationssicherheit sein: Netzwerk-Verhaltensanalyse, die Auswertung sicherheitsrelevanter Logdaten durch Security-Information- und -Event-Management-(SIEM)-Systeme, Intrusion-Detection und das daran anschließende Management kritischer und weniger kritischer Incidents bilden die Werkzeug-Basis der SOC-Teams.
Abgesehen davon müssen SOCs in der Lage sein, geeignete Abwehrmaßnahmen einzuleiten (Response), was speziell in individuell aufgebauten Umgebungen wie Produktionsanlagen keineswegs trivial ist und hin und wieder sogar eine zutiefst kreative MacGyver-Mentalität erfordert. Kernfragen der Gestaltung eines SOCs sind beispielsweise die Arbeitsteilung zwischen externen Services und internen Stellen sowie eine geschickte Auswahl der hier inzwischen recht gut einsetzbaren Typen künstlicher Intelligenz (KI): Setzt man eher auf selbstlernende Anomalieerkennung oder auf regelbasierte Systeme, die sich durch Zulieferung immer wieder optimierter neuer Use-Cases und Regeln durch Dienstleister an veränderte Situationen anpassen?
(Dazu mehr in einem späteren Beitrag in der <kes>.)
Zur wachsenden Bedeutung des SOC-Konzepts in der modernen Informationssicherheit finden sich Hinweise in [2], zur praktischen Etablierung des SOCs als allgemein anerkannte Security-Instanz im Unternehmen liefert Beitrag [4] praktische Ratschläge.
Resilienz
Der Begriff „Resiliency“ oder „Resilienz“ für „Widerstandskraft“ verbreitet sich in der Informationssicherheit erst seit Kurzem mit einer gewissen Vehemenz. Oft stecken dahinter primär Überlegungen zur Verbesserung und Beschleunigung der Incident-Response – rein logisch gehören in diesen Bereich aber auch Maßnahmen, die grundsätzlich die Reichweite von Attacken begrenzen (etwa Netzwerk-Segmentierung) sowie Vorkehrungen, die ein Wiederanlaufen des Betriebs nach einer tatsächlich schwerwiegenden Attacke erleichtern (etwa das Vorhalten von Ausweich-Rechenzentren).
Ein Standardproblem der Sicherheitsverantwortlichen, die den Status eines Unternehmens auf diesem Sektor stärken wollen, liegt dabei häufig in der eingangs erwähnten Präferenz der Prävention: Welches Unternehmen gibt gern Geld für einen Katastrophenfall aus, den es doch eigentlich komplett verhindern möchte? Zumindest Netzwerk-Segmentierung wird allerdings längst in gängigen Normenwerken wie dem „Payment Card Industry Data Security Standard“ (PCI-DSS, der Sicherheitsstandard der Kreditwirtschaft) explizit gefordert, weshalb es keine Probleme darstellen sollte, das Budget für diese Maßnahme freizubekommen.
Krisenmanagement
Modernes Krisenmanagement setzt ein, wenn ein Cyber-Angriff eine Organisation bis ins Mark erschüttert. Die Definition, was eine Krise ist, variiert von Unternehmen zu Unternehmen: Mal setzt sich die Krise von einem normalen „Incident“ ab, wenn Menschen gefährdet sind, mal löst eine Gefährdung extrem sensibler Daten den Krisenfall aus, mal ist ein Produktionsausfall in einer bestimmten Höhe oder das Übergreifen auf eine Mindestzahl von Lokationen der Trigger für die Aktivierung spezieller Krisenprozesse.
Typisch ist, dass während einer Krise auch IT-fremde Abteilungen und gegebenenfalls offizielle Institutionen außerhalb der Organisation aktiviert oder informiert werden müssen: im eigenen Haus das Management, die Presseabteilung und die physische Sicherheit, außerhalb gegebenenfalls die Polizei, die Feuerwehr, der zuständige Landesdatenschutzbeauftragte, ganze Kundengruppen und so weiter – und zu allem Überfluss die Medien, über die sich erstaunlich viele Unternehmen höchst unterschiedlicher Größe besonders große Sorgen machen.
Man kann Organisationen nur raten, für den Fall der Fälle tatsächlich eines der durchaus unterschiedlichen Trainingsangebote von Beratungsfirmen anzunehmen, welche verschiedene Abteilungen bis hin zu Vorstand und Pressesprecher einbeziehen. Die Bereitschaft der entsprechenden Verantwortlichen für die Teilnahme an solchen Aktionen ist häufig erstaunlich groß, weil ihnen der Krisenfall Angst macht – hier kann sich die IT-Security angenehm profilieren. Die Methoden reichen dabei von einfachen Table-Top-Exercises, deren Qualität stark vom Wissen der Moderatoren abhängt, bis hin zu groß angelegten Simulationen, wie sie manche Anbieter in speziellen „Cyber Ranges“ oder auch mobilen, auf Lastwagen installierten SOC-Umgebungen anbieten.
Für den speziellen Sorgenfall „Pressekontakt“ hat das Autorenteam ein Interview mit einem Journalisten geführt, der das Vorgehen der Medien im Falle eines Cyber-Angriffs schildert (siehe S. 31). Das Gespräch zeigt, dass eine gut vorbereitete Pressestelle der wichtigste Schlüssel dafür ist, Presseanfragen im Falle einer durch Cyber-Angriffe hervorgerufenen Krise zu bewältigen.
Innovations-Management
Gegen den stetigen Eindruck, von immer neuen Endgeräten (BYOD), neuen Business-Prozessen und neuen Applikationen überrollt zu werden, hilft Security-Verantwortlichen eine aktive Teilnahme am Innovations-Management. Sicherheitsspezialisten sollten sich bemühen, angesichts der rasanten Neuerungszyklen nicht als notorischer Bedenkenträger und Verhinderer aufzutreten, sondern als interessierte Begleiter, die bei heikleren Konzepten auch sichere Testumgebungen schaffen. Wie diese Interaktion gelingen kann, hat die in einem Beitrag aus der „Dauerbaustellen“-Serie der vergangenen Jahre aufgearbeitet [5].
Kooperation
Angreifer im Cyberspace schließen sich längst zu virtuellen Teams aus Hackern, Social-Engineers und Malware-Programmierern zusammen. Die Ziele von Angriffen sollten in analoger Weise kooperativ vorgehen, um nicht ins Hintertreffen zu geraten. Die bekannteste Form solcher Zusammenarbeit ist derzeit das Abonnement von Security-Intelligence-Feeds – entweder informationshalber oder direkt in Form eines Inputs zur permanenten Pflege der Erkennungswerkzeuge im Netz.
Abgesehen davon sollte ein modernes Unternehmen aber auch in der Lage sein, im Extremfall möglichst schnell auf Spezialisten der unterschiedlichsten Couleur zugreifen zu können. Dazu sollten interne Teams den Gedankenaustausch mit potenziellen Beratern, Hochschulen, Laboren und offiziellen Stellen pflegen und eine Datenbasis mit nützlichen Kontakten anlegen. Nicht minder wichtig ist die Zusammenarbeit mit allen internen Stellen, die im Falle einer Attacke einzubinden sind – mögliche Ansprechpartner wurden im Abschnitt über das Krisenmanagement bereits aufgeführt.
Security by Design
„Security by Design“ ist ein Begriff, der die Welt der Informationssicherheit aus dem Sektor der Produktion von IoT-Geräten erobert hat. Wer ihn liest oder hört, mag dem Trugschluss erliegen, hier gehe es erneut um eine statische „Lösung“, die Prozesse oder Produkte „ab Werk“ ein für alle Mal durch ein – wie auch immer geartetes – eingebautes Modul gegen alle zu erwartenden Manipulationen absichert. Dieser Eindruck ist jedoch falsch!
Security by Design“ im modernen Sinne will internetverbundene Artefakte beliebiger Art mit einer adaptiven, flexiblen Schnittstelle für Sicherheitsmaßnahmen ausstatten. Ans Internet gekoppelte Autos zum Beispiel (Connected Cars) enthalten nach diesem Konzept nicht etwa nur statische Hardware-Firewalls gegen externe Zugriffe, sondern SIEM- und Anomalieerkennungs-Systeme, die in der Lage sein sollen, beispielsweise mit einem fahrzeuginternen und einem externen SOC zu kommunizieren und im Angriffsfall Response-Maßnahmen zu ermöglichen.
Der zentrale operative Ansatzpunkt der Security-by-Design-Idee ist eine obligatorische Sicherheitsbetrachtung für jede Neuentwicklung – gleich, ob es sich dabei nun um einen innovativen Securityprozess oder ein Soft- oder Hardware-Produkt handelt. „Sicherheit“ soll insofern „eingebaut“ werden, als sie eine Integration der Neuerung in Erkennungs- und Abwehrmechanismen ermöglicht. Von besonderer Bedeutung ist dabei die Konzeption zwar agiler, aber doch sicherer Hard- und Software-Entwicklungsprozesse, die Security-Belange von vornherein abdecken und Standardverfahren risikominimierender Programmierung beachten.
Besonders groß ist die Lücke zwischen Wunsch und Wirklichkeit hier derzeit im OT-Sektor, also der Absicherung von Produktionsumgebungen: Digitalisierungsprojekte werden in diesem Bereich nach wie vor häufig ohne Rücksicht auf Sicherheitsaspekte vorangetrieben, und die Security muss die Lücken dann nachträglich schließen
Faktor Mensch
Keiner der bislang beschriebenen Faktoren funktioniert, wenn man nicht auch die menschliche Seite der betroffenen Prozesse intensiv berücksichtigt. Bekannte Techniken zur Sensibilisierung von Zielgruppen für Sicherheitsbelange spielen dabei zweifellos eine wichtige Rolle, aber mindestens genauso bedeutsam ist die Auseinandersetzung mit den jeweiligen Haltungen der Beteiligten zum Thema Sicherheit: Misstrauen die Praktiker im Betrieb den IT-Geeks mit aus ihrer Sicht übertriebenen Security- oder Datenschutz-Vorstellungen? Versteht das Management sein eigenes Security-Team als Phalanx von Verhinderern und Verlangsamern und nicht als internen Service, der Risikominimierung betreibt? Die Einstellung der „Stakeholder“ zum Thema Sicherheit zu kennen und die Fähigkeit, Informationen bedarfsgerecht an unterschiedliche Zielgruppen im Unternehmen zu übermitteln, kann durchaus darüber entscheiden, ob ein Security-Team in einer Organisation seine Aufgabe erfüllen kann oder nicht.
Fazit
Security-Verantwortliche, die all dies lesen, mögen jetzt vielleicht anmerken, dass die Umsetzung der hier aufgeführten Ratschläge im Unternehmen gar nicht in ihrer Macht liegt, weil die eigene Organisation sie von zentralen Entscheidungs- und Entwicklungsprozessen entkoppelt. Security wird viel zu häufig als eine Instanz betrachtet, die nebenher Sicherheitslücken schließt, die das „eigentliche“ Business notwendigerweise hier und da aufreißt.
Doch die Etablierung moderner Security-Konzepte, die der internetverbundenen Wirtschaft von heute gerecht werden, gelingt nur mit echter Management-Unterstützung! Man darf allerdings darauf hoffen, dass dieses Moment zunimmt: In der Automobilbranche etwa wird es zunehmend üblich, dass Hersteller ihre Zulieferer nach deren Security-Praxis fragen, weil sie dem Verlust von intellektuellem Eigentum vorbeugen und ihre Justin-time-Prozesse absichern wollen. Derartige Anfragen erreichen das Topmanagement gewöhnlich ohne große Umwege.
Hat eine entsprechende Sensibilisierung der oberen Entscheidungsebenen bereits stattgefunden, stehen die Manager agilen, dynamischen Security-Prozessen für gewöhnlich deutlich offener gegenüber als dem alten Mauerbaukonzept, weil die adaptive Sicherheit besser zu ihrer Vorstellung von einem schlagkräftigen, modernen Unternehmen passt. Es lohnt sich also mit hoher Wahrscheinlichkeit, den Übergang zur dynamischen, adaptiven Security beharrlich zu verfolgen, auch wenn der Erfolg noch nicht unmittelbar sichtbar wird.
Bettina Weßelmann (bettina@wesselmann.com) ist Beraterin für Unternehmenskommunikation und Fachautorin mit dem Spezialgebiet Informationssicherheit. Dr. Johannes Wiele (johannes@wiele.com) ist freier Autor sowie GDD-geprüfter Datenschutzbeauftragter und arbeitet als Managing Security-Consultant.
Literatur
[1] Deborah Golden, Ted Johnson, Augmented Security, How cognitive technologies can address the cyber workforce shortage, Deloitte Review 22, 2017, www.deloitte.com/de/de/pages/risk/articles/augmented-security-kioptimiert.html
[2] Bettina Weßelmann, Johannes Wiele, Wilde Wege, Durchwurschteln und Nachregeln als Erfolgsprinzip, 2018# 5, S. 30
[3] Bruce Schneier, The Future of Incident Response, in: IEEE Security & Privacy, Vol. 12, Issue 5 September/Oktober 2014, www.computer.org/csdl/mags/sp/2014/05/msp2014050096.html
[4] Bettina Weßelmann, Johannes Wiele, Dauerbaustellen der Security (1): Das SOC hinter den sieben Bergen, 2016# 3, S. 50
[5] Bettina Weßelmann, Johannes Wiele, Dauerbaustellen der Security (5), Überlast durch Trends und Hypes, Wenn das Innovationsmanagement fehlt, 2017# 1, S. 12