Geistige Barrieren : Was Führungskräfte falsch machen und wie sich das ändern lässt.
Es gibt viele Gründe, warum IT-Security oft nicht so funktioniert, wie man sich das vorgestellt hat. Aber neben Dingen, wie zu wenig Technik oder Personal, ist die Denkweise von Managern und Führungskräften vielleicht der größte Feind der Informationssicherheit.
Als vor mehreren Jahren die Konstrukteure einer kanadischen Keksfabrik gefragt wurden, was sie sich als Folge eines Hackerangriffes auf die Fabrik vorstellen konnten, antworteten sie lapidar „versalzenen Keksteig“ [1]. Mit dieser Einschätzung lagen sie komplett daneben: Der bald darauf erfolgte Cyberangriff auf die Produktionsstraße ließ den Keksteig in den Rohren aushärten, was einen sehr aufwendigen Austausch von Teilen der Fertigungsstraße notwendig machte und den kompletten Stillstand des Werkes über einen längeren Zeitraum auslöste. Ein schönes Beispiel für „geistige Barrieren“ im Management.
Das kann jeder
Eine weitere solche Barriere beziehungsweise ein weiteres Hindernis auf dem Weg zu einer besseren IT-Security ist die bis heute andauernde Einstellung ungeeigneter CISOs. Um das zu verstehen, muss man sich kurz die Geschichte der IT-Sicherheit in Deutschland vergegenwärtigen.
1983 kam der erste Computervirus auf. Damals war ein Virus noch etwas Exotisches, genauso wie der BTX-Hack des Chaos Computer Clubs am Vorläufer des Onlinebankings im folgenden Jahr. In den 90ern sind nur wenige Viren erwähnenswert; Ausnahmen sind zum Beispiel Michelangelo oder Melissa. Ende der 80er-Jahre gibt es dann auch erste Antivirenprogramme, die aber noch keine Selbstverständlichkeit sind. Insgesamt ist es eine Zeit der „digitalen Unschuld“ (Phase 1).
In Phase 2, Anfang der 2000er, geschehen jedoch mehrere Dinge parallel: E-Mail und Internet verbreiten sich stark, Banken müssen verstärkt Rücklagen für Vorfälle jeglicher Art – dazu gehören auch Cyberattacken – bilden und das Hacking kommerzialisiert sich. Zudem rücken Cyberangriffe durch weitverbreitete Viren wie Loveletter in den Fokus der Öffentlichkeit und verursachen in den Unternehmen große Schäden. Daher beginnen sie sich für das Thema Cybercrime-Bekämpfung zu interessieren und stellen die erste Welle CISOs ein, die meist entweder technikaffin oder auch nur BWLer sind – also fachlich meistens eher weit weg vom Thema Cybersecurity. So fällt dem Autor ein Zitat eines Gruppenleiters ein, der ihn damals irgendwann fragte, wann das Trustcenter, das sich um hausinterne E-Mail-Verschlüssselung kümmerte, endlich zu einem „Profit-Center“ werde.
Der nächste große Wandel (Phase 3) kommt mit dem BSI-Gesetz im Jahr 2017, das circa 2000 Firmen in Deutschland, die nun als kritische Infrastruktur bezeichnet werden, – es aber vorher schon waren (!) – zwingt, massive Sicherheitsmaßnahmen umzusetzen und entsprechende Nachweise zu erbringen. Das führte zu einer starken Nachfrage an Sicherheitsexperten. So wurden beispielsweise im Juni diesen Jahres auf einem großen Online-Jobportal rund 300 Vollzeitstellen für das Schlagwort „IT Security“ angeboten – und das nur in Frankfurt am Main. Das zeigt, wie schwer es den Unternehmen fällt, qualifizierte Arbeitnehmer zu finden.
Dieser Engpass und ein fehlendes Verständnis für IT-Security auf der Management-Ebene bewirkt jedoch, dass auch in dieser Phase oft nicht ein profundes Securitywissen, sondern andere Faktoren Grundlage für die Einstellung von CISOs sind. Aus Gesprächen mit Dritten sind dem Autor Fälle bekannt, bei denen zum Beispiel Projektleiter, Personen mit einem militärischen Nicht-IT-Werdegang, Informatiker ohne Securitybezug oder Juristen zum Leiter IT-Security eingesetzt wurden. In einer aktuellen Stellenausschreibung für einen Information-Security-Officer einer Firma in Hamburg heißt es beispielsweise: „Sie verfügen über ein abgeschlossenes Studium der Nachrichtentechnik, Informatik (FH, BA) […] oder über eine andere Ausbildung mit vergleichbaren fachlich wertvollen Kenntnissen. Idealerweise haben Sie im Laufe Ihrer Karriere unterschiedliche Zertifikate
zum Thema Informationssicherheit erworben“. Mehr muss man dazu eigentlich nicht sagen.
Natürlich gibt auch hoch qualifizierte und engagierte Mitarbeiter, dennoch belegen die Beispiele, wie die Topmanagement-Ebene über IT-Security-Jobs denkt: Es ist ein beliebig austauschbarer Job, für den anscheinend jeder qualifiziert ist.
So wichtig ist das nicht.
Darüber hinaus haben viele Entscheider die Bedeutung des Postens selbst noch immer nicht verstanden. So hörte der Autor von einem Fall, bei dem eine ausländische kleine Bank in Deutschland einen CISO suchte, die erst wenige Jahre zuvor Opfer eines digitalen Raubs in Millionenhöhe war. Der einzustellende CISO sollte als Ein-Personen-Abteilung nicht nur für den Schutz der deutschen Zweigstelle sorgen, sondern auch noch die zusätzliche Jobrolle als Datenschutzbeauftragter innehaben. Von Verständnis für die Cybersecurity – gerade nach einem schweren Vorfall – kann hier wohl nicht die Rede sein. Auch ein großer deutscher Reiseveranstalter fusioniert die Aufgaben des relativ hoch bezahlten CISOs mit anderen Dingen, wie dem Lizenzmanagement – zwei völlig unterschiedliche Aufgaben. Somit wird der Sicherheitsbeauftragte zu einer Teilzeitstelle.
Ein weiteres Beispiel: Ein Unternehmen aus dem Bereich Logistik mit zigtausenden Mitarbeitern sucht derzeit bundesweit zahlreiche IT-Security-Experten. Wie der Autor im Bekanntenkreis hörte, dauert es zwischen „moderner Online-Versendung des Lebenslaufes durch den Bewerber“ und einer Einladung zu einem Gespräch durch den Arbeitgeber durchaus vier Monate – und das trotz Fachkräftemangel. Das deutet nicht gerade darauf hin, dass das Unternehmen auf Personalebene die Bedeutung von IT-Security wirklich versteht. Noch unverständlicher ist das, da die Firma vor kurzer Zeit in den Fokus der Presse geriet, weil ein Befall mit der Wannacry-Malware an für den Kunden sehr exponierter Stelle stattfand.
CISOs nerven nur rum
Auch ein Problem ist das negative Image der Securityexperten: Sie sind Bedenkenträger beziehungsweise Verhinderer. In einem kürzlich gehörten Vortrag nannte der Vortragende die IT-Security das „NO“ in Innovation. Kein Wunder also, dass man diesen Dauerprotestierern in vielen Unternehmen wenig Gehör schenkt. Inzwischen gibt es Vorträge auf Konferenzen, die sinngemäß den Titel tragen „So bringen Sie als CISO den Vorstand dazu, Ihnen wenigstens 5 Minuten zuzuhören“ – das sagt vieles.
Allerdings ist es die Aufgabe der IT-Security, unbequem zu sein und sich damit Gehör zu verschaffen. Ansonsten machen die Vorteile eines Projektes oder Systems die Entscheider eventuell blind für die Gefahren. Das Problem dabei ist, dass es bei vorsätzlichen Taten, wie Hacking, keine belastbaren Wahrscheinlichkeiten gibt. Somit ist manche Gefahr, auf die ein Securitybeauftragter hinweist, vielleicht durch einen glücklichen Zufall länger nicht real geworden. Was jedoch nicht bedeutet, dass es diese Gefahr nicht gibt und sie nicht vielleicht morgen schon real wird.
In dem Kinofilm „World War Z“ übersteht die Hauptstadt eines Landes die Zombieapokalypse etwas länger, da es im Gremium der Entscheider die Jobrolle des Bedenkenträgers gab, der auf unwahrscheinliche Gefahren hinweist und damit Gehör für proaktive Gegenmaßnahmen fand. In der Tat zeigt die Realität, dass für Cybersecurity viele Bedenken gar nicht stark genug sein können. So entstand dem Unternehmen FedEx durch die Malware NotPetya im Jahre 2017 ein Schaden von 300 Millionen Dollar.
Aber leider findet die „kritisch-vorausschauende“ IT-Security oft keine Akzeptanz. Termindruck von Projekten, die mit der Realisierung verbundenen Vorteile und der digitale Transformationsdruck stehen oft im Widerspruch zum mäßigenden Einfluss der Cybersicherheit. Ein Beispiel hierfür ist das Internet of Things: So werden inzwischen Fahrstühle für eine einfachere Wartung mit dem Internet verbunden. Wie der Hersteller aber in 50 Jahren – eine durchaus realistische Lebensdauer eines Aufzugs – ein Patchmanagement garantieren will, bleibt unklar [2].
Auf dem Papier sieht es gut aus
Viele Firmen neigen dazu, IT-Security nicht aus Selbstschutz zu betreiben, sondern aus Compliance- Gründen oder weil es für die Kunden wichtig ist. Ein ISO- 27001-Zertifikat erzeugt gegenüber der Aufsichtsbehörde, den Kunden und beim Management des Unternehmens das wohlige Gefühl von Sicherheit.
Selbstverständlich weist ein solches Zertifikat oder auch das Vorhandensein vieler Policies darauf hin, dass das Unternehmen geeignete und viele Schutzmaßnahmen getroffen hat. Es bietet aber trotzdem keinen völligen Schutz. Zum Beispiel dann nicht, wenn die Prozesse nicht kontinuierlich gepflegt und überarbeitet werden. Deswegen ist, wie oben besprochen, qualifiziertes Personal so überaus wichtig: Ein CISO, der mal zu Übungszwecken ein System gehackt hat, vertraut nicht auf den Papierschutz. Ein Sicherheitsexperte, der eher fachfremd ist, neigt eher dazu, einem Papier als Schutzmaßnahme zu vertrauen.
Die Technik wird uns schon retten
Ein weiterer großer Fehler in den Köpfen von Entscheidern ist der Glaube an die Allmacht der Technik und das Vertrauen in die Schutzmaßnahmen. Neu ist das sicher nicht, schon im Mittelalter schützte das Gefühl, in einer Ritterrüstung zu stecken, mehr als die Rüstung selbst. So setzten in der Schlacht von Hastings 1066 die Normannen erstmals im größeren Maße Armbrüste ein, die auch Rüstungen durchschlagen konnten.
Die digitalen Ritterrüstungen unserer Zeit heißen beispielsweise Security-Information-and-Event- Management (SIEM), Virenscanner und Firewall. Diese bieten auch einen gewissen Schutz, sind aber sicher nicht undurchdringlich. Denn ein einzelner Mitarbeiter, der einen E-Mail-Anhang mit Malware darin anklickt, kann das gesamte Netzwerk eines Unternehmens infizieren.
Leider können wir als Träger der Rüstung den Angreifern nicht – wie die katholische Kirche es 1139 für die Armbrust tat – die Verwendung von besonders durchdringenden Hilfsmitteln verbieten. Da jedoch, wie weiter oben beschrieben, viele Entscheider leider keine praktische Hackererfahrung haben, neigen sie dazu, sich durch technische Maßnahmen in Sicherheit zu wiegen – ein Irrtum!
Auf die Prozesse ist Verlass
Neben dem Glauben an die Technik ist der Glaube an organisatorische Maßnahmen etwas, das oft falsche Sicherheit vermittelt. So wollen Manager häufig eine Awarenesskennzahl bestimmen, etwa im Sinne von „nach der Awareness-Aktion im Intranet klicken nur noch 10 % der Benutzer auf eine Phishing-E-Mail“. Das mag zwar interessant klingen, wenn vor der Schulung 20 % darauf geklickt haben, aber wie man bei der aggressiven Malware Emotet sieht, reicht ein Mitarbeiter, um ein Firmennetzwerk zu infizieren [3].
Auch das Vertrauen in einen hohen Schutz durch ein Security-Operations-Center (SOC) ist ein Irrweg. Selbstverständlich ist ein SOC etwas, das nicht jedes Unternehmen bieten kann und das die Sicherheit stark erhöht – aber es ist nicht fehlerfrei. Nehmen wir ein Gedankenbeispiel: Ein Benutzer wendet sich an den IT-Support der eigenen Firma, da er eine seltsame E-Mail mit einem Link bekommen hat. Nachdem er den Link angeklickt hat, kommen ihm dann doch Bedenken, da er den Absender nicht kennt und die oben genannte Awarenesskampagne vielleicht etwas gefruchtet hat. Es ist durchaus denkbar, dass der Supportmitarbeiter hier kurz auf das Ergebnis des Virenscanners sieht und entweder feststellt, dass der Virenscanner nichts gefunden hat oder er die Malware erkannt und die heruntergeladene Software gelöscht hat. Im Fall der gefundenen Malware wurde von der Antivirensoftware aber vielleicht nur ein Teil erkannt. Bei ausgeklügelten Viren kann die Software auch gar nichts finden und fälschlicherweise behaupten, alles sei in Ordnung. Was aber wirklich auf der Maschine passiert, weiß niemand. Angenommen, der Support wäre nun „security aware“ (hoffen darf man), so könnte er zwei Dinge tun: Beim SOC die IP-Adresse des Ziels des Malwarelinks sperren lassen und den Rechner des Benutzers neu aufsetzen. Jetzt ist es aber auch denkbar, dass das SOC keinen Handlungsbedarf sieht, zum einen weil der Virenscanner nichts anzeigte, zum anderen weil man sich auf die tägliche Aktualisierung der Malwarepattern verlässt. Schon hat man zwar – auf das mittelalterliche Beispiel übertragen – eine Burg mit Burgwächtern und Türmen (SOC), aber diese sehen die Angreifer, die nachts ohne Fackeln kommen, nicht.
Wer versteht denn das?
In der Regel sind einfach strukturierte Angriffe leicht zu erkennen und abzuwehren. Selbst echte Vorfälle sind meist mühelos behebbar. Sofern sie überhaupt an die Geschäftsführung berichtet werden (Tagesgeschäft), fallen sie in die Kategorie „kleiner Vorfall, abgewehrt, Schulterklopfen für den CISO verdient“. Doch leider gilt das nicht für alle Angriffe, so gab es 2016 eine sehr raffinierte Attacke auf die Firma Thyssen-Krupp [4]. Der Wettlauf mit den Hackern erstreckte sich über Wochen – faszinierend ist dabei die Professionalität des Vorgehens. Wie erklärt der CISO so etwas dem Vorstand? Versteht der CISO denn überhaupt, was das SOC-Team ihm erläutert? Ist eine derartige Berichterstattung nach oben denn gewollt? Wie der Autor von vielen Bekannten hörte, gibt es oft den sogenannten Melonen-Effekt: Dinge werden auf Arbeitsebene als tiefrot dargestellt, als gelb weitergemeldet und kommen beim Vorstand als grün an. Die hohe Komplexität von Angriffen ist ein weiteres Hindernis für eine bessere IT-Sicherheit.
Fazit
Die aufgeführten Beispiele zeigen, dass der größte Feind der Cybersecurity nicht der Hacker ist, sondern die „Mindwall“ in den Köpfen der Entscheider. Diese basiert vor allem auf folgenden Fehlern:
– Personalabteilungen besetzen CISO-Posten mit fachfremden, nicht hackeraffinen Managern.
– Unternehmen nehmen die IT-Sicherheit und den CISO nicht ernst genug.
– Manager vertrauen blind Zertifikaten, Technik und Organisationsprozessen.
– Das Führungspersonal (inklusiver einiger CISOs) versteht die hohe Komplexität von Security-Incidents nicht.
Was kann man nun dagegen tun? Unternehmen können zum Beispiel ihre IT-Security aufwerten – angefangen bei der Ausschreibung (Warum muss das vier Monate dauern, bis man den Kandidaten einlädt?), über die Einstellungskriterien (Fachwissen schadet nicht), die Bezahlung (Wer nur mit Zitronen zahlt, darf sich nicht über Limonensaft wundern) bis hin zum „Gehör schenken“ und einen kritischen Verstand erwarten.
Ferner sollten Unternehmen nicht nur der Technik, den Zertifikaten und organisatorischen Strukturen vertrauen. Security ist mehr! Stattdessen sollten sie eine offene Firmenkultur entwickeln, in der Mitarbeiter alles ansprechen können, egal wie unbequem es ist. Manager sollten nicht fragen, was der CISO für sie tun kann, sondern eher, was sie für den CISO tun können. An dieser Stelle: Wann wurde er das letzte Mal gelobt?
Literatur
[1] Uli Ries, „Cyberattacke in der Keksfabrik“, Spiegel Online, August 2015, www.spiegel.de/netzwelt/web/erpressung-durch-cyberattacken-angriffsziel-industrieanlage-a-1048034.html
[2] Sebastian Broecker, „Wie patcht man eigentlich eine Stadt? Das IoT befeuert ein ‚Internet of Threats'“, <kes> 2017#4, S. 6
[3] Jürgen Schmidt, „Trojaner-Befall: Emotet bei Heise“, c’t, Juni 2019, www.heise.de/ct/artikel/Trojaner-Befall-Emotet-bei-Heise-4437807.html
[5] Jürgen Berke, „Großalarm hätte die Risiken erhöht“, Wirtschaftswoche, Dezember 2016, www.wiwo.de/unternehmen/industrie/spionageangriff-auf-thyssenkrupp-grossalarm-haette-die-risiken-erhoeht/14948264.html
Dr. Sebastian Broecker ist Referent bei der Deutschen Flugsicherung und nebenberuflich als freier Autor/Journalist tätig.