„Bring your own device“ war schon vor Covid-19 eine Herausforderung, durch die Pandemie wurde es jedoch weiter verschärft. Das Home Office wurde zum Standard, oftmals unter Verwendung privater Ressourcen, meist des heimischen W-Lans, nicht selten auch des privaten Laptops und des privaten Mobiltelefons.
Ein schon länger anhaltender Trend der Digitalisierung ist die fundamentale Umstrukturierung der IT-Architekturen. Hatten früher Unternehmen und Behörden die eigenen digitalen Ressourcen vorwiegend im eigenen Haus, also on-premise, so sind diese heute meist verteilt – im technischen wie auch im administrativen und rechtlichen Sinne. Die klassische Trennung mittels Firewall und VPN zwischen internen und externen IT-Ressourcen ist deshalb bei weitem nicht mehr ausreichend, das klassische, perimeterbasierte Sicherheitsmodell hat ausgedient.
Die eigenen IT-Infrastrukturen, Dienste und Daten befinden sich oft in Public Clouds, und viele IT- und Business-Funktionen sind teilweise oder ganz an Partner und Dienstleister ausgelagert. Man denke etwa an SAP und Microsoft Office 365, aber auch an Helpdesks, Abrechnungssysteme, Managed Security Services und IT-Dienstleister, die Konfiguration und Management der gesamten IT aus der Ferne übernehmen.
Ausgelagerte Prozesse und Ressourcen sind naturgemäß weniger transparent für die beauftragende Organisation. Die IT- und Cybersicherheitsorganisation hat weniger Wissen darüber, wie die eigene IT aussieht und funktioniert, weniger Einsicht in den Zustand dieser IT und insgesamt weniger Einfluss und weniger Eingriffsmöglichkeiten – behält aber oft die volle Verantwortung.
All diese Entwicklungen führen zu einer dramatischen Vergrößerung der Angriffsfläche von Organisationen: Cyberkriminelle haben heute sehr viel mehr Möglichkeiten als früher, in die IT ihrer Opfer einzudringen. Hinzu kommt die Verschlechterung der wirtschaftlichen und geopolitischen Lage, was insgesamt die Motivation für Cyberangriffe stark erhöht. Angesichts dieser Entwicklungen ist es kein Wunder, dass die Cybersicherheitslage konstant angespannt bleibt.
Veränderte Rolle des CISO
Die oben beschriebenen Entwicklungen zwingen Organisationen, ihre Sicherheitsarchitektur einschließlich der Rolle ihres Sicherheitsverantwortlichen, also des Chief Information Security Officers (CISO), anzupassen. CISOs tragen die Gesamtverantwortung für die Entwicklung und Umsetzung der Cybersicherheitsstrategie ihrer Organisation.
Ein besonderes Augenmerk sollten CISOs dabei auch auf die rechtliche Entwicklung haben: In den USA zeigte der Fall des Fahrdienstvermittlers Uber, dass unter gewissen Umständen ein CISO auch strafrechtliche Konsequenzen für falsche Entscheidungen befürchten muss. Im konkreten Fall wurde dem CISO von Uber die Behinderung der Justiz vorgeworfen, weil er einen Cyberangriff, bei dem in größerem Umfang persönliche Informationen erbeutet worden waren, gegenüber der Justiz verheimlicht hatte (Background berichtete).
Eine strafrechtliche Verfolgung mag übertrieben erscheinen. Prinzipiell ist es aber sehr wichtig, dass sich IT-Entscheider– CIOs, CDOs, CISOs, CROs und so weiter – ihrer besonderen Verantwortung bewusst sind und diese auch wahrnehmen. Sie haben diese Verantwortung nicht nur gegenüber ihrer eigenen Organisation, sondern auch gegenüber Mitarbeitern, Kunden, Geschäftspartnern und der Gesellschaft.
Letzteres gilt ganz besonders für Kritische Infrastrukturen, Behörden und andere aus Steuermitteln finanzierte Einrichtungen. Zumindest für öffentlich finanzierte Einrichtungen wäre es eine gute Praxis, regelmäßig der Öffentlichkeit einen Bericht zur eigenen Cybersicherheit, Vorfälle und Maßnahmen, vorzulegen.
Damit ein CISO tatsächlich die Gesamtverantwortung tragen kann, muss die Cybersicherheitsorganisation bei allen Themen, die eine Auswirkung auf die Cybersicherheit haben, informiert werden und ein entscheidendes Mitspracherecht haben. Dieses Mitspracherecht ist essenziell dafür, dass Organisationen ihre Sicherheitsarchitektur modernisieren und auf die veränderten Gegebenheiten anpassen können. Selbstverständlich genügt das Mitspracherecht alleine nicht. Es ist auch wichtig, dass überall in der Organisation, bei Partnern und Dienstleistern die notwendigen Sicherheitskompetenzen vorhanden sind.
Umstieg auf Cloud PlattformenDer Umstieg von vorwiegend on-premise IT-Infrastrukturen auf solche, die stark verteilt sind auf on-premise und off-premise, hat natürlich sehr umfangreiche Folgen für die IT-Organisation. Das IT- und das IT-Sicherheitsmanagement werden stark vereinfacht, wenn alles in einer Hand und unter einem Dach ist. Man hat die volle Kontrolle über alles und kann alles direkt überwachen. Aber dieses reine On-Premise Modell existiert praktisch nicht mehr. Organisationen jeder Größe verlagern zunehmend ihre IT-Ressourcen in Public Clouds und zu Dienstleistern.
Die grundlegenden Vorteile sind wohlbekannt, allen voran mehr Flexibilität und geringere Kosten, aber die Kehrseite ist ein Kontrollverlust. Cloud-Angebote sind meist vollständig standardisiert, auch im Bereich der Cybersicherheit, die Kunden müssen also ihre eigene Sicherheitsarchitektur letztlich an die der Cloud anpassen. Monitoring und Management der ausgelagerten IT-Infrastrukturen und Dienste erfolgen nur noch indirekt über den Dienstleister, wiederum entsprechend der vorgegebenen Standards.
Oft haben CIO und CISO praktisch keine Möglichkeit, genau zu wissen, welche konkreten IT-Ressourcen ihre Organisation nutzt, wie diese aussehen und wo sie sich befinden. Sehr viele Abhängigkeiten etwa zu weiteren Dienstleistern, und damit auch viele mögliche Angriffswege, bleiben verborgen.
Das heute vorherrschende Modell ist die Mischung zwischen on-premise IT und off-premise Cloud, mit dem Trend, den Schwerpunkt in Richtung off-premise zu verschieben. IT-Entscheider stehen damit vor der Herausforderung, entscheiden zu müssen, was in der Organisation gehalten werden muss, was ausgelagert werden kann, und wie man die Verbindung zwischen den beiden Welten absichert. Die Entscheidung basiert meist auf Risikobetrachtungen und rechtlichen, insbesondere datenschutzrechtlichen, Vorgaben.
Wo eine deutsche Eigenheit zum Risiko wird
Eine Besonderheit in Deutschland ist eine meiner Erfahrung nach hierzulande besonders stark ausgeprägte Vorliebe, Dinge im Zweifel lieber selbst zu machen als auszulagern. Für die Cybersicherheit ist das in vielen Fällen eher schädlich, da das Sicherheitsniveau großer Dienstleister meist über dem der einzelnen Kunden liegt.
Wir haben aber bei großen Organisationen auch schon das Gegenteil festgestellt, dass Dienste on-premise etwa sehr viel sicherer realisiert waren als in Public Clouds. IT-Entscheider müssen also bewusst unter Einbeziehung der eigenen Möglichkeiten für die Cybersicherheit entscheiden, welche Dienste ausgelagert und welche besser on-premise realisiert werden sollen.
Lieferketten und Angriffsfläche
Ein oft von Organisationen unterschätzter Angriffsweg führt über Lieferketten. So gut wie kein IT-Produkt oder IT-Dienst wird ausschließlich von einem Hersteller oder einem Dienstleister erbracht, hinter allen stehen Zulieferer von Komponenten oder weitere Dienstleister. Jede einzelne Komponente und jeder einzelne Subdienst beeinflusst aber potenziell die Sicherheit des Gesamtsystems, muss also überwacht und regelmäßig aktualisiert werden.
Je komplexer die Lieferketten, desto komplexer auch das Sicherheitsproblem. Folglich sollte man darauf achten, dass diese Lieferketten zumindest nicht unnötig komplex werden. Unserer Erfahrung nach bieten viele Komponenten deutlich mehr Funktionen, als eigentlich gebraucht werden und vergrößern dadurch ohne Not die Angriffsoberfläche.
Ein Beispiel hierfür zeigen die Ergebnisse unserer kürzlich abgeschlossenen Studie zur Sicherheit von SOHO Routern. Der Markt für solche Router ist sehr kompetitiv, der Kostendruck dementsprechend hoch. Das Resultat: Viele Hersteller bauen in ihre Router Funktionen ein, die eigentlich überhaupt nicht gebraucht werden, und sie verwenden dafür oft sehr kostengünstige, aber schlecht gewartete Softwarebibliotheken. Wir empfehlen daher, im Zweifel solche Produkte zu bevorzugen, deren Funktionsumfang möglichst nahe ist an dem, was wirklich gebraucht wird. Ein ausufernder Funktionsumfang, der gar nicht gebraucht wird, wird eher ein Sicherheitsrisiko.
Damit eine Organisation das Risiko durch Lieferketten einschätzen kann, muss sie diese Lieferketten zumindest kennen und notfalls wissen, wer für die Behebung eines Sicherheitsproblems zuständig ist. IT-Entscheider sollten daher darauf achten, die entsprechenden Informationen von ihren Lieferanten und Dienstleistern zu erhalten.
Bestandsaufnahme der eigenen ITDie erste Herausforderung in diesem Kontext ist die Bestandsaufnahme der digitalen Ressourcen – Anwendungen, Datenbanken, Server, Cloud Plattformen, Netze, IP-Blöcke, Domänen und so weite – von denen eine Organisation abhängt, also die eigenen, aber auch die, die Dienste für diese Organisation erbringen (also die Ressourcen entlang der verschiedenen digitalen Lieferketten).
Das klingt einfach, ist aber in der Praxis ein erstaunlich komplexes Problem. Prinzipiell haben zwar die meisten Organisationen entsprechende Konfigurationsdatenbanken, erfahrungsgemäß hinken diese aber der Realität oft hinterher, sind fehlerhaft und unvollständig. Manche IT ist ganz „vergessen“ und stellt dann mangels Wartung ein besonders lohnendes Ziel für Angreifer dar. Dementsprechend überrascht sind IT-Verantwortliche, wenn wir ihnen die Liste der Ressourcen vorlegen, die wir für sie identifiziert haben und die oft deutlich umfangreicher ist als erwartet.
Die eigenen digitalen Ressourcen zu kennen, genügt natürlich nicht, Sicherheitsorganisationen müssen diese digitalen Ressourcen auch regelmäßig auf ihre Sicherheit scannen, und dafür sorgen, dass veraltete oder unsichere Ressourcen oder solche, die nicht mehr benötigt werden, ausgemustert werden. Dieser Vorgang muss laufend wiederholt oder idealerweise sogar kontinuierlich durchgeführt werden.
Einbeziehung der Forschungs-CommunityEine wichtige Rolle spielt dabei auch die internationale Sicherheitsforschung. Diese untersucht aus eigenem Antrieb, wissenschaftlicher Neugierde oder schlicht Experimentierfreude, die Sicherheit von Organisationen, Produkten, Diensten und Standards. Gefundene Schwachstellen werden den jeweiligen Verantwortlichen vertraulich gemeldet, so dass die Probleme schnell und insbesondere rechtzeitig vor einer eventuellen Veröffentlichung beseitigt werden können.
IT-Entscheider sollten solche Forschenden als ihre Verbündeten betrachten und ihre Hilfe etwa durch Bug-Bounty-Programme motivieren und honorieren. Leider wird die Bedeutung der Community aber oft unterschätzt oder sogar negativ gesehen, als Cyberangriff oder Angriff auf die eigene Reputation.
Wer Schwachstellen oder Analysen meldet, dem wird nicht selten mit Polizei und Staatsanwaltschaft gedroht, oder man spielt die Bedeutung oder den Neuigkeitswert des gefundenen herunter, um nicht dem eigenen Management gegenüber zugeben zu müssen, dass man ein vielleicht sehr gravierendes Sicherheitsproblem selbst übersehen hat.
Das ist natürlich völlig kontraproduktiv. Jede solche Meldung führt zu einer Verbesserung der Sicherheit, und jede halbwegs komplexe IT enthält so viele Sicherheitsprobleme, dass es sicher keine Schande ist, ein bestimmtes Problem übersehen zu haben.
Den Angreifern keinen Wissensvorsprung geben
Um sich bestmöglich verteidigen zu können, dürfen die Cyberangreifer keinen Informationsvorsprung haben – alles, was ein Cyberangreifer über eine Organisation in Erfahrung bringen kann, müssen idealerweise auch die IT-Entscheidern dieser Organisation wissen.
Eine wichtige Datenquelle für Cyberkriminelle und damit auch für IT-Entscheider ist das Darknet. Die Erfahrung zeigt, dass es einige Tage bis Wochen dauert, bis ein kompromittiertes Konto, das im Darknet auftaucht, für einen weitergehenden Angriff zum Beispiel durch Ransomware verwendet wird. Der erste Angriff, durch den das Konto ursprünglich kompromittiert wurde, bleibt also oft lange unentdeckt.
So war es im Fall von Uber und Colonial Pipeline und auch vor kurzem bei der Universität Zürich und der TU Graz. Wer also das Darknet entsprechend beobachtet, gewinnt wertvolle Zeit und kann rechtzeitig die ursprünglichen Infektionen mit Schadsoftware bereinigen und die kompromittierten Zugangsdaten zurücksetzen. Das Darknet-Monitoring liefert dabei nicht nur Informationen über kompromittierte Konten, oft finden sich auch Hinweise auf kompromittierte Server, etwa IP-Adressen von mit einer bestimmten Schadsoftware infizierten Rechnern.
Das dafür notwendige Darknet-Monitoring ist relativ aufwändig und erfordert sehr spezielle Fähigkeiten. Die Daten müssen in den entsprechenden Darknet-Marktplätzen, Darknet-Shops, den Social-Media-Kanälen und Webseiten von kriminellen Gruppen eingesammelt werden. Die dabei entstehende Datenflut enthält erfahrungsgemäß sehr viel „Rauschen“.
Die relevanten Daten müssen also herausgefiltert und den jeweils betroffenen Organisationen zugeordnet werden. Oftmals finden sich im Darknet zudem besonders vertrauliche oder persönliche Daten. Die wenigsten Organisationen werden daher dieses Darknet-Monitoring selbst vornehmen können oder wollen, sondern eher entsprechende Dienstleister beauftragen. Wichtig ist, dass sich IT-Entscheider bewusst sind, welche zentrale Rolle kompromittierte Konten heute für Cyberangriffe spielen, und dass Darknet-Monitoring deshalb ein wichtiges Instrument ist, in diesem Punkt vor die Lage zu kommen.
Auf den Ernstfall vorbereiten
Aber auch umfangreiche Analysen und moderne Sicherheitsarchitekturen garantieren keine hundertprozentige Sicherheit. Organisationen müssen sich deshalb entsprechend vorbereiten und sicherstellen, dass auch nach einem schweren Cyberangriff der Betrieb schnell wiederhergestellt werden kann, auf der IT-Ebene ebenso wie auf der Ebene der Geschäftsprozesse, und dass zuverlässig alle notwendigen Warnungen und Meldungen an Behörden, Partner und Kunden erfolgen.
Die hier angesprochenen Punkte sind aus meiner Sicht besonders wichtig für die Cybersicherheit von Organisationen und verdienen mehr Aufmerksamkeit. Selbstverständlich sind das bei weitem nicht die einzigen wichtigen Herausforderungen, vor denen IT-Entscheidern heute stehen. Jede IT-Organisation muss für sich die Prioritäten setzen. Ich hoffe, dieser Artikel trägt dazu bei, den Herausforderungen der Cybersicherheit in den Planungen für 2023 die richtigen Prioritäten zu geben.
Haya Shulman ist Professorin für Cybersicherheit am Institut für Informatik der Goethe-Universität Frankfurt, Abteilungsleiterin am Fraunhofer-Institut für Sichere Informationstechnologie SIT und Mitglied im Direktorium des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE.
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuvor von Haya Shulman im Background Cybersicherheit erschienen: Wieso MFA nicht genügt
