Jeder, der auch nur ein bisschen Ahnung von IT-Sicherheit hat, weiß, dass praktisch jedes IT-System angreifbar ist. In der IT jeder Firma und jeder Behörde gibt es Schwachstellen, die Cyberangreifer müssen sie nur finden, und das ist leider gar nicht so schwierig. Das wissen natürlich auch die IT-Verantwortlichen.
Seit einigen Jahren führen wir regelmäßig Sicherheitsstudien durch, bei denen wir die Angriffsoberflächen einzelner Organisationen und ganzer Sektoren untersuchen. Dazu gehört auch, dass wir im großen Umfang vorhandene Schwachstellen, kompromittierte Konten und andere „Indicators of Compromise“ finden – und natürlich den IT-Verantwortlichen melden.
Es kommt auf die Größe an
Viele dieser IT-Verantwortlichen reagieren sehr professionell und positiv. Es gibt aber auch andere Reaktionen, von Realitätsleugnung bis hin zu Drohungen. Über die Jahre haben wir bei unseren Studien in Deutschland – politische Parteien, KMUs und DAX-Konzerne, Universitäten und Forschungsinstitute, Landesverwaltungen und vieles andere mehr – ein paar interessante Korrelationen festgestellt.
Size matters, zumindest in der Industrie: Große Unternehmen reagieren unserer Erfahrung nach durchweg professionell, vom Vorstand bis zu den IT-Abteilungen. Wir finden kompetente Ansprechpartner, die Verantwortlichen reagieren sofort und wissen die Informationen, die wir liefern, zu würdigen. Aber auch kleinere Unternehmen reagieren zumindest positiv. Je kleiner, desto aufwendiger wird es für uns, denn oft fehlen in den Unternehmen dann die Strukturen, die es braucht, um solche Informationen beurteilen und in konkrete Handlungen übersetzen zu können.
Öffentliche Stellen oft weniger professionell
Ein sehr viel größeres Spektrum sehen wir im öffentlichen Dienst. Auch hier gibt es die professionellen IT-Abteilungen, die sofort wissen, was zu tun ist. Aber leider auch oft IT-Verantwortliche, die völlig überfordert sind und sich dann nicht selten eher gegen uns als gegen die Cyberangreifer wehren. Die Klassiker sind natürlich die Drohung mit der Staatsanwaltschaft oder wenigstens mit der DSGVO. Ein paar speziellere Highlights: Wir finden einen verwundbaren Server, der laut Register der untersuchten Organisation gehört. Die Reaktion der Organisation: „Dafür sind wir nicht verantwortlich, den hat ein Mitarbeiter installiert, ohne uns Bescheid zu geben.“ Aber im Internet liegt der Server in einer Domäne der Organisation und kann deshalb für Angriffe verwendet werden.
In einer unserer Studie zeigen wir, dass solche Situationen tatsächlich häufig vorkommen und z. B. für Phishing und zur Verteilung von Schadsoftware missbraucht werden. Ein anderes Beispiel: Wir finden bei einer Organisation hunderte offene Schwachstellen, kompromittierte Passwörter und Indizien, aus denen man schließen kann, von welchen Rechnern die Passwörter gestohlen wurden. Die Reaktion: „Die Schwachstellen kannten wir schon, die können wir nicht alle schließen. Und mit den Passwörtern und Hinweisen auf kompromittierte Rechner fangen wir nichts an, das sind persönliche Daten, die wir gar nicht haben dürfen.“ Von keinem einzigen Industrieunternehmen kamen Kommentare dieser Art.
Knappe Budgets und Verantwortungsdiffusion
Woher kommen diese großen Unterschiede zwischen Industrie und öffentlichen Einrichtungen? Wieso sind die Reaktionen aus der Industrie im Schnitt so viel professioneller als die aus öffentlichen Einrichtungen? Ein Grund sind zweifelsohne die viel zu knappen Budgets für IT-Sicherheit und die viel zu geringen Gehälter im öffentlichen Dienst. Wenn der Staat schnell etwas für die Cybersicherheit in Verwaltung, Wissenschaft, Lehre usw. tun wollte, sollte er schlicht die IT-Budgets erhöhen und Gehälter wie in der Industrie zulassen.
Budgets und Gehälter sind aber nicht alles. Ein anderes Problem, auf das wir oft gestoßen sind, ist die Verantwortungsdiffusion in dezentral aufgebauten Einrichtungen, z. B. in Hochschulen und großen Forschungsgesellschaften. Dort gibt es oft eine zentrale Verwaltung mit einem Ciso und einer IT-Sicherheitsorganisation. Aber die Budgets und die operative Verantwortung liegen meist nicht dort, sondern bei den dezentralen Einheiten. Der zentrale Ciso hat auf dem Papier die Verantwortung, aber weder den Überblick noch die Macht, diese wahrzunehmen.
In einer solchen Situation ist es zwar verständlich, dass Sicherheitsprobleme eher geleugnet und kleingeredet als angegangen werden. Die Verantwortlichen haben Angst, dass man ihnen Versagen vorwirft. Aber es ist trotzdem falsch und schadet den Verantwortlichen selbst. Nur indem Cisos gegenüber ihren Vorgesetzten die vorhandenen Sicherheitsprobleme klar benennen und durch Studien belegen, haben sie eine Chance, ihr Budget und ihren Einfluss zu vergrößern.
Fazit
IT-Sicherheit braucht angemessene Budgets und qualifiziertes Personal. Große Unternehmen haben es einfacher als kleine. Wer sich kein qualifiziertes Personal leisten kann, tut gut daran, die Verantwortung für die eigene IT auszulagern. Die Industrie hat es leichter als die öffentliche Hand. Auch hier kann auslagern helfen, aber mehr noch eine Änderung in den Budgets und Gehaltsstrukturen. Und schließlich braucht man eine effektive Sicherheitsorganisation, die die Realität der Organisation widerspiegelt. Gibt es einen zentralen Ciso und eine zentrale IT-Sicherheitsorganisation, die die Verantwortung tragen sollen, dann muss man diesen auch die entsprechenden Mittel und Kompetenzen geben.
Haya Shulman ist Professorin für Informatik an der Goethe-Universität Frankfurt am Main, Abteilungsleiterin am Fraunhofer SIT und Mitglied im Direktorium des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE.
Michael Waidner ist Professor für Informatik an der TU Darmstadt, Leiter des Fraunhofer SIT und CEO von ATHENE.
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich der Cybersicherheit ein. Zuvor von Shulman und Waidner im Background Cybersicherheit erschienen: Die unterschätzte Gefahr von Denial-of-Service-Angriffen
