IT-Sicherheit und des Kaisers neue Kleider – Alles auf Anfang

Cybersicherheits-Experten warnen seit Ende der 1990er Jahre, dass sich die Welt einerseits zu wenig Gedanken darüber macht, wie digitale Infrastrukturen abgesichert werden können, und das obwohl die Welt immer stärker vernetzt ist. Gavin Millard, ein White-Hat-Hacker und Technical Director EMEA bei Tenable Network Security, gehört zu jenen Experten, die seit Jahren auf Risiken hinweisen. „Wenn uns die Unzahl an Sicherheitsverletzungen des vergangenen Jahres eines gebracht haben, dann ist das die Erkenntnis, dass Verteidigungstechnologien alleine nicht länger genügen“, sagt Millard. „Natürlich sind Firewalls, Anti-Viren-Programme etc. nützliche Werkzeuge. Aber sie schließen nicht alle Lücken in der Cyber-Verteidigung. Diese hinterlassenen Lücken werden dann ausgenutzt. Die Situation erinnert mich sehr an die Geschichte „Des Kaisers neue Kleider“ – man denkt, gut gekleidet zu sein. Dabei ist man nackt, es sagt nur keiner.“

Aufbauend auf diesem Gedanken nennt Gavin Millard drei Bereiche auf die Unternehmen ihre Anstrengungen in den kommenden Monaten und Jahren konzentrieren müssen. Dann lassen sich die Datenpannen des Jahres 2015 vielleicht zu den Akten legen. Die Bedrohungslage: Tenable befragte vor kurzem Experten aus dem Bereich IT-Sicherheit auf der ganzen Welt, welche Bedrohung sie für die gefährlichste halten. In der Studie wurde durchgängig und wenig überraschend die „zunehmend komplexe Bedrohungslage“ als größte Herausforderung genannt. „In einer Zeit, in der wir alle von vernetzten Computern abhängig sind, kann mangelndes Vertrauen und Ungewissheit im Umgang mit ihnen schlimme Folgen haben“, erklärt Millard und fügt hinzu: „Viele Unternehmen sind lieber unwissend glückselig anstatt aktiv und präsent. Viele IT-Teams bekommen eher einen Dämpfer, wenn sie die Infrastruktur untersuchen und Sicherheitslücken stopfen, als wenn sie nichts tun und die Risiken unentdeckt bleiben. Unternehmen müssen sich dazu bekennen, vollen Einblick in ihr Netzwerk zu nehmen und Bedrohungen zu beheben, die gefährlich sind. Nur dann können sie sich selber als ‚abgesichert‘ zu bezeichnen.“



Vulnerability Management: Die Risiken zu verstehen ist laut Gavin Millard ein erster, guter Schritt, aber die eigene Bilanz zu verbessern sollte immer der nächste Schritt sein.

„Schwerwiegende neue Zero-Day-Schwachstellen werden inzwischen wöchentlich, manchmal täglich, entdeckt und sie sind ein enormes Risiko für Unternehmen“, führt Millard aus. „Die Lücken in der Sicherheit des eigenen Netzwerks zu identifizieren ist dabei nur der Anfang. Betrachten wir die vergangenen Jahre, so finden wir viele Unternehmen, die Schwachstellen nicht patchen. Es sind zum Beispiel immer noch 200.000 Systeme anfällig für Heartbleed. Das ist schlicht inakzeptabel.“ „IT-Sicherheit muss sich zu einem ganzheitlichen Echtzeitbild der Vorgänge in IT-Umgebungen entwickeln. Nur so können Unternehmen feststellen, wo die Abwehr durchbrochen ist und sie dann wiederaufbauen, bevor es dafür zu spät ist.“

Internet der Dinge: Die Umfrage Global Cybersecurity Assurance Report Card 2016 von Tenable förderte zu Tage, dass Unternehmen bereits jetzt damit kämpfen, Cyberrisiken mobiler Geräte einzuschätzen und zu managen. Nichtsdestotrotz werden im großen Stil und unvermindert vernetzte Geräte eingeführt.
„Technologie bleibt weiterhin ein Hebel, um jeden Aspekt unseres Lebens zu verbessern”, sagt Gavin Millard. „Immer neue Geräte und Sensoren werden in unseren Häusern, Autos und in Form von Wearables sogar auf uns untergebracht. Hinzu kommen neue Cloud-Dienste, um die gewonnenen Daten zu sammeln und zu analysieren.“ „Das Problem daran ist, dass die Sicherheit dieser Geräte zu Gunsten einer schnelleren Markteinführung und eines niedrigeren Preises zurückstehen muss. Die meisten bestehenden Endpoint-Lösungen sind aber nicht in der Lage, die neuen Geräte und Sensoren zu bewerten. Meiner Meinung nach ist es deshalb leider nur eine Frage der Zeit, bis wir in den kommenden zwölf Monaten die erste massive Sicherheitsverletzung beim Internet der Dinge erleben. Verschärft wird diese Situation dadurch, dass das Internet der Dinge (IoT) sich auch in der Schwerindustrie immer weiter ausbreitet. Es besteht Grund zu der Sorge, dass die zunehmenden Cyberangriffe auf Industrie-Kontrollsysteme, zum Beispiel SCADA, die aufkommende Technologien übernommen haben, 2016 in einem weiteren physischen Schaden enden.

Am Ende der Geschichte über des Kaisers neue Kleider, stolziert der Monarch in „unsichtbarem“ Zwirn durch die Stadt. Die Menschen stehen Spalier, spielen das Spiel mit und loben die Schönheit der neuen Kleider, bis ein Kind ausruft „Der Kaiser ist nackt!“.

Der Kaiser aber marschiert weiter, blamiert, aber zu stolz zuzugeben, dass er hereingelegt wurde.

„Deutschlands Cybersicherheits-Score liegt bei 72%. Wir wissen aus der Umfrage, dass sich die Sicherheitsexperten im Land überfordert und unterbesetzt fühlen und außerdem Schwierigkeiten haben, mit den umwälzenden Innovationen im Bereich Mobilegeräte und Cloud Schritt zu halten“, so Gavin Millard. „Anders als beim Kaiser, der zu viel Einblick gewährte, haben Unternehmen heute zu wenig Einblick in ihre IT-Sicherheit. Obwohl sie ihr Bestes geben, haben sie keine Antwort auf die Frage ‚Woher wisst ihr, dass ihr abgesichert seid?‘“