Von Dr. Karsten Nohl
Sicherheit wird heutzutage hauptsächlich als technische Abwehr von Angriffen verstanden. In der Konsequenz verursachen Angriffe, welche technische Barrieren durchdringen, oft hohen Schaden. Es lohnt sich, vom Gesundheitssystem zu lernen: Wir brauchen einen holistischen Sicherheitsbegriff, um Hacking-Schäden zu minimieren. Die oft gestellte Frage „Sind wir sicher?“ ist in einem technisch zunehmend unüberschaubaren Umfeld immer schwieriger zu beantworten. Oft ist nicht einmal klar, nach welcher Sicherheit überhaupt gefragt wird, und wie sie zu quantifizieren ist: Sprechen wir von der Wahrscheinlichkeit von Hacking-Angriffen, über unser Wissen darüber oder über den Aufwand, den wir treiben, um sie zu verhindern?
Eine Annäherung an den Sicherheitsbegriff könnte vom Schaden ausgehen: Sicher ist, wer keinen Schaden erleidet. Mit einer solchen Rückwärtsdefinition wird zum einen klar, dass Sicherheit nicht allein ein technisches Thema sein kann. Es müssen auch finanzielle, geschäftliche, kulturelle, psychologische und emotionale Komponenten im Sicherheitsmanagement berücksichtigt werden.
Schaden zu verhindern, also „mehr Sicherheit“ herzustellen, kann somit keine technische Disziplin bleiben, und sollte stattdessen als Überbegriff alle zur Schadensvermeidung notwendigen Phasen eines Prozesses umfassen. Drei solcher Phasen sind das Vermeiden technischer Schwachstellen, das Aufspüren von Hacking-Mustern und das Abmildern der Folgen erfolgreicher Hacking-Angriffe.
Jede dieser Phasen hat in der Theorie das Potenzial, jeglichen Schaden komplett zu verhindern: Wenn alle Angriffe jeweils verhindert oder sofort entdeckt oder im Effekt maximal gemildert werden, entsteht kein Schaden.
Die Beschränkung auf eine der Disziplinen – zum Beispiel die technische Schwachstellenbeseitigung – wäre ein Trugschluss aus dieser theoretischen Betrachtung, da die praktische Ausprägung jedes einzelnen der drei Schutzschilde immer unvollständig und löchrig bleiben wird. Zudem haben Schutzmaßnahmen einen abnehmenden Grenzertrag: Drei hintereinander geschaltete „80-Prozent-Lösungen“ in den drei Disziplinen werden meist günstiger sein als eine einzelne „90-Prozent-Lösung“; und in Summe weit effektiver.
Akzeptable Schadensminimierung – und somit „hohe Sicherheit“ – wird daher in der Praxis meist nur erreicht, wenn alle Schutzschilde aufgebaut werden, im gleichzeitigen Eingeständnis, dass deren Löcher immer wieder durchlässig für Hacking-Versuche sind. Nur in Kombination der drei Schilde sinkt die Wahrscheinlichkeit für den Hacker, in jedem ein passendes Loch zu finden.
Beim Schutz unserer Gesundheit hat sich eine sehr ähnliche Herangehensweise zur holistischen Schadensminimierung bewährt: Es gibt keinen einzelnen Faktor, an dem sich messen lässt, ob ein Mensch gesund bleiben wird; genau wie es keinen eindeutigen Indikator gibt, ob eine Firma Opfer eines Hacker-Angriffs wird.
Dennoch haben sich Methoden und Systeme etabliert, Gesundheit zu erhalten. Auch diese sind meist in drei Schutzstufen gegliedert: Prävention, Behandlung und Rehabilitation.
In der Prävention ist jeder dazu angehalten, selbst „richtig“ zu handeln und andere zu positivem Verhalten zu bringen: Wir essen ausgewogen, achten die Straßenverkehrsordnung und meiden Infektionsherde. In der IT-Sicherheit wird zu „Gutverhalten“ durch Sicherheits-Policies auf Unternehmensebene und durch Sicherheitsgesetze auf Gesellschaftsebene angehalten – leider oft ineffektiv. Zur Prävention gehört ebenso das Abwehren von Angriffsversuchen: Was für unsere Gesundheit Vitamin C, weiße Blutkörper und Magensäure leisten, wird in der virtuellen Welt von Firewalls, Virenscannern und Positivlisten erreicht.
Die Behandlung, also das Erkennen erfolgreicher Angriffe, ist vom Fieberthermometer bis zum Arztbesuch zentraler Bestandteil unseres Gesundheits- Managements. In der IT sind die entsprechenden Disziplinen des Sicherheits-Monitorings und der Forensik weit weniger verbreitet. Branchenbeobachter sehen hier den wichtigsten Aufholbedarf um den aktuell beobachteten gezielten Angriffen, etwa aus China oder den USA, etwas entgegnen zu können. In der Rehabilitation werden die Folgen von Angriffen gemindert. Ähnlich wie in der Reha-Klinik oder in der psychologischen Aufbereitung muss oft in kleinen Schritten und über lange Zeit durch Öffentlichkeitsarbeit Schadenspotenzial abgebaut werden.
Energie bringen Firmen vor allem für Prävention auf; die anderen beiden Handlungsfelder werden im Vergleich vernachlässigt. Das effektiv erreichte Schutzniveau steht daher in schlechtem Verhältnis zum Aufwand: Ein einziger erfolgreicher Angriff richtet viel Schaden an und lässt getätigte Investitionen obsolet erscheinen.
Bei der Diagnose/Behandlung von Hacking-Angriffen besteht derzeit das größte Schutzvakuum. Dies zeigt sich in der täglichen Arbeit von Sicherheitsmanagern oft darin, dass bei jeder genaueren Betrachtung erfolgreiche Angriffe detektiert werden. Das resultierende „Tal vor dem höheren Berg“ schreckt viele vor der Aufgabe ab – in der Konsequenz bleiben Organisationen lieber im Dunkeln.
Eine ähnliche Situation wäre in der Gesundheit nicht hinzunehmen: Bei jedem unregelmäßigen Arztbesuch zufällig mit einer schweren Krankheit diagnostiziert zu werden, wäre inakzeptabel – sehr viel regelmäßigere Untersuchungen die logisch notwendige Konsequenz. Das gleiche Umdenken steht den Firmen in weiten Teilen noch voraus: Mut zur Diagnose und Mut zum Eingeständnis der eigenen Verwundbarkeit gehören aber unabdingbar zum holistischen Sicherheitsmanagement – wie der Arztbesuch zum langen, gesunden Leben.
Sicherheitsmanager sollten im nächsten Schritt hinterfragen, ob Angriffe hinter dem ersten Schutzschild entdeckt werden und falls dies nicht durchweg der Fall ist, die nötige Transparenz herstellen. Technische Werkzeuge wie IPS-Systeme sind schnell verfügbar, benötigen aber in bester Detektivmanier bei der Interpretation der Indizien spezifisches Wissen über die zu schützenden Datenwerte.
Das Aufdecken der bisher „unter dem Radar“ erfolgten Angriffe führt kurzfristig zu mehr Arbeit und wird – wie der Zahnarztbesuch nach langer Zeit – nicht gern angegangen. Die Behandlung und Rehabilitation des Schadens ist aber zur holistischen Schadensbegrenzung unumgänglich.