beebright - stock.adobe.com
Was kann die IT-Sicherheit aus der Krise lernen?
Wenn Firmen wettbewerbsfähig sein wollen, müssen sie gut vernetzt sein. Das birgt Risiken, wie Angriffe auf Lieferketten zeigen. Daher lassen sich Lehren aus der Pandemie ableiten.
Sollte die Menschheit jemals eine Erinnerung an unsere gegenseitige Abhängigkeit benötigt haben, dann hat die COVID-19-Pandemie genau diesen Zweck erfüllt. Um die Krise zu adressieren, greifen wir zunehmend zu digitalen Technologien – doch damit wächst auch die gegenseitige Abhängigkeit exponentiell.
Und es steigt auch unsere Anfälligkeit für die Risiken der virtuellen Welt, denn Unternehmen müssen immer digitaler und vernetzter sein, um künftig wettbewerbsfähig zu bleiben. Es ist also unumgänglich, schnellstmöglich mit den Vorbereitungen auf eine potenzielle Cyberpandemie zu beginnen – denn diese könnte vielleicht noch mehr als das Coronavirus das Potenzial haben, unser Leben umzukrempeln.
Stellen wir uns für einen Moment das Undenkbare vor: Eine Welt ohne Telefon und Internet, mit stillstehenden Lastwagen, Zügen und Flugzeugen, weil Zapfsäulen und Ladestationen außer Betrieb sind; geschlossene Banken; unterbrochene Lebensmittelversorgungsketten; und Notdienste, die praktisch nicht mehr verfügbar sind.
Diese düstere Realität ist unausweichlich, wenn die Stromversorgung durch einen Cyberangriff auf unsere Netze unterbrochen wird – mit drastischen Folgen für uns alle. Was sich nach einem Filmszenario anhört, ist durchaus möglich: Ein Cyberangriff dieses Ausmaßes, dieser Raffinesse und dieser Auswirkungen kann stattfinden und kam in anderen Kontexten bereits vor.
Ein Beispiel: Eine vermutlich russische Gruppe verschaffte sich über ein kompromittiertes Update der Orion-Software von SolarWinds Zugang zu mehr als 18.000 Systemen von Regierungen und Unternehmen. Wir waren nicht darauf vorbereitet, die Attacke zu verhindern, denn die Angreifer fanden eine Lücke in der Softwarelieferkette, die bis dato als sicher und vertrauenswürdig galt.
Über die gleiche Softwarelieferkette griffen sie darüber hinaus auf das Netzwerk von FireEye zu, dem US-amerikanischen Cybersecurity-Unternehmen, das für die Untersuchung und Behebung einiger der weltweit bekanntesten Sicherheitsverletzungen bekannt ist.
Während die Kunden von FireEye dieses Mal weitgehend verschont blieben, ist die Moral der Geschichte, dass niemand und nichts immun ist. Denn sogar unsere eigenen Mittel des Cyberschutzes – etwa Software-Updates – können das Trojanische Pferd sein. Und damit öffnet sich eine Büchse der Pandora, die alles um uns herum in ein sich schnell entwickelndes Chaos verwandeln kann.
Schon lange bevor wir diese harten Lektionen in den letzten Wochen eines insgesamt herausfordernden Jahres 2020 gelernt haben, warf das Weltwirtschaftsforum (World Economic Forum, WEF) die Frage auf: Wird unser individueller und kollektiver Ansatz zum Management von Cyberrisiken angesichts der großen Technologietrends, die sich in naher Zukunft abzeichnen, nachhaltig sein?
Und Prof. Klaus Schwab merkte an: „Die COVID-19-Krise ist eine Gelegenheit, um über die Lehren nachzudenken, die die Cybersecurity-Community ziehen kann – und unsere Unvorbereitetheit auf eine mögliche Cyberpandemie zu verbessern.“
Obwohl es eine Reihe von Ressourcen zur Adressierung von Cyberangriffen gibt, haben wir noch einen weiten Weg vor uns, bevor wir als Ganzes diesen Bedrohungen wirksam begegnen können. Wir müssen unsere strategische Reaktion auf die Risiken verstärken, bevor wir in taktische Maßnahmen investieren. Unsere Pläne müssen durchdachter und intelligenter sein, um Kapazitätslücken in den folgenden Bereichen zu schließen.
Mehr Koordination
Gehen wir nochmals zurück zu SolarWinds. Die Attacke griff nicht direkt die beabsichtigten Ziele an. Stattdessen bauten die Angreifer heimlich eine Angriffskette auf, die Nicht-Regierungsbehörden, Sicherheits- und Technologiefirmen sowie Bildungseinrichtungen umfasste, um sich unbemerkt ihrem eigentlichen Spionageziel zu nähern.
Sie wussten, dass sie durch unsere digitale Verflechtung ihr Ziel finden würden. Wir können dieselbe Verflechtung zu unseren Gunsten drehen. Untersuchungen zeigen, dass Hacker Computer mit Internetzugang angreifen – im Durchschnitt alle 39 Sekunden. Ein gegenseitiger Austausch der Bedrohungsdaten – über Grenzen sowie den privaten und öffentlichen Sektor, über Branchen und Konkurrenten hinweg – erhöht die Schwarmintelligenz und bringt uns schneller voran.
Im ersten Schritt müssen offenere Systeme entwickelt und gleichzeitig gemeinsame Standards und Taxonomien in der Cybersicherheit eingeführt werden. Damit können Teams besser integriert und geschult werden, um ganzheitliche Sicherheit voranzutreiben.
„Nur durch gemeinsames Vertrauen und eine gemeinsame Agenda können wir das Vertrauen und die Kompetenz aufbauen, um die notwendige Widerstandsfähigkeit zu erreichen.“
Vishal Salvi, Infosys
Experten gehen davon aus, dass die globalen Ausgaben für Cybersicherheitslösungen im Fünfjahreszeitraum von 2017 bis 2021 kumuliert mehr als eine Billion US-Dollar betragen werden. Wir müssen diese Budgets neu priorisieren, um sie an gemeinsamen Zielen auszurichten, einschließlich der Zusammenarbeit bei der Überwindung der organisierten Cyberkriminalität und der technologischen Verflechtung des privaten Sektors mit Angreifern, die es auf staatliche Institutionen abgesehen haben.
Mehr Raffinesse
Der Global Risks Report 2020 (PDF) des Weltwirtschaftsforum (WEF) zeigt auf, wie die digitalen Technologien der vierten industriellen Revolution unsere Landschaften anfällig für Cyberangriffe machen. Es wird beispielsweise geschätzt, dass es weltweit bereits über 21 Milliarden IoT-Geräte gibt – bis 2025 soll sich diese Zahl verdoppeln.
Angriffe auf IoT-Geräte sind allein in der ersten Hälfte des Jahres 2019 um mehr als 300 Prozent gestiegen. Der Bericht belegt, dass „die Nutzung von Security-by-Design-Prinzipien zur Integration von Cybersicherheitsfunktionen in neue Produkte weiterhin zweitrangig ist, um Produkte schnell und kosteneffizient auf den Markt zu bringen.“
Unser derzeitiger Ansatz der „Bolt-on“-Sicherheit muss überdacht werden, um stärkere integrierte Standards zu schaffen, einschließlich einer SDLC-Sicherheitsqualitätszertifizierung, die Softwarepartner stärker in die Verantwortung für die Gewährleistung der Sicherheit nimmt. Zusammen mit dieser Disziplin, die Lieferkette genauso sorgfältig zu sichern wie unsere Produkte, benötigen wir eine bessere Designarchitektur, um die anstehenden Herausforderungen zu meistern.
Mehr menschliche Aspekte
In demselben Tempo, in dem KI (künstliche Intelligenz) in der Cyberverteidigung immer nützlicher wird, nutzen auch Cyberkriminelle Deep Learning, um in Sicherheitssysteme einzudringen. Sie bedienen sich an Datensätzen, um die Reaktion auf die Verteidigung zu verbessern.
„Es liegt in der Natur einer Pandemie, dass niemand wirklich sicher ist, wenn nicht alle sicher sind. Bei einer Cyberpandemie ist das nicht anders.“
Ravi Kumar S, Infosys
Während wir Maschinen mit Maschinen bekämpfen können, schafft die Förderung einer starken Pipeline von Security-Talenten unserer Verteidigung einen Vorteil. Mehr und bessere Problemlöser sind gefragt, die mit unseren Maschinen zusammenarbeiten und in den gesamten Lebenszyklus unserer Prozesse eingebettet sind.
Jede Person im Ökosystem muss ihre Rolle in Bezug auf die Cybersecurity verstehen und dafür verantwortlich sein, Metriken und Standards für die Qualität der Cybersicherheit zu erfüllen. Im Jahr 2019 gab es weltweit schätzungsweise 2,8 Millionen Cybersicherheitsexperten, während der Bedarf bei über vier Millionen lag.
Fazit
Wenn es eine Lehre aus dem Umgang mit der Pandemie gibt, dann die, dass wir uns gegenseitig auf dem Weg in eine sicherere Zukunft unterstützen müssen. Es liegt in der Natur einer Pandemie, dass niemand wirklich sicher ist, wenn nicht alle sicher sind. Bei einer Cyberpandemie ist das nicht anders. Nur durch gemeinsames Vertrauen und eine gemeinsame Agenda können wir das Vertrauen und die Kompetenz aufbauen, um die notwendige Widerstandsfähigkeit zu erreichen.
Über die Autoren:
Ravi Kumar S, ist President und Vishal Salvi ist CISO & Head of Cyber Security Practice bei Infosys.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.