Inves­ti­tionen in Cyber-Security

One Size Fits Nobody-Budget für Cybersicherheit

In der Tex­til­in­dustrie gibt es Klei­dungs­stücke, die sich so dehnen (oder so kör­per­fremd geschnitten sind), dass sie mit “One size fits all” betitelt werden — eine Größe, die allen passen soll. Inter­es­san­ter­weise findet man aber wei­terhin nahezu alle anderen Tex­tilien beim Shoppen sauber nach Größe sor­tiert; weil es einfach mehr Sinn macht bzw. weil es das Bedürfnis der Kun­dinnen und Kunden deckt, pas­sende Kleidung zu tragen. Es gibt ein paar Spe­zi­al­fälle, da macht “One size fits all” Sinn, aber diese bilden die Ausnahme.

In der Info­se­curity scheinen Firmen den umge­kehrten Weg zu gehen. Wenn möglich, schützt man sich vor allen nur denk­baren Sze­narien von “USB-Stick mit Virus” bis hin zu “fremd­län­di­scher Geheim­dienst will Indus­trie­spionage betreiben”. Natürlich, wer mit dem Internet ver­bunden ist, kann (und wird) ange­griffen werden. Trotzdem ist es ein Leichtes, einen unver­hält­nis­mäßig hohen Teil des Umsatzes in IT-Security zu stecken und trotzdem nicht gegen alles gesi­chert zu sein; gerade, wenn man nur Security-Appli­­ances ein­kauft und nie­manden hat, der diese kon­fi­gu­rieren und betreiben sowie deren Output ana­ly­sieren kann.

Die Ent­scheider und Ent­schei­de­rinnen mit Budget für Cyber­se­curity stehen immer vor der schwie­rigen Frage, für was das Geld aus­ge­geben werden sollte und welche Inves­ti­tionen am sinn­vollsten sind. Eine SIEM-Box (Security Incident & Event Management) mit AI (Arti­ficial Intel­li­gence, künst­liche Intel­ligenz) und UBA (User-Beha­­vioural Ana­lytics) als Bonus? Oder doch die selbst­ler­nende, von einem Team aus Mathe­ma­tikern und Hackern ent­wi­ckelte Software, die jede Art von neuen Bedro­hungen erkennen und blocken kann? Etwa die DLP (Data Leakage Pre­vention) — Appliance, die ver­hindern wird, dass ver­trau­liche Daten ins Internet abfließen und zeit­gleich den Arbeits­platz­rechner nach auf­fäl­ligen Pro­grammen durchsucht?

Die erste Hürde für Ent­scheider ist, hinter die Buz­zwords und tech­ni­schen Begriffe zu schauen um zu sehen, was sich dahinter über­haupt ver­birgt. Die zweite ist, beur­teilen zu können, inwieweit ein Einsatz der betrach­teten Lösung das Schutz­niveau der Firma anhebt. Und dann bleibt natürlich noch die Frage des Preises.

Es scheint, als würden viele Firmen sich für jede Even­tua­lität vor­be­reiten. Sicher, wenn das gelingt, muss man sich keine Gedanken um ein Angriffs­sze­nario machen, welches man viel­leicht über­sehen oder nicht bedacht hat. Ande­rer­seits könnte man das aber auch mit einem Land ohne Zugang zu einem Meer ver­gleichen, welches in die Marine inves­tiert; man weiß ja nie, wann das Land so über­schwemmt wird, dass man das mal braucht…

Ver­stehen Sie mich richtig — natürlich ist ein all­um­fas­sender Schutz gegen jedwede Bedrohung eine prima Sache, wenn er funk­tio­niert. Ein all­um­fas­sender, funk­tio­nie­render Schutz, der von der Stange kommt (oder eben ein “one size fits all”) ist aber ein theo­re­ti­sches Kon­strukt und wird das auf absehbare Zeit auch bleiben. Man kann aber die Latte für den Angreifer höher legen; viel­leicht sogar so hoch, dass sich der Angriff einfach nicht mehr ren­tiert. Dazu langt es aber eben nicht, Tech­no­logie ein­zu­kaufen, ein­zu­kabeln und einzuschalten.

Als Firma sollte man sich besser damit beschäf­tigen, wer die Angreifer auf die eigenen Systeme und Daten sind, und was deren Motive sind. Wenn man diese Infor­ma­tionen klarer hat, kann man sich gezielt vor den Sze­narien schützen, die der Rea­lität ent­springen und nicht solchen, die vor­wiegend aus Angst, Unsi­cherheit oder Zweifel erstellt werden.

Angreifer können — ganz grob — in mehrere Klassen ein­ge­teilt werden:

Einmal solche, deren tech­ni­sches Ver­mögen nicht sehr aus­ge­prägt ist, und die Scripts und Pro­gramme von anderen benutzen, sowie jene, die selbst Scripts schreiben und auch wissen, was diese tun.

Neben dem tech­ni­schen Ver­ständnis kann man dann noch die Intention dazu nehmen. Hat es der Angreifer direkt auf die eigene Firma abge­sehen, ist man ein aus­ge­suchtes und indi­vi­du­elles Ziel oder ist der Angriff sehr breit gefä­chert und man ist im Zwei­felsfall viel­leicht nur Kollateralschaden?

Für jede der vier Klassen von Angreifern gibt es Schutz­me­cha­nismen; am bedroh­lichsten sind natürlich die­je­nigen mit hoher tech­ni­scher Expertise und einem Fokus auf ein bestimmtes Unter­nehmen, aber gerade dieser Art Angriff sieht sich nicht jedes Unter­nehmen ausgesetzt.

Wenn rea­lis­tisch unter­sucht wurde, welche Art Angreifer die eigene Infra­struktur und die eigenen Daten bedrohen, dann kann der Schutz auch ent­spre­chend ange­passt werden, um das Sicher­heits­niveau beständig zu ver­bessern. Sich mit allen zur Ver­fügung ste­henden Mitteln gegen jede Art von denk­barem Angriff schützen zu wollen, kann leicht zum Kampf gegen Wind­mühlen werden, bloß teurer.

Und abschließend sei gesagt, dass es mit der Anschaffung einer neuen Security-Box ja nicht getan ist. Immer, egal was Ihnen der nette Mensch aus dem Ver­trieb erzählt, wirklich immer werden auch sach­kundige Per­sonen benötigt, um die Box ein­zu­richten, zu betreiben, nach­zu­jus­tieren sowie Logs und Ereig­nisse zu inter­pre­tieren und weitere Maß­nahmen einzuleiten.

Maß­ge­schnei­derte Security ist wie maß­ge­schnei­derte Kleidung, und macht sich einfach in jeder Hin­sicht besser als ein “One Size Fits All” — Ansatz.