Security-Stra­tegie für Unternehmen

Deine Angreifer und Du

​Haben Sie eine Haus­rat­ver­si­cherung? Eine Unfall­ver­si­cherung? Eine Haft­pflicht­ver­si­cherung? Wie sieht es aus mit einer Ver­si­cherung gegen Ern­te­ausfall wegen Dürre, einer Dach­ver­si­cherung auf Grund von Kome­ten­ein­schlag, einer Reinkarnationsversicherung?

Letztere wurde übrigens ange­boten, um dem Ver­si­cherten im Falle einer Reinkar­nation als Tier ‑Schwein, Hund, Katze oder ähn­­liches- eine enorme Summe als Ent­schä­digung zu zahlen. Der Knack­punkt: man musste nach­weisen (als Schwein z.B.), dass man im vor­he­rigen Leben diese Ver­si­cherung abge­schlossen hatte. Ein ast­reines Geschäfts­modell, welches Gier mit Angst und zu viel Geld koppelt.

Auch wenn man sich den Anbie­ter­markt für Cyber-Abwehr anschaut, bekommt man das Gefühl, es gibt eine Appliance, ein Portal oder eine Dienst­leistung für jeden Fall — man könnte sich quasi gegen alles absi­chern. Wenn man nur genug zahlt, ver­steht sich.

Nachdem die wenigsten Firmen und Unter­nehmen ein unend­liches Budget haben, wenn es um Security geht, lohnt es sich aber, über die eigene Bedro­hungslage nachzudenken.

Gänzlich ohne Schutz­vor­keh­rungen am Internet hängen ist ein kurzer Zeit­ver­treib; auto­ma­ti­sierte Scans und Angriffe brauchen in der Regel weniger als zehn Minuten, um ein neues System im IPv4-Address Space zu ent­decken. Ob es eben­falls in dieser Zeit kom­pro­mit­tiert wird, hängt schwer vom System ab. Wenn Sie ein Fan von Windows XP sind, hat das System schlechtere Karten als ein Mac oder ein Linux-System mit ver­al­tetem OS.

Das zeigt auch schon eine der Klassen von Angreifer:innen: die Oppor­tu­nisten. Dieser Gruppe ist es egal, was sie angreifen und kom­pro­mit­tieren können, Haupt­sache, sie können es. Auto­ma­tismen fallen fast immer in diese Gruppe. Das Ziel des Angriffs kann hier viel­fältige Facetten haben: Erpressung nach DDos, Ran­somware, oder Daten­dieb­stahl, aber der Ursprung ist der­selbe: Geld.

Jetzt könnte man argu­men­tieren, dass “Geld” fast immer ein Ziel von Angriffen ist, direkt oder indirekt, aber das ist nicht voll­ständig korrekt. Eine andere Klasse von Angreifer:innen sind Hacktivist:innen; Men­schen mit einer Agenda und dem starkem Wunsch, diese auf tech­nische Weise umzu­setzen, um sich Gehör zu ver­schaffen. Jedes Gebiet mit starkem emo­tio­nalen Bezug für bestimmte Men­schen kommt hier in Frage — Tier­schutz, zum Bei­spiel, Kli­ma­schutz, oder poli­tische Mei­nungen aus dem gesamten Spektrum. Meistens aber eher aus den extremen Bereichen. Angreifer:innen die hier aktiv sind, haben häufig kein Interesse an einem finan­zi­ellen Gewinn; sie nutzen ihr Können, um Dienste der Gegen­seite ‑wer immer das für sie ist- lahm zu legen, zu stören, zu dis­kre­di­tieren. Manchmal langt es aber schon als Moti­vation für Ein­zel­täter, den Super­markt anzu­greifen, der den Lieb­lings­pudding aus dem Sor­timent genommen hat.

Indus­trie­spionage und unbe­merkter Dieb­stahl von Betriebs­ge­heim­nissen ist eine weitere Kate­gorie. Während andere Kri­mi­nelle früher oder später auf sich auf­merksam machen — zum Bei­spiel, weil sie ein Lösegeld fordern möchten — ver­suchen Angreifer:innen aus dieser Kate­gorie, unbe­merkt zu bleiben, bis sie ihr Ziel erreicht haben. Manchmal bleiben sie auch im System, bis sie ent­deckt werden; das kommt auch ein bisschen darauf an, wie egal es diesen Gruppen ist, nach einem Erfolg ent­deckt zu werden.

Bleiben noch die ganz Großen: NSA. Und nein, NSA steht hier nicht aus­schließlich für die US-Behörde National Security Agency, sondern für “Nation State Actors”, also Regie­rungs­be­hörden der ver­schie­denen Länder. In deren Fokus gerät man, wenn man zum Bei­spiel Teil der kri­ti­schen Infra­struktur ist oder andere wichtige Dienst­leis­tungen vor­wiegend für das eigene und befreundete Länder anbietet.

Legt man den Fokus der Angreifer:innen auf die X‑Achse mit der Skala von “Jeder” (Oppor­tu­nisten) über “meine Indus­trie­sparte” bis “nur mein Unter­nehmen” und die Y‑Achse von “wenig Skill” bis “die besten ihrer Klasse”, bekommt man für die Betrachtung von außen dieses Bild:

Je weiter rechts, und je weiter oben, umso gefähr­licher ist ein Angriff bzw. umso mehr Schutz­maß­nahmen müssen ergriffen werden.

Übrigens: die Y‑Achse wird nicht aus­schließlich von Skill bestimmt, sondern auch von Budget und anderen ver­füg­baren Mitteln. Nation State Actors haben meist bessere Tools und Hardware als der empörte Pud­ding­mensch aus dem obigen Beispiel.

Was bedeutet das jetzt genau?

Als Unter­nehmen ist es sinnvoll, eine ehr­liche Ein­schätzung zu treffen, vor was man sich schützen muss. Vor den Oppor­tu­nisten ist keiner sicher, ein Min­destmaß an Best Prac­tices ist demnach immer nötig. Muss sich ein Tex­til­ein­zel­han­dels­ge­schäft mit Webshop (keine Abwertung beab­sichtigt, ist nur ein Bei­spiel) for dem israe­li­schen Geheim­dienst schützen? Viel­leicht nicht. Das Geld, welches man für den Schutz auf­wenden müsste, steht in keinem Ver­hältnis zu der Chance, wirklich in den Fokus des Mossad zu geraten. Und mit Verlaub, wenn ich jetzt pes­si­mis­tisch klinge, aber wenn man in den Fokus eines Geheim­dienstes gerät: viel Glück! Die besten Appli­ances und blu­migsten Ver­sprechen der Sales-People werden ihnen in dem Moment wahr­scheinlich nicht viel nützen.

Was wer im Ein­zelnen benötigt, ist immer eine indi­vi­duelle Betrachtung. Und natürlich haben viele Men­schen den Wunsch, sich gegen *alles* zu schützen; aber die Ein­sicht, dass das unmöglich ist und man alleine schon aus wirt­schaft­lichen Gründen eine Auswahl treffen muss, ist ein erster Schritt zu ver­nünf­tigen Lösungen. Fragen Sie doch bei dem nächsten Termin mit einer Cyber­­se­­curity-Firma, wer die Haftung für Schäden über­nimmt — also wenn ein Fall ein­tritt, der von der Appliance oder Dienst­leistung eigentlich ver­hindert werden sollte. Wahr­scheinlich merken Sie dann auch, wie sehr über­zeugt Her­steller von ihrer eigenen Tech­no­logie sind.

Andere Aspekte einer voll­wer­tigen Security-Stra­­tegie, die nicht nur auf “Pro­tection”, also den Schutz der eigenen Infra­struktur, Daten und Ser­vices aufbaut, sondern auch die anderen Bereiche Detection und Reaction mit ein­be­zieht, gehören natürlich genauso dazu. Und letztlich ist das Ziel, die Latte so hoch zu legen, dass Ihre Systeme und Daten sicher sind vor all den Bedro­hungen, denen sie aller Wahr­schein­lichkeit nach aus­ge­setzt sind.

Oder Sie kaufen einfach alles, was auf dem Markt ist. Und Pro­to­typen, von kleinen Startups ent­wi­ckelt und in der Alpha-Phase. Und Tools vom Schwarz­markt, zusammen mit Dienst­leis­tungen aus dem Darknet — alles für Ihren Schutz.

Und natürlich eine Reinkar­na­ti­ons­ver­si­cherung, auf die 200.000 € kommt es dann ja auch nicht mehr darauf an.