Burgenbau 4.0? Bemerkenswertes aus der Cybersicherheits-Umfrage


Mit großem Interesse habe ich die Ergebnisse der Cybersicherheits-Umfrage 2015 gelesen, die das BSI mit Unterstützung des Bundesverbandes der Deutschen Industrie (BDI), des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien (Bitkom), des Deutschen Industrie- und Handelskammertages (DIHK), der Gesellschaft für Informatik e.V. (GI), des Bundesverbandes der IT-Anwender e.V. (VOICE), des Verbandes Deutscher Maschinen- und Anlagenbauer (VDMA) und des Zentralverbandes Elektrotechnik- und Elektronikindustrie (ZVEI) zum zweiten Mal durchgeführt hat. Deren Fazit: „Die Fortschreibung der Zahlen aus dem Vorjahr zeigt, dass die Cyber-Sicherheitslage für Unternehmen und Behörden weiter angespannt bleibt“.

Die Ergebnisse bestätigen in einigen Punkten auch, was wir im deutschen Microsoft Consulting Services Team für Cybersicherheit tagtäglich bei Kunden erleben: Den ausgeprägten Versuch, sich seine persönliche Digitale Festung zu errichten. Natürlich möglichst wenig wartungsintensiv und automatisiert. Die in der Umfrage meistgenannten Maßnahmen zur Absicherung unterstreichen diese Sicht.

Es scheint ja einfach und damit verlockend. Wir bauen uns wie in der guten, alten Zeit eine Burg mit dicken Mauern drum herum. An jedem Eingang steht eine Wache und die lässt nur rein, wer auch wirklich rein darf und lässt nur raus, wer auch raus darf. Eine Firewall oder ein IDS (Intrusion Detection System) entspricht hier analog in einer digitalen Welt unserer Wunschvorstellung.

Die bittere Wahrheit

Leider hat das System aber so noch nie funktioniert. Selbst 2000 v. Chr. nicht. Neben Mauern und Wachen an den Toren gab es auch damals schon Patrouillen, mehrere innere Schutzringe und Schlösser, die letztlich vielleicht sogar einige Wächter arbeitslos machten. (Die ersten Exemplare aus Holz gab es übrigens vermutlich schon 2000 v. Chr. im alten Ägypten.) Aus Gründen der Kosten und Praktikabilität war das wohl einer der ersten Tauschhandel von Sicherheit gegen Effektivität. Was, wenn der Schlüssel in falsch Hände geriet. Aber dazu später mehr. Und natürlich hat man immer wieder die Anlage umgebaut und Regeln verändert, um den neuen Entwicklungen der Angreifer Rechnung zu tragen. Das trojanische Pferd, sofern es wirklich existierte, kam wohl ca. 1300 Jahre v. Chr. zum Einsatz und tauchte 700 v. Chr. erstmals in den Dichtungen Homers auf. Der Name erinnert uns auch heute noch daran, dass Mauern, Wachen und Regeln überlistet werden können.

In unserer schönen neuen Welt wären wir also analog bei Antivirus-Scannern, Netzwerk-Segmentierungen, Patchmanagement und Public/Private Keys und Verschlüsselung von wertvollen Daten und Meta-Daten. Und trotzdem holen uns die Geister der Vergangenheit wieder ein.

Es mag nun erschrecken, wenn ich das so sage: Burgen baut man heutzutage extrem selten. Das Konzept hat sich durch Weiterentwicklungen der Angreifer (wie Kanonen oder Fluggeräte) in dieser Form nicht mehr bewährt. Auch eine Firewall oder ein IDS ist heute noch schön anzuschauen, wie es so blinkt und Balken-Statistiken anzeigt. Aber der realisierte Zugewinn an Sicherheit ist im Zeitalter der USB-Sticks und WLAN einfach nicht mehr derselbe wie vor 30 Jahren. Es braucht also andere Maßnahmen als bisher.

Alte und Neue Standards

Heißt das jetzt, ich kann all diese Maßnahmen sein lassen? Natürlich nicht. Zäune haben wir weiterhin und die Tür zuzusperren ist in den heutigen Zeiten Normalität. Türschlösser ohne zugehöriger Schließkarte, die das unbefugte Nachmachen der Schlüssel verhindern soll, sind auch sehr selten geworden.

Wir sprechen hier von Standards. Dinge, die wir nicht mehr als besonders wahrnehmen, die für uns ganz normal geworden sind, unter dem eigentlich nichts geht. Wir übertragen unser gemeinschaftliches Wissen aber immer noch nicht konsequent auf die digitale Welt. Eine der wichtigsten Erkenntnisse habe ich schon angesprochen. Trotzdem wird ihr nicht die gleichwertige Bedeutung zu Mauern oder Firewalls beigemessen:

Weniger als die Hälfte der Befragten in der Cyber-Sicherheitsumfrage gaben z.B. an, regelmäßig die Rechte von Accounts zu überprüfen. Also vergleichbar den Schlüsselbund, den ein System-Nutzer im Hintergrund mit sich führt.

Schlüsselfragen

Stellen Sie sich doch mal die einfache Frage: Wie viele Schlüssel gibt es für Ihre Wohnung oder Ihr Haus? Und wer hat diese Schlüssel im Besitz? Das können Sie sicher leicht beantworten.

In so ziemlich jedem Unternehmen werden Schließanlagen gesetzt, deren Schlüssel ebenfalls nicht kopierbar sein sollten. Und die Schlüsselausgabe ist normalerweise streng kontrolliert. Einen Schlüssel bekommt nur, wer ihn auch für seine Aufgabe benötigt. Wenn ein Schlüssel fehlt, fällt das meist schnell auf. Um sicher zu sein, würde man nun zeitnah die betroffenen Schlösser tauschen, um die Zugangs-Sicherheit wiederherzustellen.

In der digitalen Welt sehen wir das leider oft nicht ebenso konsequent umgesetzt. Und damit sind wir beim Knackpunkt. Früher waren die Mauer und das Tor mit Wache die zentralen Elemente der Perimetersicherheit. Heute ist es der Schlüssel, der bestimmt, worauf jemand Zugriff haben kann. Die digitale Identität mit ihrem zugehörigen Schlüsselbund bestimmt die neue Außengrenze des Unternehmens. Denken Sie daran, wenn Sie das nächste Mal am Bahnhof oder im Flughafen mit Ihrem Smartphone und Ihrer Benutzerkennung Firmendaten abrufen.

Passt der Benutzer zum Schlüssel?

Aber was, wenn jemand meinen Schlüssel gestohlen hat? Im echten Leben brauchen Sie hier auch Schutzmaßnahmen. Jemand, der Ihre Identität überprüfen und bestätigen kann. Im Privatleben wären das dann wohl meist die Nachbarn. „Gott sieht alles, aber mein Nachbar sieht mehr“.
In einem Unternehmen aufmerksame Mitarbeiter und natürlich das Sicherheitspersonal. Die würden Träger und Firmenausweis prüfen und Fragen stellen, wenn die Person nicht persönlich bekannt ist.

Der neue Mindeststandard für einen digitalen Schutz ist also die kontinuierliche Überprüfung der Schlüssel und Ihrer Besitzer. Das wichtigste an diesem Standard ist aber nicht der Akt der Prüfung. Es ist der Prozess, die Richtlinien und definierten Handlungen, die aus den entsprechenden Fällen abgeleitet werden: die Sicherheitsvorschriften. Diese zu erstellen und zu pflegen, kommt eigentlich noch vor allen anderen Maßnahmen.

Raumdistanzen lösen sich auf

Bei allen Analogien gibt es jedoch einen Unterschied zwischen der realen und der digitalen Welt.

Die Räumlichkeit wird aufgehoben. In Bruchteilen von Sekunden kann man sich in Asien, Amerika oder Europa mit seinem Schlüssel „einloggen“. Das geht so schnell, dass kein Mensch physisch diese Vorgänge beobachten kann, anders als wenn Sie z.B. morgens Ihr Büro aufsperren. Oder wenn jemand mit vielen verschiedenen Schlüsseln versucht, Ihre Bürotür zu knacken. Hier brauchen wir digitale Helfer, die unsere Aufgabe, wachsam zu sein, für uns übernehmen.

Als einige Beispiele seien hier die folgenden Sicherheitsmaßnahmen wie

  • Warnmeldungen und automatisierte Folgemaßnahmen, wenn unbefugte oder verdächtige Zugriffe erfolgen (z.B. zu ungewöhnlichen Zeiten, von ungewöhnlichen Orten)
  • Multi-Faktor-Authentifizierung (entspricht dem Wachmann, der neben dem Schlüssel noch ein weiteres, ihm bekanntes Identifikationsmerkmal sehen will)
  • Machine-Learning basierte Systeme, die Anomalien im Zugriffsverhalten von Benutzern oder Rechnern entdecken können (z.B. Advanced Threat Analytics)

genannt.

Von nichts kommt nichts

Dabei möchte ich noch einen letzten Hinweis zur Warnung aussprechen. Unsere digitalen Hilfsmittel sind nur so gut, wie unsere Reaktion darauf in der realen Welt. Um eine letzte Analogie zu bemühen: Sicherheitstechnisch befinden wir uns im Jahr 1769 n. Chr. und konstruieren uns, wie damals Wolfgang von Kempelen, einen Schachroboter, auch bekannt als „Schachtürke“. Der wurde aber im Inneren von einem Menschen gesteuert und war eigentlich nur eine Fassade, teures Blendwerk sozusagen. Rechenmaschinen, die es damals gab (erstmals 1629 n. Chr. von Wilhelm Schickard) hatten einfach noch nicht die Kapazitäten zur Realisierung dieses Traums.

Noch müssen wir leider mühsam jeden Tag aufs Neue selbst Hand anlegen, um IT-Sicherheit zu gewährleisten. Aber ich habe persönlich so eine Hoffnung, dass es mal einfacher wird: Mit der Cloud und ihrer „Economy of Scale“ ist uns der „erste echte Schachroboter“ vielleicht bereits näher als wir denken.

Und was die Microsoft-Cloud betrifft: Da gibt es schon einige Kollegen, die bereits für unsere Kunden im Bereich Security „Hand anlegen“. U.a. unsere Digital Crimes Unit. Dazu auf diesen Seiten in Kürze mehr.

 

 

 

 

 


Ein Beitrag von Thomas Stowasser (@ThomasStowasser)
Sr. Technical Delivery Manager Cyber Defence, Security & Identity Team
bei Microsoft Consulting Services Deutschland

 

 

Comments (0)

Skip to main content