Kommentar Warum wir eine neue Sicherheitsinfrastruktur brauchen

Autor / Redakteur: Morten Brøgger* / Julia Mutzbauer

Die Turbulenzen des vergangenen Jahres haben gezeigt, wie anfällig internationale Systeme für Cyberkriminalität und böswillige Akteure sein können. So haben Berichten zufolge Cyberangriffe seit dem Ausbruch der Pandemie deutschlandweit um mehr als 150 Prozent zugenommen. Bei den US-amerikanischen Kollegen ist die Zahl der geleakten Regierungsdaten sogar um 278 Prozent angestiegen. Ein Gastkommentar von Morten Brøgger, CEO bei Wire.

Firmen zum Thema

Um die Sicherheit der IT-Infrastruktur zu gewährleisten, muss ein grundlegender Wandel stattfinden
Um die Sicherheit der IT-Infrastruktur zu gewährleisten, muss ein grundlegender Wandel stattfinden
(© Alex - stock.adobe.com)

Auffallend ist nicht nur die Zunahme der Attacken, sondern vor allem deren Ausmaß, Wirksamkeit und Breitenwirkung, insbesondere im öffentlichen Sektor. Die Angriffe auf SolarWinds, Microsoft Exchange und zuletzt Colonial Pipeline haben nicht nur offengelegt, wie verwundbar diese Systeme sein können, sondern auch demonstriert, wie wichtig strukturelle Änderungen der digitalen Landschaft sind, um die zukünftige Sicherheit zu gewährleisten.

Ein schnelles Handeln ist hierbei dringend erforderlich. Daher ist es nachvollziehbar, dass auch Regierungschefs, wie US-Präsident Biden, jetzt eingreifen und – wie im US-Fall – eine Cyber Executive Order erlassen. Es lässt sich darüber streiten, ob die Vorgabe an die Behörden, jahrelange Sicherheitslücken in nur 60 Tagen zu schließen, ambitioniert ist. Allerdings sind große Fortschritte nur dann zu erwarten, wenn die Weichen konsequent in Richtung führender Standards in den Bereichen Authentifizierung, Verschlüsselung sowie Data-Compliance gestellt werden und diese Verfahren zunehmend im öffentlichen und privaten Bereich zum Einsatz kommen.

Was für die US-Amerikaner gilt, sollte auch hierzulande umgesetzt werden. Bundeskanzlerin Angela Merkel hat auf dem letzten Digitalgipfel 2021 klar betont, Deutschland müsse seine föderalen sowie staatlichen Infrastrukturen transformieren, um die eigentlich gute Start-Kompetenz in Sachen Digitalisierung nicht einzubüßen.

Genau aus diesem Grund benötigen Behörden eine Auffrischung ihrer Sicherheitssysteme, denn bisher greifen diese nicht harmonisch wie ein Zahnrad ineinander. Zudem sollte Entscheidern und Unternehmen bewusst sein, dass amerikanische Unternehmen die digitale Transformation bereits seit vielen Jahren kontinuierlich vorantreiben, wohingegen deutsche Firmen stark hinterherhinken und daher in Verzug sind, vor allem wenn es darum geht, Kunden über neue Wege anzusprechen.

Der Wendepunkt

Technischer Fortschritt findet nur dann statt, wenn auch Modernisierung gewährleistet ist. So reicht es nicht aus, weiterhin auf das Fax zu setzen, weil es sich vor Jahren als gute, brauchbare neue Technologie bewährt hat. Um sich die notwendige Agilität zu bewahren, müssen Regierungen auf dem Laufenden bleiben. Das zeigt auch die Nachricht über den SolarWinds-Angriff, der zuletzt Schlagzeilen als der bis dato größte und raffinierteste Angriff auf US-amerikanische Unternehmen aller Zeiten machte. Er kompromittierte nicht nur den privaten Sektor, sondern betraf auch viele Organisationen der US-Regierung, darunter wichtige Bundesbehörden wie das Finanz-, Justiz- und Handelsministerium.

Leider wurde er durch den Angriff auf Microsoft Exchange Anfang des Jahres noch übertroffen, der nach Ansicht vieler Experten in Bezug auf Umfang und Folgen noch deutlich schwerwiegender war. Schließlich wurden dabei die eMail-Adressen von über 30.000 US-Organisationen (sowohl staatliche als auch kommerzielle) offengelegt, wobei das volle Ausmaß des Schadens noch nicht bekannt ist.

Zuletzt war es der Ransomware-Angriff auf Colonial Pipeline, der gezeigt hat, wie verwundbar kritische Elemente der US-Infrastruktur sind und wie disruptiv und potenziell lähmend diese Angriffe sein können. Vor dem Hintergrund dieser jüngsten Ereignisse ist es daher nicht verwunderlich, dass die US-Regierung um Präsident Biden Ende Mai die Cyber Executive Order erlassen hat.

Jeder dieser Hackerangriffe ist für sich genommen schon schädlich genug. Wirklich besorgniserregend ist jedoch, dass die Häufigkeit solch tiefgreifender Angriffe stetig zunimmt. Bei näherer Betrachtung zeigt sich, dass es einige grundsätzliche Schwachstellen gibt, deren vermeidbarer Risiken sich Unternehmen aussetzen und diese Art von Angriffen wahrscheinlicher – und gefährlicher – machen.

Neuausrichtung unserer Infrastruktur gefordert

Trotz des breiten Spektrums der Angriffe – auf Supply-Chain und Datenspeicherung oder durch Ransomware – weisen sie alle auf einige deutliche und gemeinsame Schwachstellen hin, die aus sicherheitstechnischer Sicht ausschlaggebend sind. Alle Organisationen weltweit, nicht nur die US-Regierung, sollten eine neue, auf Sicherheit ausgerichtete Infrastruktur aufbauen, um künftige Angriffe abzuschrecken und die möglichen Auswirkungen eines erfolgreichen Einbruchs zu minimieren. Eine solche neue Architektur basiert auf drei Säulen:

Zero-Trust-Konzept

Dieses Sicherheits-Fundament gibt es schon seit einiger Zeit, aber es gewinnt erst jetzt an Zugkraft bei der Implementierung – nicht zuletzt, weil es in der Executive Order ausdrücklich hervorgehoben wird. Zero Trust ist eine Methodik, die davon ausgeht, dass alle Daten, Geräte, Apps und Benutzer innerhalb oder außerhalb des Unternehmensnetzwerks von Natur aus unsicher sind und vor jedem Zugriff authentifiziert und verifiziert werden müssen. Entscheidend ist, dass es sich um eine ganzheitliche Strategie handelt. Sie umfasst sowohl technische Protokolle wie Multi-Faktor-Authentifizierung und Identitätszugriffsmanagement als auch eine übergreifende dynamische und äußerst wachsame Denkweise, die in die Arbeitsweise einer Organisation integriert ist und proaktiv gegen Cyber-Bedrohungen schützt. Dieser Ansatz erfordert einen Strategiewechsel auf allen Ebenen einer Organisation, da er davon ausgeht, dass jede Schwachstelle – selbst auf der Ebene des einzelnen Mitarbeiters – erheblichen Schaden anrichten kann.

Ende-zu-Ende-Verschlüsselung (E2EE)

Mit der Zunahme von Cyberattacken steigt auch die Bedeutung der Ende-zu-Ende-Verschlüsselung. Viele Plattformen weisen Sicherheitslücken auf, weshalb Unternehmen zunehmend E2EE als grundlegendes Sicherheitsmerkmal fordern. Einige beliebte Kollaborations- und eMail-Plattformen haben jedoch weder konkrete Pläne für den Einsatz von E2EE erstellt oder bemühen sich erst jetzt um die Integration grundlegender Sicherheitsprotokolle, nachdem sie jahrelang ohne diese gearbeitet haben. Die Definition der „Ende-zu-Ende-Verschlüsselung“ ist zudem durch die inflationäre Verwendung des Begriffs im Marketing abgenutzt worden: Bei einer echten Ende-zu-Ende-Verschlüsselung werden die Daten auf dem System oder Gerät des Absenders verschlüsselt und nur der Empfänger kann sie entschlüsseln. Es wurden sogar schon einige Plattformen ertappt, die falsche Angaben gemacht haben oder nur eine schwache Form von E2EE einsetzen.

Daher ist es entscheidend, nicht nur die richtige E2EE-Form zu wählen, sondern diese auch völlig transparent zu kommunizieren. Eine dezentrale Lösung auf Basis von Double-Ratchet-E2EE ermöglicht beispielsweise, dass jeder einzelne Anruf, jede Nachricht und jede Datei auf jedem Gerät separat verschlüsselt wird, wobei die Schlüssel vom Gerät selbst und nicht von einem zentralen Server generiert werden. Dies hat den Vorteil, dass die Informationen bis zur kleinstmöglichen Einheit geschützt werden, und es entsteht ein System, das mit jeder Nachricht für Hacker komplexer – und nicht wertvoller – wird.

Dezentrale Datenspeicherung und -sicherung

Dezentralisierung schützt die Datenbestände vor Ort und nicht in einem zentralen Bollwerk. Damit haben Unternehmen die Kontrolle über ihre Daten selbst in der Hand und sind nicht mehr den Risiken ausgesetzt, die sich aus der Entscheidung eines Anbieters über die Speicherung seiner Daten ergeben können. Lösungen, die von der Edge aus schützen, vermeiden eine einzelne große „Nutzlast“ und haben damit eine viel bessere Chance, Daten vor Cyberkriminellen zu schützen.

Im Fall von Microsoft ergab das Fehlen einer Ende-zu-Ende-Verschlüsselung (Microsoft speichert, wie viele andere eMail-Anbieter auch, Daten im Klartext auf seinen Servern) in Verbindung mit der zentralen Datenspeicherung eine gefährliche Kombination. Im Grunde ist es ressourcenschonender, wenn Anbieter einfach eine Perimeter-Verteidigung um ihren zentralen Hub herum aufbauen und die Unternehmen die Verantwortung für diesen Schutz wiederum ihren Anbietern überlassen. Der große Nachteil dieses Ansatzes ist jedoch, dass mutwillige Angreifer, die diese Perimeter-Verteidigung überwinden und sich Zugang zu diesen Servern verschaffen, mit einem Schlag Zugriff auf alle Daten in diesem zentralen Hub erhalten – was bei Microsoft dazu geführt hat, dass die Mails von über 30.000 Unternehmen offengelegt wurden.

Die Entscheidung für ein On-Premises- oder Hybrid-Arrangement kann daher das entscheidende Zünglein auf der Waage für die Sicherheit sein. Denn eines steht fest: Wenn eine solche Infrastruktur weiterhin mit zentraler Datenspeicherung und -sicherung sowie veralteten Sicherheitsprotokollen vorherrscht, werden wir mit ziemlicher Sicherheit eine erneute Zunahme dieser Art von Cyberangriffen erleben.

Der Weg nach vorn

Es gibt bereits einige einzelne Tools und Plattformen wie Protonmail und Tresorit, die auf diese neue Sicherheitsinfrastruktur setzen – und das ist ein guter Anfang. Wenn Unternehmen jedoch zukunftssicher sein und sich gegen die wachsende Bedrohung durch Cyberangriffe verteidigen wollen, muss ein viel größerer und grundlegenderer Wandel stattfinden. Genauso, wie wir den Klimawandel nicht mit einer öl- und kohlebetriebenen Energieinfrastruktur bewältigen können, werden wir die aktuellen Sicherheitsherausforderungen nicht lösen, indem wir uns auf Architekturen aus den 1970er Jahren verlassen.

Es bedarf eines radikalen Umdenkens und des Einsatzes neuer Werkzeuge und Ansätze. Aus diesem Grund begrüßen wir diesen Schritt der US-Administration, um jahrelange Mängel der Sicherheitspraktiken im öffentlichen Bereich zu beheben. Nur wenn sich Regierungen weltweit diese schwierigen Lektionen über Zero Trust, Verschlüsselung und Daten-Compliance zu Herzen nehmen, kann die digitale Infrastruktur für alle Beteiligten sicherer werden.

*Der Autor: Morten Brøgger, CEO bei Wire

(ID:47539734)