Trick or treat

Was die IT-Security von Halloween lernen kann

| Autor / Redakteur: Mike Bursell / Peter Schmitz

IT-Security-Experten kennen persönlich und organisatorisch bald nur noch zwei Modi: Selbstzufriedenheit oder Panik.
IT-Security-Experten kennen persönlich und organisatorisch bald nur noch zwei Modi: Selbstzufriedenheit oder Panik. (Bild: Pixabay / CC0)

Der Brauch des Halloween ist inzwischen auch in Europa angekommen. Wenn beim Trick or Treat Kinder bei ihren Nachbarn vorbei schauen gibt fast jeder lieber Süßigkeiten, statt das Risiko einzugehen, die Streiche der kleinen Vampire, Mumien und Werwölfe abzube­kom­men. Dabei können Sicherheits­experten von Halloween und „Trick or treat“ sogar etwas lernen.

Halloween feiere ich nicht – hauptsächlich, weil ich griesgrämig britisch bin, und es nicht mag, Süßigkeiten ohne guten Grund mit jemandem zu teilen. Aber als ich die Haustür verriegelte und die Vorhänge schloss, um so zu tun, als wäre niemand zu Hause, kam mir in den Sinn: Wir Sicherheitsexperten können von dem grässlichen Trick-or-Treat-Getue eigentlich etwas lernen.

Beim Trick or treat besuchen bekanntlich Jugendliche ihre Nachbarn, um sie zu erschrecken. Die können sich dann ängstlich zeigen oder die schaurigen Gestalten bestechen, damit sie ihnen nichts tun. Sie überreichen ihnen große Mengen zuckerhaltiger Goodies oder – wenn sie in einem besonders angesagten Stadtviertel wohnen –selbst gebackene Quinoa-Tortilla-Chips.

Was mir dabei aufgefallen ist: Praktisch jeder entscheidet sich für die Bestechungsvariante. Dabei wäre es vielleicht besser, sich einfach mal ein bisschen zu fürchten. Wenn wir es nicht zulassen, uns von Zeit zu Zeit fürchten, dann kennen wir persönlich und organisatorisch bald nur noch zwei Modi: Selbstzufriedenheit oder Panik.

Im Modus der Selbstzufriedenheit sind sich IT-Sicherheitsverantwortliche zwar bewusst, dass es Bedrohungen gibt; sie sind aber der Meinung, dass sie wahrscheinlich mit den implementierten Maßnahmen sicher sind. Und solange sie die Patches installieren, die Softwarehersteller ihnen in einem Rhythmus von acht bis zwölf Wochen schicken, was ist dann das Schlimmste, was passieren kann? Die ehrliche Antwort lautet: Wenn ein Angriff oder eine Kompromittierung stattfindet, kann das Tagesgeschäft des Unternehmens zusammenbrechen, es kommt zu einem massiven Imageschaden, es erfolgt eine Anzeige wegen einer Datenschutzverletzung, die Personalabteilung spricht die Kündigung aus und auf ein Referenzschreiben müssen sie verzichten.

Im Panikmodus befürchten wir das Schlimmste. Wir sorgen uns, dass jeder Netzwerk-Peak ein DDoS-Angriff ist, installieren die neuesten Patches auf Systemen, bevor wir die Auswirkungen auf Produktionssysteme bewerten und hindern die Entwicklungsteams daran, Software zu installieren, weil sie den 64-Schritte-Prozess, den der IT-Sicherheitsbeauftragte vor fünf Jahren ausgearbeitet hatte, nicht befolgt haben. Und das Schlimmste, was in diesem Fall passieren kann: Lähmung, Misstrauen und gegenseitige Schuldzuweisungen, wenn das Unternehmen nicht so schnell innovativ sein kann wie die Konkurrenz. Es folgt das gleiche Kündigungsschreiben der Personalabteilung wie im Fall der Selbstzufriedenheit.

Aber es gibt auch einen Mittelweg. Wir müssen reaktionsbereit sein, und mit Änderungen leben. Wie das geht? Wir müssen Ängste zulassen. Menschen lernen, wenn sie etwas Neuem ausgesetzt sind und verspüren den kleinen Adrenalinkick. Ich fordere nicht, alle Systeme für jedermann zu öffnen und die Angreifer Verwüstungen im Unternehmen anrichten zu lassen. Das wäre so, wie wann man alleine im Schlafanzug und einer flackernden Kerze in den Keller geht, wenn von dort Geräusche zu hören sind. Aber was sie tun können, ist, die Kontrolle zu übernehmen und, was am wichtigsten ist, vorbereitet zu sein.

Den Anfang bildet ein Risk Assessment. Welche Daten, welche Systeme, welche Prozesse würden das Unternehmen am meisten beeinträchtigen, wenn sie kompromittiert oder deaktiviert würden? Wie groß wäre der Schaden? Sobald das klar ist, können Unternehmen entscheiden, wo sie den größten Aufwand zur Verteidigung betreiben. Hilfreich ist auch, sich die wahrscheinlichsten Arten von Angriffen und Angreifern vorzustellen - aber darauf solle man sich nicht zu sehr konzentrieren, denn oft kommt es ganz anders. Um das Unerwartete zu testen, können Unternehmen zum Beispiel ein Penetrations-Team engagieren. Auch ein Brainstorming kann nützlich sein. Dafür sollten aber Mitarbeiter aus allen Abteilungen des Unternehmens zur Verfügung stehen. Sie bringen unterschiedliche Perspektiven mit ein, die die IT-Abteilung allein nicht in Betracht ziehen würde.

Es mag widersprüchlich klingen, aber ein Großteil unserer Vorbereitung sollte nicht unbedingt proaktiv, sondern darauf ausgerichtet sein, Menschen zu unterstützen, wenn etwas passiert. Es geht nicht mehr darum, ob ein Angriff erfolgt, sondern nur noch um die Frage, wann es passiert; und sobald die Verantwortlichen das erkennen und wissen, was sie im Falle eines unerwarteten Ereignisses tun sollten, wird sich die Lage verbessern. Jedermann im Unternehmen muss dann wissen, worauf zu achten und was zu tun ist. In den meisten Fällen wird das bedeuten, ein Ereignis per E-Mail oder Telefon zu melden. Gibt es keine festgelegten Prozesse, haben die Mitarbeiter keine Möglichkeit, das richtige zu tun. Sie werden entweder in Schockstarre verharren oder in Panik geraten.

Das wichtigste von allem ist die Automation. Menschen können nur eine beschränkte Menge von Daten analysieren und nur bedingt schnell reagieren. Maschinen können – zumindest bislang – keine intelligenten Entscheidungen treffen, aber sie können konsequent und schnell handeln. Und obwohl sie in der Lage sind, schnell Vorschläge zu präsentieren, entscheiden nach wie vor Menschen, was als erstes zu tun ist. Ist es wichtiger, die Verkaufssysteme am Laufen zu halten oder einen möglichen Malware-Angriff zu bekämpfen? Das ist abhängig von der Risikobewertung. Maschinen können auch schlecht darin sein, das Unerwartete zu antizipieren – also müssen die IT-Sicherheitsverantwortlichen entscheiden, welche Ereignisse beobachtet werden. Und sie werden nie alles sehen – die Meldung über einen neuen Ransomware-Angriff oder den Besucher, der unautorisiert einen USB-Stick in einen Computer steckt. Mitarbeiter werden weiterhin eine wichtige Rolle in den IT-Sicherheitsprozessen spielen. Das gleiche gilt für Zombies, Werwölfe oder Vampire: Was immer ihnen gefällt.

Über den Autor: Mike Bursell ist Chief Security Architect bei Red Hat.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45574521 / Sicherheits-Policies)