7 Minuten Lesezeit Mit Insights von Peter Berlich Ehemaliger Principal Consultant Cybersecurity In unserer digitalisierten Welt ist Cybersecurity zu einer konstanten Herausforderung für Unternehmen und Organisationen geworden Wir sehen uns mit einem paradoxen Effekt konfrontiert: Je sicherer wir unser System gestalten, desto lukrativer wird der Angriff für potenzielle Angreifer Menschen sind nicht sonderlich gut darin, Risiken einzuschätzen und darauf zu reagieren – Cybersecurity-Maßnahmen müssen auf diese Schwachstelle abgestimmt werden Der Begriff Cybersecurity kommt seit über einem Jahrzehnt nicht aus den Schlagzeilen. Inzwischen hört man fast täglich Berichte von neuen Hackerangriffen, Ransomware-Attacken und Sicherheitslücken in kritischer Infrastruktur. Warum ist dieses Problem bis heute so präsent? Abgesehen von kulturellen Faktoren wie der Verherrlichung von Hackern in Filmen oder der Vorliebe der Presse für reißerische Überschriften, gibt es eine Reihe von technischen und wirtschaftlichen Aspekten, die Cybersecurity zu einem durchgehend wichtigen Thema machen. Ähnlich wie bei anderen Sicherheitsrisiken (Unfälle, Fehlfunktionen) sowie vorsätzlichem oder fahrlässigem menschlichen Fehlverhalten können Risiken im digitalen Bereich nie vollständig vermieden werden. Umgekehrt gibt es gute Gründe dafür, Risiken zu akzeptieren sowohl auf der individuellen als auch auf der gesamtgesellschaftlichen Ebene. Schauen wir uns im Folgenden die zentralen Aspekte der Cybersecurity im Detail an und wie sich Risiken und Möglichkeiten in diesem Bereich abwägen lassen. Die Angriffsfläche wächst mit zunehmender Digitalisierung Zunächst einmal ist Cybersecurity wichtig, weil IT wichtig ist. Wir leben in einer zunehmend digitalisierten Gesellschaft und Geschäftswelt. Digitalisierung bietet die Möglichkeit für beachtliche Einsparungen, kann Dienstleistungen effizienter machen, spart Energie und ermöglicht einen faireren Zugang zu Wissen und mehr Chancengleichheit. Die Digitalisierung wurde durch technische Innovation ermöglicht. Breitbandanschlüsse, Handynetze und Cloud-Dienste gehören heute zum Alltag. Unsere Rechenleistung erhöht sich konstant. Gleichzeitig verdoppelt sich die Menge an gespeicherten Daten etwa alle zwei Jahre. Was die Cybersecurity angeht, bedeutet dies allerdings, dass wir unsere Angriffsfläche immer weiter erhöhen. Vereinfacht ausgedrückt werden wir mit zunehmender Digitalisierung immer verwundbarer. Das bedeutet nicht unbedingt, dass es früher keine vergleichbaren Sicherheitsrisiken gab (Daten auf Papier können schließlich auch kopiert werden, obwohl es deutlich mehr Zeit und Mühe kostet), aber heutzutage hat die Digitalisierung praktisch alle Alternativen verdrängt. Je mehr Daten wir auf Computern speichern, desto sicherer müssen diese Computer sein. Innovation verändert laufend die Rahmenbedingungen Die zweite Herausforderung betrifft Innovation an sich. Im Laufe der letzten zwei Jahrzehnte haben wir uns an eine immer schnellere technische Innovation im Bereich der Informatik gewöhnt. Allerdings besitzt Innovation auch Schattenseiten. Es liegt in ihrer Natur, unplanbar und unvorhersehbar zu sein. Auf Grundlage der gegenwärtigen Infrastruktur ist es per Definition unmöglich, künftige Anforderungen an Technik und Sicherheit umfassend vorherzusehen. Das bedeutet, dass eine im vergangenen Jahr aufgebaute und potenziell sehr teure Infrastruktur schon bald nicht mehr sicher sein könnte, weil sich das sie umgebende Ökosystem verändert hat. Aus diesem Grund haben wir die letzten zwei Jahrzehnte damit verbracht, Software und Netzwerkprotokolle, die nie auf moderne Sicherheitsanforderungen ausgelegt waren, nachzurüsten. Andererseit gibt es Anreize dafür, verfügbare Sicherheitstechnologien nicht einzusetzen, sondern stattdessen neue Produkte so schnell wie möglich auf den Markt zu bringen. In der Praxis heißt das, dass der Anbieter, der ein bestimmtes Produkt als erster einführt – auch wenn es qualitativ minderwertig ist (Sicherheit ist hierbei nur einer von zahlreichen Aspekten) – um sich eher das entsprechende Marktsegment zu sichern. Und es kommt noch schlimmer: Das Produkt kann unter Umständen weit über seine beabsichtigte Lebensdauer hinaus im Einsatz bleiben und sogar seinen Hersteller überleben. Ein unsicheres digitales Produkt wird unter Umständen noch im Einsatz sein, während das Unternehmen, das es entwickelt hat, keine Updates mehr liefert oder sich sogar gänzlich aus dem Markt zurückgezogen hat (nachdem es sich beispielsweise als unrentabel erwiesen hat). Auf einem Markt, der für die meisten Verbraucher und Käufer intransparent ist, gibt es also einen geschäftlichen Anreiz dafür, auch weiterhin verwundbare Produkte zu entwickeln. (Einem Angreifer bietet ein solches Ökosystem eine Vielzahl an potenziellen Zielen.) Cyberangriffe stellen eine grosse Bedrohung für die Geschäftskontinuität und die persönliche Sicherheit dar Erfahren Sie, wie wir Cyber-Resilienz ermöglichen Angriffe auf gesicherte Systeme lohnen sich Die dritte Herausforderung ist eine wirtschaftliche. Wir sehen uns mit einem paradoxen Effekt konfrontiert: Je sicherer wir unser System gestalten, desto mehr kann ein potenzieller Angreifer verdienen, wenn er es bricht. Dies scheint auf den ersten Blick kontraintuitiv: Verbesserte Sicherheitsmaßnahmen machen Angriffe aufwändiger und teurer. Angreifer sind gezwungen, mehr Zeit und Energie aufzuwenden, was sie eigentlich davon abbringen sollte, es überhaupt zu versuchen. In der Praxis sieht es aber anders aus – wir können Angreifer nicht ewig abwehren, wenn ständig überall neue auftauchen. Das einzige, worauf wir hoffen können, ist, ein Gleichgewicht zu erzeugen, das wir uns als Verteidiger leisten können. Die Angreifer wiederum werden auf eine Verringerung ihrer Erfolgsaussichten reagieren. Einige werden aufgeben, wodurch sich für andere deren potenzieller Gewinn erhöht. In einer Welt, in der alle Juwelen in sicheren Tresoren verwahrt werden, steigt die potenzielle Belohnung für erfolgreiche Tresorknacker genauso wie der Preis für Juwelen stetig. In einer Welt, in der Juwelen in Holzkisten aufbewahrt werden, wird die Belohnung entsprechend gering sein (Holzkisten aufzubrechen ist keine große Herausforderung), weshalb sich potenzielle Angreifer nach profitableren Einkommensquellen umsehen werden. Menschen können Risiken schwer einschätzen Der letzte Aspekt, der für unsere verzwickte Lage verantwortlich ist, ergibt sich aus der menschlichen Natur. Menschen sind nicht darauf ausgelegt, mit Computersystemen zu interagieren. Benutzeroberflächen müssen folglich auf der Grundlage von Konzepten gestaltet werden, mit denen ihre Benutzer vertraut sind. Diese Konzepte basieren auf Analogien. Wenn man ein Dokument in den Papierkorb verschiebt, verschwindet es nicht einfach. Wenn man den Papierkorb leert, wird das Dateisystem aktualisiert – die Daten in der Datei sind deswegen aber immer noch nicht weg. Ein schlossförmiges Icon in der Adressleiste eines Browsers kennzeichnet eine sichere Verbindung, aber der menschliche Benutzer hat keine Kontrolle über diesen Sicherheitsaspekt. Stattdessen ist es der Computer, der auf den erfolgreichen Abschluss eines komplexen Abgleichs digitaler Signaturen hinweist. Derselbe Computer könnte zu einem früheren Zeitpunkt durch denselben Benutzer kompromittiert worden sein, falls dieser beispielsweise unwissentlich ein unsicheres digitales Zertifikat angenommen hat. Menschen können außerdem nicht sonderlich gut Risiken einschätzen oder auf diese reagieren. Wir gehen oft davon aus, dass wir Risiken kontrollieren können, auch wenn wir in vielen Fällen einfach nur Glück haben. Außerdem neigen wir dazu, bestimmte Risiken als normal anzusehen, weil wir sie gewohnt sind. (So setzt man sich beispielsweise jedes Mal einem Risiko aus, wenn man ein Auto fährt.) Zu guter Letzt neigen Menschen dazu, auf vertraute Situationen mit automatisierten Verhaltensmustern zu reagieren. Nehmen wir als Beispiel ein Pop-up-Fenster auf dem Bildschirm: Es ist auffällig, wie schwer es sein kann, nicht sofort auf OK zu klicken – selbst wenn es uns davor warnen will, das zuvor erwähnte fehlerhafte Zertifikat zu installieren. Wir versuchen schon seit geraumer Zeit, unseren Benutzern beizubringen, wie man sich beim Benutzen von Computern «korrekt» (also sicherheitskonform) verhält. Dieser Ansatz funktioniert zwar, das entsprechende Wissen muss aber häufig aufgefrischt werden. Außerdem muss es in einer Art und Weise präsentiert werden, die den Benutzern sinnvoll und praxisorientiert erscheint – sie dazu zu zwingen, sich jedes Jahr durch das gleiche Online-Seminar zu klicken, ist in diesem Fall kaum zielführend. Wir haben erst seit Kurzem begonnen, dies durch eine Anpassung unserer Benutzeroberflächen zu unterstützen. (So ist es beispielsweise sehr schwer, in modernen Internetbrowsern unsichere Websites zu öffnen.) So sehen unsere Sicherheits-Audits und Assessments aus Chancen und Risiken abwägen Als Fazit lässt sich festhalten, dass Sicherheit für uns ein zentraleres Thema bleibt, weil wir uns aus den beschriebenen Gründen zu einem immer größeren und lukrativeren Angriffsziel machen. Gleichzeitig implementieren wir ständig neue Technologien und Produkte, bevor diese in Bezug auf Sicherheitsaspekte voll ausgereift sind, und müssen obendrein noch mit unseren eigenen Schwächen als Homo sapiens fertig werden. Dennoch ist die Welt bisher noch nicht an mangelnder Cybersecurity zugrunde gegangen. Ganz offensichtlich ist es uns bis dato gelungen, das Gleichgewicht stabil zu halten. Wir haben Investitionen in Sicherheit als ein notwendiges Übel der modernen Geschäftswelt akzeptiert und uns darauf eingestellt. Kein Unternehmen würde heutzutage die Notwendigkeit von Cybersecurity ernsthaft in Frage stellen. Jene, die es dennoch tun, verschwinden meist recht schnell wieder vom Markt. Verbraucher haben IT als festen Bestandteil ihres Lebens akzeptiert, der ihre Lebensqualität verbessert. In Anbetracht der gegenwärtigen Entwicklung wird unsere Gesellschaft in Zukunft zunehmend auf Online-Dienstleistungen angewiesen sein. Die eingangs erwähnte Omnipräsenz von Cybersecurity in den Schlagzeilen kann (sofern man optimistisch bleiben will) auch als Zeichen dafür gewertet werden, dass Menschen, Unternehmen und Politiker sich nun endlich der Herausforderung stellen wollen. Plus ça change, plus c'est la même chose. Wir können die Herausforderungen der Cybersecurity nicht ignorieren, und wir müssen (und können!) immer mehr investieren, um an der Spitze zu bleiben – schließlich handelt es sich dabei um die einzige sichere Position. Haben Sie Fragen zu unseren Angeboten im Bereich Cybersecurity ? Kontaktieren Sie gerne Raphael Reischuk! Ansprechpartner für die Schweiz Dr. Raphael Reischuk Group Head Cybersecurity & Partner Raphael Reischuk ist Autor zahlreicher wissenschaftlicher Publikationen in verschiedenen Bereichen der IT-Sicherheit und Kryptographie, für die er mehrfach ausgezeichnet wurde. So wurde Raphael im Jahr 2021 von BILANZ und der Handelszeitung zu einem der Top 100 Digital Shapers in Switzerland ernannt. Raphael Reischuk ist Mitglied mehrerer internationaler Programmkomitees für Informationssicherheit und Vizepräsident des Cybersicherheitskomitees von digitalswitzerland; er ist Mitgründer und Vorstandsmitglied des Schweizerischen Nationalen Prüfinstituts für Cybersicherheit (NTC). Er ist seit 2017 bei Zühlke und leitet als Group Head den Bereich Cybersecurity mit Expertise in verschiedenen Branchen. Als erfahrener Informationssicherheitsexperte ist er angetrieben von Neugier, Innovation, Technologie, Engagement und einem starken Business-Fokus. Kontakt raphael.reischuk@zuehlke.com +41 43 216 6611 Schreiben Sie uns eine Nachricht You must have JavaScript enabled to use this form. Vorname Nachname E-Mail Telefonnummer Message Absenden Bitte dieses Feld leer lassen Schreiben Sie uns eine Nachricht Vielen Dank für Ihre Nachricht.
Industrie – Apps in der Industrie: Welche Hürden müssen Maschinenbauer in der Umsetzung überwinden? Mehr erfahren