Das Phrasenschwein blickt in die Glaskugel:
Informationssicherheit mehr als Schlangenöl?
„Es gibt keine 100-prozentige Sicherheit“: Brauchen wir die Informationssicherheit denn dann überhaupt, wenn es eh' nichts bringt? Sind die Maßnahmen, die teuer an Unternehmen verkauft werden, nicht einfach nur ein bisschen Voodoo und Schlangenöl? Oder ist die Informationssicherheit der Superheld, auf den die Welt gewartet hat? Ohne die Informationssicherheit gehen Unternehmen sang und klanglos unter, Daten werden gestohlen und Systeme nach Belieben gehackt?
Im Rahmen der Kommunikation zwischen den Unternehmen und der Informationssicherheit wird versucht, das angeblich komplexe Thema in einfachen Bildern darzustellen, und hierzu werden oft einfache bzw. stark vereinfachte und verallgemeinerte Phrasen verwendet. Sowohl die Berater als auch die Unternehmen – also gefühlt alle Beteiligten – verwenden immer wieder die gleichen Phrasen. Die Frage ist nun, sind denn diese überhaupt korrekt, oder glauben wir einfach nur, dass sie korrekt sind? Im Rahmen dieses Vortrags sollen typische Phrasen auf den Prüfstand gestellt werden und genutzt werden, um Verbesserungen der Informationssicherheit abzuleiten.
Den Phrasenauftakt macht gleich ein Phrasen-Trio: „Der Mensch ist die größte Schwachstelle“, „Das Problem sitzt vor dem PC“ und „Das ist ein Layer 8 Problem“. Durch diese Phrasen wird der schwarze Peter klar dem Mitarbeiter, dem Benutzer zugeschoben, aber ist es denn so einfach? Also ja, es gibt Mitarbeiter, die sind einfach unbelehrbar und können noch so oft geschult werden und klicken innerhalb kürzester Zeit trotzdem auf jede Datei und jeden Link, den sie erhalten. Aber ist das deswegen ihr Fehler, oder ist es dann nicht unsere Aufgabe ein Sicherheitskonzept aufzubauen, das das abfängt? Wurde denn Multi-Faktor-Authentifizierung implementiert? Wurden Maßnahmen gegen Lateral Movement oder bewertet wie kritisch die Kompromittierung eines Endgerätes sind? Um von dieser Phrase weg zu kommen, sollten Kennzahlen auf positives Verhalten und nicht auf Fehlverhalten abzielen. Bei einem Phishing-Test wird in der Regel der Schwerpunkt auf Anzahl Klicks („Wie viele sind darauf reingefallen?“) gelegt, anstelle auf Melderate, also wie viele Mitarbeiter haben wie schnell die potenziell gefährliche E-Mail an die entsprechende Stelle gemeldet. Evtl. auch erst nach dem Klicken oder dem Eintragen von Zugangsdaten. Nur so kann eine gesunde Informationssicherheitskultur, die positives Verhalten hervorhebt etabliert und gefestigt werden. Um es mit einer Phrase zusammenzufassen „Benutzer sind die erste und letzte Schutzmaßnahme“ und sehr wichtig für funktionierende und vor allem gelebte Informationssicherheit. Die Phrase ist nicht nur falsch, sondern auch schädlich für ein ganzheitliches Informationssicherheitskonzept
Eine weitere sehr beliebte Phrase lautet: „Es ist nicht die Frage ob, sondern wann ein Unternehmen gehackt wird.“ Diese Phrase hat in den letzten Monaten und Jahren immer mehr an Verbreitung zugelegt und hat gefühlt die Phrase „Brennen tut es nur beim Nachbarn“ abgelöst. Was versucht man damit auszudrücken. Im Grunde soll es klar machen, dass Hacking jedem passieren kann und dass man im Rahmen der Informationssicherheit nicht nur proaktive Maßnahmen vorantreiben muss, sondern sich auf den Ernstfall vorbereiten muss. Also auch reaktive Maßnahmen vorbereiten und testen muss. Grundsätzlich wird diese Phrase als korrekt betrachtet und oft wird von den Unternehmen dann mit der gleichen Phrase geantwortet „Wir sind viel zu unbekannt / zu klein um als Ziel wahrgenommen zu werden.“. Hier muss man leider dagegenhalten, dass man zwar für gezielte Angreifer kein Zieldarstellen möge, aber für andere Hackergruppen, die schlicht nach einfachen Zielen suchen und sich gar nicht drum kümmern, wen sie denn überhaupt angreifen. Hauptsache sie haben bereits einen Weg in das Unternehmen, sei es durch exponierte Dienste (wie z.B. RDP), nicht gepatchte Schwachstellen (z.B. Exchange) oder bekannte Zugangsdaten. Dadurch das mittlerweile mehr erfolgreiche Angriffe bekannt werden, hat auch die „Blaming Culture“ abgenommen und Unternehmen werden mehr danach beurteilt, wie sie mit einem Angriff umgehen, als nach der Tatsache, dass sie gehackt wurden. Deshalb wird empfohlen hier transparent zu sein und klar darzustellen was passiert ist, welche Daten betroffen sind und welche Maßnahmen abgeleitet wurden. Frei nach dem Motto „ehrlich währt am längsten“. Standardphrasen wie „We have been the victim of a sophisticated cyber attack” (zu Deutsch “ Wir wurden Opfer eines ausgefeilten und komplizierten Hackerangriffs“) verbreiten hier eher weniger vertrauen, da dies in der Regel nicht zu trifft. Hier wurde nun eine zutreffende Phrase betrachtet.
Es ist auch klar, dass man sich nicht vor Angriffen schützen kann, da „Der Angreifer hat es leichter, er muss nur einmal richtig sein. Der Verteidiger muss immer richtig sein.“. Auch diese Phrase wird oft verwendet und bringt die Unternehmen gleich in eine defensive Haltung. Jetzt sollte bereits jedem klar sein, dass Informationssicherheit nicht durch singuläre Maßnahmen erfolgreich ist, sondern mehrere, sich überlagernder und ergänzende Maßnahmen etabliert werden, so dass wie in einer „Burg sich verschiedene Ringe zur Absicherung des Burgfrieds verwendet werden“. Der Angreifer muss durch jede Sicherheitsschicht durch, um sein Ziel zu erreichen und jede Schicht bietet die Möglichkeit den Angreifer zu entdecken. Somit ist die Phrase nicht korrekt, sofern man darauf achtet, dass Entdeckungsmöglichkeiten und Alarme in möglichst alle Maßnahmen integriert werden und auch alle Phasen der Angriffskette (Kill Chain) abdeckt.
Weitere Phrasen, wie z.B. MFA ist the cost for beeing online“, „Mehr Compliance bedeutet nicht mehr Sicherheit“ oder „Informationssicherheit ist ein Problem das NICHT durch Einsatz von mehr Geld gelöst wird“, werden im finalen Vortrag aufgeführt, bewertet und wichtige Aufgaben für Unternehmen bzw. für die Informationssicherheitsbranche abgeleitet.
Zum Abschluss wird der Vortrag mit weiteren Phrasen zusammengefasst. Als Bereich Informationssicherheit sind wir nicht die Superhelden, die alles lösen, sondern wir sollten uns mehr als die Sidekicks der Unternehmen darstellen und als solche helfen, dass die Unternehmen ihre Aufgabe möglichst optimal und sicher erfüllen können.
Mitarbeiter sind nicht das Problem, sondern der Teil der Lösung!
„Do the basics, but do them right” / “Macht die Grundlagen, aber richtig“. Nicht alle Unternehmen müssen sich vor Nation-State (ähnlichen) Angreifern schützen und können durch gute Informationssicherheit Hygiene vor einem Großteil der Angriffe schützen bzw. deren Auswirkungen drastisch reduzieren.
Somit handelt es sich bei genauerer Betrachtung der Informationssicherheit nicht um einen Selbstzweck, der aus Schlangen Öl und Voodoo besteht, sondern Informationssicherheit ist ein heutzutage wichtiges Element von erfolgreichen Unternehmen. Dies wird noch mit einem letzten Bild unterlegt bzw. deutlich.
„Die Informationssicherheit ist die Bremse des Unternehmens“ Beim Auto ist die Bremse wichtig, um erfolgreich und möglichst schnell, aber nicht zu schnell durch Kurven und den Verkehr zu kommen, ohne an einer Mauer zu zerschellen. Und die Qualität / Leistungsfähigkeit der Bremse wächst mit der möglichen Höchstgeschwindigkeit des Autos mit. Sozusagen der Sidekick des Motors und wie ein Auto eine Bremse braucht, um erfolgreich fahren zu können, brauchen Unternehmen die Informationssicherheit, um erfolgreich zu sein. Die Informationssicherheit muss hierzu von ihrem hohen Ross herunter und mit dem „Business“ auf Augenhöhe kommunizieren und gemeinsam passende Lösungen finden.
Lernziele
Aufräumen / Klären typischer, zum Teil falscher Phrasen.
Ableiten von ToDos zur Verbesserung der Informationssicherheit
Verdeutlichen eines gesunden Selbstbild der Informationssicherheit