Ransomware
Der Airbag der IT-Sicherheit kann XDR heißen
Der Verkehr auf der Datenautobahn nimmt rasant zu und alle wollen schnell fahren. Daher müssen Unternehmen davon ausgehen, früher oder später einen „Unfall“ zu haben. XDR kann dann helfen - wie ein Airbag im Auto.
von Richard Werner, Business Consultant
Schon wieder haben Schlagzeilen zu einem spektakulären Angriff die Welt aufhorchen lassen: Ein Hacker hatte die Wasserversorgungseinrichtung in einer Kleinstadt in Florida ins Visier genommen. Der Vorfall wurde zwar glücklicherweise rechtzeitig entdeckt, doch es stellt sich die Frage, wie so etwas möglich ist. Die Antwort fällt so banal wie erschreckend gewöhnlich aus. Das zuständige Unternehmen hat bei den notwendigen IT-Sicherheitsmaßnahmen wie Einsatz von Passwörtern und Betriebssystem geschludert. Nun steht das Wasserwerk unter anderem dafür am virtuellen Pranger, dass es das abgekündigte Windows 7 einsetzte.
Ungewöhnlich gewöhnlich
Nun, die Vorwürfe zu den Sicherheitsmängeln im Wasserwerk sind berechtigt, aber dennoch, aus Security-Sicht gibt es das perfekt gesicherte Unternehmen nicht! Das liegt schlicht in der Natur der Dinge, denn Sicherheit ist kein Zustand, der erreicht werden kann, sondern ein Prozess, der immer weitergetrieben werden muss. Deshalb wird es immer wieder Bereiche in der IT geben, die zumindest temporär veraltet sind. Je größer oder weiter verzweigt ein Unternehmen, desto höher die Wahrscheinlichkeit einer solchen Schwachstelle und übrigens auch der Gefahr, dass Manches einfach übersehen wird. Daher ist es heute tatsächlich eher normal, dass die IT von Unternehmen und Behörden Schwachstellen beinhaltet, welche Cyberkriminelle für ihre Machenschaften ausnutzen können.
Ursachenforschung
Natürlich wurden im aktuellen Fall Sicherheitsprotokolle verletzt, und das hätte nicht vorkommen dürfen. Welches sind die Ursachen dafür, dass Systeme nicht aktualisiert, Risiken falsch berechnet oder ignoriert werden? Es ist vor allem Zeitmangel und natürlich Engpässe im Budget. Aber das ist noch nicht alles, denn häufig wird IT-Sicherheit in kleine Aufgabengebiete unterteilt – es entstehen die viel zitierten „Silos“. Damit schaffen IT-Verantwortliche Situationen, in denen sich gleich mehrere Abteilungen verantwortlich fühlen — oder eben keine.
In der Folge werden sinnvolle Sicherheitsmaßnahmen in Frage gestellt und Prozesse wie Überwachung und Managementaufwand bereichsübergreifend diskutiert. Einigt man sich, folgt als nächstes der Kampf um Budgetfragen. Wer ist zuständig und/oder profitiert? Gerade an den Schnittstellen entstehen dadurch gefährliche Lücken. Der derzeit am meisten kontrovers diskutierte Gap ergibt sich im Bereich DevOps. Es geht um die Verantwortung, Software sicher zu entwickeln. Aber wer ist dafür zuständig, hier die Sicherheit zu gewährleisten, zu überwachen und zu managen — der/die Entwickler oder die IT-Sicherheitsabteilung des Unternehmens?
Was wir von der Automobilbranche lernen können
Mit zunehmender Leistungsfähigkeit und Verbreitung der Autos Mitte des letzten Jahrhunderts kam es immer wieder zu schwersten Verkehrsunfällen. Deshalb wurden schließlich gesetzliche Regelungen wie beispielsweise die Gurtpflicht eingeführt. Im Auto gibt es die aktiven Schutzfunktionen, beispielsweise die Bremse, sowie passive, wie einen Airbag.
Die gleiche Situation herrscht im Prinzip in der IT-Security. Auch IT ist zum Massenphänomen geworden, und schwere „Vorfälle“ häufen sich. Es gibt sogar die ersten gesetzlichen Regelungen (z.B. IT-Sicherheitsgesetz). Auch aktive Komponenten, um Schäden zu verhindern (z.B. Anti-Malware, IPS) und passive, um sie zu minimieren (z.B. Detection & Response) sind vorhanden. Der große Unterschied: Beim Automobil sind die Sicherheitsfunktionen aufeinander abgestimmt und die passiven Systeme automatisiert. Denn im Ernstfall hat man keine Zeit, um einen Knopf „Airbag“ zu betätigen.
Der Wert passiver Sicherheitssysteme
Für IT-Sicherheit bedeutet die Einführung von passiven Mechanismen (Detection & Response), in ein „Worst Case“-Szenario zu investieren. Damit die Wichtigkeit dieser Technik zutage tritt, muss zuerst etwas passieren. Vergleichen kann man dies mit dem Airbag. Dieser war, als er erfunden wurde, ein optionaler Bestandteil im Auto. Vor die Wahl gestellt, ob man eine passive Sicherheitsfunktion benötigt, gehen viele Menschen lieber davon aus, keinen Unfall zu haben, schließlich hat man ja die „Kontrolle“ über seinen Wagen. Selbst wenn gedanklich eingeräumt wird, es könne einen treffen, geht man selten vom „Worst Case“ aus. Der Airbag war deshalb zunächst ein wirtschaftlicher Flop. Heute werden Airbags standardmäßig in Automobilen verbaut, weil Hersteller und Versicherungen eine andere Sicht auf die Situation haben. Und in der IT Security?
Das Fazit – die anderen sollen es machen
Einen solchen Airbag wollen Anwender auch von den Herstellern der IT-Lösungen. Diese sollen einfach ihre Systeme sicher machen, denn als Konsument will man sich damit nicht auseinandersetzen. Dem stimme ich uneingeschränkt zu. Nur, wer ist denn der Hersteller, der wie beim Auto alle Teile zusammensetzt? Das ist nun mal die unternehmenseigene IT-Abteilung. Hier wird entschieden, welche Softwarekomponenten zu einem virtuellen Wagen zusammengesetzt werden. Es ist ihre Aufgabe, ein Sicherheitskonzept aufzubauen und der Zeit anzupassen. Der Verkehr auf der Datenautobahn nimmt rasant zu und alle wollen schnell fahren. Daher müssen Unternehmen davon ausgehen, früher oder später einen „Unfall“ zu haben.
Meine Empfehlungen
Investieren Sie in passive Sicherheitssysteme, um den Schaden zu minimieren. Lernen Sie aus den Unfällen anderer. Denn eines werden Sie immer wieder feststellen: Wer einmal einen ernsthaften Security-Vorfall hatte, weiß den Wert von passiven Sicherheitsmaßnahmen zu schätzen und erkennt die Bedeutung von Automatisierung. Dazu müssen alle Komponenten aufeinander abgestimmt werden, aktive wie passive Schutzvorkehrungen.
In der IT heißt das Konzept XDR. Es beschreibt aufeinander zugeschnittene automatisierte Komponenten. Mit Trend Micro Vision One gehen wir einen Schritt weiter und bieten die zentrale Übersicht über alle Bereiche sowie die Flexibilität, jederzeit auch in neue Bereiche wie Cloud und DevOps zu erweitern. Damit kalkulieren wir nicht nur die Technik mit ein, sondern integrieren auch das Verhalten des Fahrers — pardon die Entwicklung des Unternehmens — in unsere Lösung. Bei Bedarf stellen wir zusammen mit unseren Partnern auch den Chauffeurservice, oder wie es in der IT Security Sprache heißt… den Managed Service.