Compliance und Risiko
Sturm und Verteidigung beim Fußball und IT-Security
Aus gegebenem Anlass fallen derzeit die Parallelen zwischen dem Training im Fußball und in der Cybersecurity ins Auge. Hier wie dort müssen Verteidiger und Angreifer auf Aufgaben beim Stellungsspiel und in kritischen Situationen vorbereitet werden.
Vernünftiges Training ist nicht nur im Fußball entscheidend, sondern auch in der Cybersecurity. Beim Fußballtraining geht es einerseits um die Vermeidung von Verletzungen, andererseits darum, das Spiel zu gewinnen. Vor allem wenn es um den Sieg geht, ergeben sich daraus interessante Parallelen mit dem Training in der Cybersecurity. Verteidigung und Angriff trainieren in der Regel gemeinsam aber mit unterschiedlicher Zielsetzung.
Training für Verteidiger
Es gibt wichtige Unterschiede bei den Spielertypen. Verteidiger, speziell Innenverteidiger, sind meist sehr erfahrene und robuste Typen und bilden das Rückgrat jeder Mannschaft. Durch ihr Positionsspiel beenden sie Gefahrensituationen schon im Ansatz. Müssen sie eingreifen, dann geht es darum, kompromisslos den Ball aus der Gefahrenzone zu bringen oder zumindest so viel Zeit zu „schinden“, dass weitere Spieler heraneilen und bei der Bereinigung der Situation helfen können.
Verteidiger trainieren deshalb sehr oft das Zusammenspiel. Die Abseitsfalle, die Kontersituation, Standards… alles Situationen, die so weit wie möglich automatisiert ablaufen müssen. Es hilft der Verteidigung nicht, wenn ein Spieler erst alle Möglichkeiten erwägen muss, bevor er den Schritt nach vorne macht, um den Gegner ins Abseits zu stellen.
Verteidiger gehören zu den Spielern, die auch statistisch (nach Torhütern) am seltensten ausgewechselt werden. Ihre Qualität liegt in der Erfahrung und im Zusammenspiel mit anderen.
Training in der IT-Security
Auch in unserem Metier ist Training ein zentrales Thema. In der IT-Security versuchen wir, allen Spielern ein Grundmaß an Verteidigungsfähigkeiten beizubringen. Aber wer schon einmal einen Stürmer im eigenen Strafraum grätschen gesehen hat, weiß, dass es eine schlechte Idee ist, sich darauf zu verlassen. Die eigene Innenverteidigung zu trainieren, ist deshalb entscheidend. Wichtig sind das Stellungsspiel und wie mit kritischen Situationen umzugehen ist, damit Gefahren bereits in der Entstehung gestoppt oder zumindest lange genug hinausgezögert werden, bis Hilfe eintrifft.
Aber wie sieht es denn damit in Deutschland und der Welt aus? In einer von Trend Micro 2024 durchgeführten Umfrage unter weltweit 2600 IT-Sicherheitsfachkräften aus 24 Ländern wurde die Frage gestellt, ob das eigene Unternehmen die Fähigkeiten, einer Cyberattacke zu widerstehen, testen würde. Hierauf antworteten weltweit 38% der Unternehmen mit „ja“. Deutschland ist mit 24% auf dem letzten Platz - beim Tabellenführer USA sind es 49%.
Training für Angreifer
Albert Einstein wird das folgende Zitat zugeschrieben: „Wer nie einen Fehler beging, hat nie etwas Neues ausprobiert.“ Das könnte das Motto jedes Stürmers sein. Ihre Aufgabe ist es, die Verteidigung zu überraschen. Sie muss in ungewöhnliche Situationen gezwungen werden, denn dann besteht die Möglichkeit einer falschen Entscheidung. Speziell Mittelstürmer verlassen sich dabei häufig auf ihre Intuition/Gedankenschnelle. Die Chance erkennen und zuschlagen ist ihre wichtigste Fähigkeit. Der unvergessene Gerd Müller sagte dazu einmal: „Wennst denkst, is es eh zu spät“. Und Stürmer haben einen Vorteil -- sie können über die gesamte Spielzeit einen Bock nach dem anderen schießen und sind am Ende trotzdem die Helden, weil sie in der einen Situation einfach den Tick schneller waren.
Das Verhalten im Angriff wird dabei von der Mannschaftstaktik bestimmt. Schnelle Stürmer eigenen sich dazu, den Gegner müde zu spielen. Sie sollen die Verteidigung auslaugen, denn je müder die Defensive wird, desto höher die Chance auf einen Fehler. Angreifer werden daher oft ausgewechselt. Der „frische Wind“ gegen Ende soll für zusätzliche Gefahr sorgen und nicht selten werden so verloren gedachte Spiele umgedreht.
Training gegen Angreifer in der Cybersecurity
Auch in der IT-Sicherheit sehen wir dieselben Taktiken. Eine Flut von Angriffen sorgt dafür, dass Verteidiger schnell überlastet werden, wenn man nicht alle Ansatzpunkte abschirmt. Auf ein normales Unternehmen können am Tag hunderte Angriffe einprasseln. Für die Stürmer ist es dabei völlig belanglos, ob die Verteidigung den Großteil davon automatisiert bereinigt. Solange sie beschäftigt ist, wird sie auch müde. Die Gegenstrategie sieht vor, alle Mitarbeitenden im Unternehmen damit zu beauftragen, so viele Angriffe wie möglich von der eigenen Verteidigung fernzuhalten.
In der neuen NIS 2 Direktive wird z.B. juristisch festgelegt, dass eine Unternehmensleitung für ausreichende Wissensvermittlung zu sorgen hat. Angreifer versuchen daher oft neue Methoden. Und Stürmer wissen auch, dass die Konzentration der Verteidiger mit fortlaufender Einsatzdauer nachlässt. Die meisten Angriffe werden deshalb abends und kurz vor dem Wochenende durchgeführt. Auch bei einer gut trainierten Belegschaft sollte man aus diesem Grunde immer davon ausgehen, dass es den Schuss auf den eigenen Kasten geben wird.
Spielanalysen
Profifußball beschäftigt heutzutage Spielerbeobachter, Taktikanalysten und andere, die sich typisches Verhalten der Gegenseite ansehen. Man versucht, die Stärken und Schwächen des Gegners sowohl in der Verteidigung wie im Angriff auszumachen, und trainiert Ideen damit umzugehen. Im Fußball kann man das nicht für jeden Gegner tun. Menschen sind schlicht überfordert, wenn sie jede Woche ein neues Verhalten erlernen müssen und für den zwei Klassen unterhalb spielenden Pokalgegner lohnt es sich ja auch nicht. Deshalb bleibt Fußball auch spannend, und die Niederlage tut besonders weh, wenn man nicht mit ihr rechnete und sie mit besserer Vorbereitung zu vermeiden gewesen wäre.
Auch in der IT-Security beschäftigen sich Scharen von Analysten mit dem Verhalten der Gegner. Wir nennen das „Threat Intelligence“. In der IT haben wir allerdings den Vorteil, dass wir künstliche Intelligenzen ebenfalls auf das Verhalten der Angreifer trainieren können. Wir multiplizieren dadurch die Anzahl der Verteidiger und vermeiden die Überlastung. Abwehrchefs definieren die „Härte der Gangart“ – in unserer Branche die Frage der false/positive versus false/negative Erkennungen. Wichtig vor allem das Verhalten bei ungewöhnlichen oder neuen Spielzügen – so genannten Anomalien. Deshalb müssen entsprechende Sensoren möglichst überall auf dem „Spielfeld“ zum Einsatz kommen. Würde man gleiches im Fußball machen, wäre das Spiel langweilig.
Vermutlich verzichten deshalb noch viele Unternehmen auf Technologien wie XDR. Schließlich möchte man kein Spielverderber sein. Viel Spaß bei der EM!