Endpunkte
Sicherheitsmythen: Wir sind sicher – Red Teaming unnötig
Viele Unternehmen halten sich für sicherheitstechnisch gut versorgt und lehnen Red Teaming, also fingierte Angriffe auf die eigenen Systeme, ab. Ein großer Fehler, sagt unser Autor, und auch mit Cyberversicherungen ist nicht automatisch zu rechnen.
Das BSI empfiehlt, 20% aller IT-Ausgaben in die Sicherheit zu investieren. Das klingt nach viel Geld. (Noch vor wenigen Jahren waren es in Deutschland unter 10%). Und wenn Geschäftsleute investieren, soll es sich auch lohnen - keine Frage. Aber tut es das wirklich? Leider allzu oft, nein! Denn mit der Umsetzung beauftragte Einkäufer treffen auf Horden von Sicherheitsberatern, die alle natürlich die jeweils beste Lösung kennen und implementieren wollen.
Aber unabhängig von der tatsächlichen Qualität der ausgewählten Lösung gibt es dann noch Risikofaktoren, welche die meisten nicht richtig einschätzen können. Dazu gehört das psychische Durchhaltevermögen in einer Stresssituation oder die konkrete Umsetzung der in der Theorie oft einfach klingenden Prozesse. Schon 1890 nahm der damalige Feldmarschall Helmuth von Moltke das Problem vorweg, als er sagte: „Kein Plan überlebt den ersten Feindkontakt.“ Das gilt leider auch in der IT-Sicherheit.
Deshalb ist es wichtig, abgesehen vom Einsatz einer hochwertigen Lösung Erfahrungen zu sammeln und die Realität, so gut es geht nachzustellen. Im Compliance-Jargon nennt sich das dann „Threat Lead Penetration Testing“. Das schreibt zumindest Finanzinstituten die DORA-Verordnung zwingend vor. Gemeint ist dabei beispielsweise Red oder Purple Teaming. Für diesen Vorgang werden ethische Hacker damit beauftragt, das eigene Unternehmen „anzugreifen“. Man testet dadurch die Prozesse im Unternehmen und trainiert die Fähigkeiten, die im Ernstfall benötigt werden. So etwa, ob die eigene IT-Security-Abteilung überhaupt in der Lage ist, einen solchen Angriff zu bestehen.
Auch wenn dies in vielen Fällen eher nicht der Fall ist, lehnen Verantwortliche Red Teaming ab, denn man möchte die Mitarbeiter nicht noch zusätzlich belasten, sie seien „ohnehin an der Grenze“. Erst wenn die ausstehenden Stellen nachbesetzt sind… Hoffen wir mal, dass auch die Angreifer so fair sind und den Einstellungs- und Ausbildungsprozess abwarten.
Tun sie das nicht, auch kein Problem, denn
„Wenn etwas passiert, zahlt doch sowieso die Cyberversicherung!”.
Ja, auch diese Einstellung gibt es. Sie ist zwar bei Neuabschlüssen nicht mehr so verbreitet, sondern eher bei historischen Kunden. Und dafür haben die Versicherungen auch gehörig Lehrgeld bezahlt – wörtlich gemeint. Denn die ersten Cyberversicherungen hatten in der Tat kaum Einschränkungen.
Das ist heute anders. Eine Police bekommt nur, wer auch die inzwischen erhöhten Anforderungen an die Sicherheit erfüllt. Auch wenn der Versicherungsnehmer dies nachweislich tut, ist die Auszahlung im Schadenfall trotzdem eingeschränkt. Die Kosten eines Cyber- vor allem Ransomware-Angriffs sind oft deutlich höher als das, was versicherungstechnisch übernommen wird. Es kommen nämlich noch Ausfallzeiten, Rufschaden, Wiederherstellungs- und Kommunikationsausgaben neben dem geforderten Lösegeld hinzu. Und diese sind meist schwer zu bemessen oder nachzuweisen. Sie werden deshalb in der Policy „gedeckelt“, wenn sie überhaupt berücksichtigt werden.
Dennoch sind Cyberversicherungen natürlich nützlich und hilfreich. Im Incident Response-Fall sind Mitarbeiter von Unternehmen mit einer Versicherung deutlich entspannter als solche ohne. Da psychologische Faktoren in einer Ausnahmesituation keinesfalls ignoriert werden sollten – siehe die die Gründe für Red Teaming -- ist das nicht despektierlich gemeint.
Nichtsdestotrotz verhindert eine Versicherung keinen Angriff. Und spätestens wenn einer stattgefunden hat, werden die entsprechenden Beiträge auch spürbar angehoben. Das Ziel bleibt deshalb, den Angriff zu verhindern und passiert er dennoch, die Auswirkungen sowohl IT-technisch als auch psychologisch niedrig zu halten.
Im nächsten Beitrag unserer „Aufklärungsreihe“ der Sicherheitsmythen wird es um die Glaubenssätze „Gegen staatliche Angreifer haben wir keine Chance“ und „Ransomware ist die erfolgreichste cyberkriminelle Angriffsmethode“ gehen.