"IT-Security ist erwachsen geworden," sagte Jeff Moss, Gründer der Black Hat zum Auftakt des diesjährigen Security-Events in Las Vegas. Im Licht der jüngsten Datenskandale, müsse sich die Community darauf einstellen, dass Informationssicherheit im privaten und Arbeitsalltag, für Business und Politik immer wichtiger werde - und damit auch die Rolle der IT-Sicherheits-Profis.
Diese Ansicht deckt sich mit aktuellen Zahlen des Analystenhauses Gartner. Demnach sind die weltweiten Ausgaben für IT-Sicherheit 2018 um Vergleich zum Vorjahr um etwa zehn Prozent auf mehr als 98 Milliarden US-Dollar gestiegen (2017: 88,3 Milliarden US-Dollar), Tendenz steigend. Für 2021 prognostizieren die Marktforscher ein Volumen von 123,2 Milliarden US-Dollar.
Vor diesem Hintergrund ständen Moss zufolge Technologie-Anbieter in der Pflicht, Probleme bei der Informationssicherheit proaktiv zu lösen. Gerade die 20 weltweit größten und systemrelevantesten Unternehmen, die beispielsweise Betriebssysteme oder Browser anbieten, hätten die Möglichkeit, die Sicherheitsstandards tatsächlich zum Positiven zu beeinflussen.
Dem gegenüber stünde jedoch eine reaktive Haltung in vielen Firmen, kritisiert Moss. So würden diese nur auf Anregung von Kunden oder bei öffentlichkeitswirksamen Datenpannen ihre Produkte sicherer machten und Lücken schließen, die intern teilweise bereits seit geraumer Zeit bekannt waren.
Ähnlich beurteilt auch Sam Olyaei, Principal Research Analyst Security and Risk Management bei Gartner, die Lage: "Es gab seit jeher eine kulturelle Diskrepanz zwischen Unternehmensleitung und IT-Sicherheits-Profis, die sich auf die nationale Ebene ausgeweitet hat." Man brauche mehr Kollaborations-Mechanismen zwischen den privaten, öffentlichen und akademischen Sektoren, um die generelle Cybersicherheit zu verbessern.
Parisa Tabriz, Director of Engineering und "Sicherheitsprinzessin" bei Google, präsentierte anlässlich ihrer Keynote auf der mittlerweile 21. Ausgabe der Security-Veranstaltung eine drei-Schritte-Strategie für bessere IT-Sicherheit und stellte ein Projekt des kalifornischen Tech-Riesen für firmenübergreifende Zusammenarbeit vor.
Backen statt Blockchain
Anstatt die Ursachen schlechter IT-Sicherheit an der Wurzel ("Root cause") zu beheben, würden bei gängigen Herangehensweisen an Sicherheitslücken nur die Symptome bekämpft, wenn sie sich zeigen, stellte Tabriz fest. "Und nein, Blockchain löst nicht all unsere Security-Probleme," kritisierte die Managerin den Glauben, neue Technik sei die Antwort auf alle Herausforderungen in der IT-Sicherheit.
Um diesen Status quo zu ändern, stellte sie eine Strategie in drei Schritten vor, mit der Google beispielsweise innerhalb von vier Jahren ein Security-Projekt für Chrome realisierte: Seit Juli diesen Jahres werden Webseiten, die nicht das verschlüsselte HTTPS-Protokoll nutzen, von dem Browser eindeutig und einheitlich als unsicher gekennzeichnet.
Die einzelnen Schritte lauten wie folgt:
Durch neutrale Analyse das ursächliche Problem identifizieren
Realistische Meilensteine für den Lösungsprozess setzen und Erfolge feiern
Kollaboration auch jenseits des eigenen Unternehmens ausbauen
Im ersten Schritt sei es wichtig, wirklich neutral zu analysieren. Es müsse die Anwender-Sicht eingenommen werden und solange nach der Ursache gebohrt und vermeintliche Ergebnisse hinterfragt werden, bis man wirklich an der Wurzel des Problems angekommen sei. Dabei rät Tabriz zu einer sogenannten "Fünf-W-Strategie": Man solle bei der Untersuchung mindestens fünf Mal "Warum" fragen, wenn eine vermeintliche Ursache entdeckt werde. Darunter fallen Fragen wie: "Warum haben wir diese Schwachstelle bisher nicht entdeckt?", "Warum sorgen Prozesse dafür, dass Schwachstellen so lange unentdeckt bleiben?" und "Warum haben wir solche Prozesse?" usw.
Diese ungeschminkte Selbstbetrachtung und die potentiell tiefgreifenden und langwierigen Veränderungen am Status quo, die nötig werden könnten, würden vielerorts auf Wiederstand aus dem Management stoßen. Davon dürfe man sich jedoch nicht beirren lassen und müsse möglichst viele Stakeholder für seine Sache gewinnen sowie andere Abteilungen in das Projekt-Team mit einbeziehen.
Hat man grünes Licht für das Projekt, gehe die Arbeit aber erst richtig los. Große, grundlegende Veränderungen seien komplex und bräuchten Zeit, sodass die Gefahr bestünde, dass der Prozess stagniert und letzten Endes scheitert. Daher solle man im zweiten Schritt möglichst realistische Meilensteine setzen, um Erfolgserlebnisse zu generieren, die zum Weitermachen motivieren.
Zudem sollte jeder Meilenstein gefeiert werden. Bei Google wurden beispielsweise thematisch passend dekorierte Kuchen im Team gebacken und gemeinsam gegessen oder die Mitglieder schrieben kurze Haikus, die ihre Zielsetzung widerspiegelten. Solche "weichen" Motivations-Faktoren seinen ungemein wichtig für den Erfolg der Projekte.
Der letzte und vielleicht wichtigste Schritt liege im breiten Ausbau der Kollaboration. Je mehr Austausch von Wissen und Erfahrungen auch außerhalb des eigenen Unternehmens gepflegt werde, desto größer sei der endgültige Nutzen für alle. In einer immer komplexer und agiler werdenden Bedrohungslandschaft sei ein isolierter Ansatz hinter verschlossenen Türen zum Scheitern verurteilt. Transparenz und offene Zusammenarbeit seien die Grundpfeiler einer Sicherheitsstrategie, die mit den modernen Gefahren mithalten könne.
Altruistische Käfer-Enthusiasten
Als Leiterin von Project Zero, Googles Analysten-Team für Zero-Day-Schwachstellen, konnte Tabriz schließlich auch auf Kennzahlen verweisen, die ihren kollaborativen Ansatz untermauern. Seit der Gründung des Teams im Jahr 2014 sei die Patch-Rate für gefundene Schwachstellen durch die betroffenen Anbieter innerhalb des gegebenen Zeitlimits von 25 auf 98 Prozent angestiegen.
Die Aufgabe des Teams ist es, Software, die von Googles Anwendern genutzt wird, auf Schwachstellen zu untersuchen. Darunter fallen sowohl eigene Produkte als auch die von Drittanbietern. Wird ein Bug entdeckt, informiert das Team den Anbieter und dieser hat dann 90 Tage Zeit, den Fehler zu beheben. Nach Ablauf dieser Frist oder nach erfolgreichem Patch wird die Schwachstelle öffentlich gemacht.
Gartner-Analyst Olyaei sieht einen solchen Ansatz ebenfalls positiv, denn "es gibt Belege, die für den Aufbau von Kollaborations-Teams sprechen, die sich auf allgemeine Bedrohungen fokussieren, die die gesamte Branche betreffen." Dies sei auch nicht nur den Branchenriesen vorbehalten. Während größere Konsortien wahrscheinlich am effektivsten seien, könnten auch kleinere Unternehmen von Reports und Mechanismen zum Informationsaustausch profitieren, die ihnen in ihrer Branche und ihrem Land zur Verfügung stehen.
Drei weitere aktuelle Megatrends
Die Themen auf der Black Hat drehten sich natürlich nicht nur um Kollaboration. Auf dem Event wurden zahlreiche aktuelle Trends behandelt, die essenziell für die IT-Sicherheit sind und werden. Laut Olyaei waren der Fachkräftemangel, IoT-Sicherheit und die aktuelle Bedrohungslandschaft die heißen Themen in Las Vegas.
Fachkräftemangel und Diversität - Die Nachfrage nach Sicherheits-Profis kann nicht mehr abgedeckt werden, konstatierte der Gartner-Analyst. Er erwartet, dass bis 2021 drei Millionen Stellen unbesetzt sein werden, wodurch Unternehmen Risiken ausgesetzt werden, wenn sie kein qualifiziertes Personal mit den richtigen Fähigkeiten finden. Daher müssen sie kreativ werden, um diesem Mangel zu begegnen.
Es gilt, Talente aktiv zu entwickeln, Sicherheitsprogramme zu optimieren und, wenn möglich, Analytics oder Automation zu nutzen. Es sollte ein übergreifendes Personal-Gefüge geschaffen werden, das die nötigen Fähigkeiten und jeweiligen Rollen berücksichtigt, um die digitale Transformation zu bewältigen. Diversität spielt in diesem Zusammenhang auch eine wichtige Rolle. Es sollen mehr Frauen und unterdurchschnittlich vertretene Minderheiten in der Branche involviert werden.
Verantwortung für IoT-Sicherheit - Die zunehmende Verschmelzung von IT, Operational Technology (OT) und Internet of Things (IoT) wirkt sich stark auf die Cyber-Sicherheit aus und treibt einen Paradigmenwechsel weg von einem alleinigen Fokus auf Daten hin zu einem Schwerpunkt auf den Sicherheitsaspekt voran. Dabei dreht sich die Debatte in der Branche momentan hauptsächlich um die Frage, ob der Anwender oder der Hersteller für die Absicherung vernetzter Geräte verantwortlich ist. Die Aktualität dieser Problematik zeigte sich sehr deutlich, als die Hacker Billy Rios und Jonathan Butts auf dem Event eine schwere Sicherheitslücke bei Herzschrittmachern und Insulinpumpen aufdeckten, die bisher vom Hersteller nicht behoben wurde, obwohl er vor 18 Monaten darüber informiert worden war.
Komplexere Bedrohungen - Der Anteil traditioneller Cyberkrimineller in der Bedrohungslandschaft nimmt zunehmend ab und wird von hochentwickelten Angreifern ersetzt, die auf nationalstattliche Ressourcen zurückgreifen können oder staatlich gesponsert sind. Diese Angreifer nutzen weiterhin herkömmliche Exploit-Mechanismen wie Ransomware, es wird aber auch der vermehrte Einsatz von Kryptomining festgestellt. Diese Malware wird unbemerkt auf einem vernetzten Gerät installiert und nutzt heimlich dessen Ressourcen, um Kryptowährungen zu schürfen.
Sicherheit durch Mensch und Maschine
Die Black Hat USA 2018, an der dieses Jahr Vertreter aus 112 Ländern teilnahmen, deutet darauf hin, dass effiziente IT-Sicherheit heute zu gleichen Teilen aus Technologie und dem Faktor Mensch besteht. Die zunehmende Systemrelevanz von IT in allen Lebens- und Wirtschaftsbereichen verlangt nach übergreifender Zusammenarbeit der IT-Profis bei der kontinuierlichen Verbesserung von Software, um der immer komplexeren und aggressiveren Bedrohungslandschaft die Stirn zu bieten. Dafür müssen jedoch traditionelles Silo-Denken überwunden, kompetentes Fachwissen aufgebaut und Verantwortlichkeiten geklärt werden.
Ob der von Google erarbeitete und angewandte Ansatz auch in anderen, kleineren Unternehmen breitenwirksam umgesetzt werden kann, steht noch in den Sternen, der Handlungsdruck dazu scheint jedoch größer zu werden.