Predictive Security?

Wie Sie Hackerangriffe vorhersagen

12.09.2017 von Alyson  Behr und Florian Maier
Können Angriffe auf die IT Sicherheit vorhergesagt werden? Der Security-Experte und Bestseller-Autor R.P. Eddy ist davon überzeugt. Warum? Wir klären Sie auf.

Der Schutz persönlicher Daten und geistigen Eigentums war wohl nie zuvor von solch kritischer Bedeutung wie heutzutage. Denn kriminelle Hacker nehmen inzwischen auch Institutionen ins Visier, die zuvor als unantastbar galten. Die Methoden der Hacker werden zudem immer gewievter und sind schwieriger zu entdecken - die verursachten Schäden nehmen auf der anderen Seite immer größere Dimensionen an, nicht wenige Institutionen und Unternehmen wurden so bereits an den Rande des finanziellen Ruins getrieben.

Hackerangriffe vorhersagen? Nach Ansicht des Security-Experten und Autors R.P. Eddy geht das. Wir sagen Ihnen wie.
Foto: wavebreakmedia - chuckchee - shutterstock.com

Beispiele dafür gibt es wie Sand am Meer: Der Angriff der Lazarus-Hackergruppe gegen das internationale Bankensystem Swift, zahlreiche Ransomware-Attacken auf Krankenhäuser, wo die Geiselnahme von Patientendaten im Zweifel über Leben und Tod entscheiden kann, der Großangriff auf die Energieversorgung in der Ukraine oder der bislang größte Hackerangriff aller Zeiten, der den Übernahme-Deal zwischen Verizon und Yahoo beinahe zum Wanken brachte.

All diese Angriffe durch kriminelle Hacker wurden dadurch ermöglicht, dass keines der angegriffenen Unternehmen und Institutionen auch nur im Traum damit gerechnet hat, angegriffen zu werden. Es stellt sich also die Frage, wie die CSOs und CISOsHackerangriffe auf Ihre Unternehmen vorhersagen können, so wie es die Organisationen selbst niemals könnten. Können dieSecurity-Leader die Zukunft vorhersehen?

Der Bestseller-Autor und Ergo-CEO R.P. Eddy sagt: Ja. Und zwar in seinem Buch "Warnings: Finding Cassandras to Stop Catastrophies", das er in Kooperation mit Richard A. Clarke veröffentlicht hat. Das Buch handelt von verschiedenen Menschen, die die Autoren als "modern-day Cassandras" bezeichnen - in Anlehnung an die Figur Cassandra aus der griechischen Mythologie. Diese Menschen haben in der Vergangenheit Entwicklungen vorhergesagt, die später exakt so eingetroffen sind. Etwa den Skandal um Ex-Börsen-Magnat Bernie Madoff, die Wirtschaftskrise des Jahres 2008/2009, den Aufstieg des Islamischen Staates und viele andere. Gemein ist ihnen allen: Sie wurden ignoriert.

"Die Entscheidungsfindung in Unternehmen können Sie vergessen"

Ein Interview, das die Kollegen unserer Schwesterpublikation CSO Online mit R.P. Eddy geführt haben, bringt interessante Einschätzungen zum Prognose-Gebahren von Unternehmen und Institutionen (nicht nur im Bereich der IT Sicherheit) hervor, die wir Ihnen nicht vorenthalten wollen:

In Ihrem neuen Buch entwerfen Sie Strategien für eine Regierungsbehörde mit dem Namen ‚National Warning Office‘. Dessen Aufgabe ist es, Probleme der Zukunft vorherzusehen und auf Grundlage derer Warnungen auszusprechen, um möglicherweise drohende Katastrophen abzuwenden. Wie sollten CSOs und CISOs vorgehen, um ähnliche Prozesse im Unternehmen abzubilden?

R.P. Eddy: Das Buch erzählt die Geschichten von Katastrophen und der Cassandras, die anerkannte Experten auf ihren jeweiligen Gebieten darstellen und ihre Warnungen mit datenbasierten Beweisen anreichern. Dieses Cassandra-Phänomen war zuvor völlig unbekannt - erst mein Co-Autor Dick Clarke hat es identifiziert. Hierbei handelt es sich um eines der ganz wenigen, wirklich nützlichen Prognose-Tools die ich kenne.

Es herrscht ein haarsträubender Mangel an reglementierten Erkenntnissen darüber, wie man Prognosen stellt. Wir sind furchtbar schlecht darin. Die einzige Ausnahme dabei bilden Wettervorhersagen. Die Entscheidungsfindung in Unternehmen können Sie diesbezüglich vergessen. Zwar gibt es Tools, aber deren Einsatz ist nicht sonderlich verbreitet.

Die wenigsten Menschen auf dem C-Level machen sich Gedanken über überraschende Umstände und die meisten CEOs denken schlicht nicht darüber nach, was da - eventuell mit einem Knockout Punch - um die Ecke kommen könnte. Gute CEOs streben hingegen nach Informationen, um sich gegen jedwede Überraschung abzusichern. Besonders problematisch wird das dann, wenn man von einem Unternehmen kommt, wo letztere Sichtweise vertreten wurde, während die neue Organisation diesbezüglich in den Kinderschuhen steckt.

KPMG 2016 CEO-Studie "Now or never"
Now or never
„Now or never“ überschreiben die Consultants von KPMG ihre CEO-Studie. Fast 1.300 CEOs aus zehn Ländern haben sich daran beteiligt. Die Analyse dreht sich vor allem um die Pläne der Unternehmen für die kommenden drei Jahre.
Prioritäten
Die fünf wichtigsten Prioritäten liegen von der Zahl der Nennungen her dicht beieinander.
Investitionen
KPMG wollte wissen, in welche Bereiche in den kommenden drei Jahren investiert werden soll. Jeder Vierte (25 Prozent) nennt Datenanalyse, fast ebenso viele (24 Prozent) die Entwicklung neuer Produkte.
Top-Performer
Bei einigen Punkten differenziert KPMG zwischen besonders erfolgreichen CEOs und dem Durchschnitt. Als besonders erfolgreich gilt, wer in den vergangenen drei Jahren ein Umsatzwachstum von mindestens zehn Prozent erreicht hat.
D&A-Nutzung
An Datenanalyse (Data & Analytics) knüpfen die CEOs verschiedene Erwartungen. Diese kreisen um mehr Effizienz bei Prozessen und Kosten, um Unterstützung im Change-Prozess, das Aufspüren neuer Kunden und die Entwicklung neuer Produkte und Services.

Das ist in der Regel deshalb so, weil die Entscheider in solchen Unternehmen/Organisationen 1. Gar nicht die Möglichkeit bekommen, so etwas zu tun, weil sie dazu weder die richtigen Leute noch die richtigen Tools oder das nötige Mandat haben; 2. Die richtigen Tools nicht einsetzen können, weil diese nicht existieren oder die notwendige Schulung dafür fehlt; 3. strategisch überrascht werden, weil sie sich der Warnungen gar nicht bewusst sind oder nicht ausreichend über diese informiert sind;

Ich ermutige alle Unternehmen dazu, ein ‚Warning Office‘ oder ‚Futures Office‘ einzurichten. Im Unternehmensumfeld müssen die Prognostizierenden - wie auch bei den Regierungen - auf einem hohen Level positioniert sein, um eine bereichsübergreifende Perspektive einnehmen zu können und dabei nicht von Bürokratie behindert zu werden.

Wer sollte diese Rolle in einem Unternehmen idealerweise einnehmen?

R.P. Eddy: Ich würde meinen Chief Risk Officer, meine Berater und meinen CSO, beziehungsweise CISO, an einen Tisch holen und sagen: ‚Ich möchte verstehen, wie wir überraschende Entwicklungen vorhersagen können. Ich möchte nicht, dass einer von Euch sich in Utopien darüber ergeht, wann die Roboter die Welt übernehmen - ich will, dass ihr nach strategischen Überraschungen Ausschau haltet‘. Die Herausforderung liegt darin, dass dies in vielen Unternehmen eigentlich die Aufgabe des Chief Risk Officers wäre. In der Praxis sind die aber oft viel zu beschäftigt damit, zu reagieren.

Ein Chief Futures Officer sollte an den Vorstand und die Geschäftsführung berichten, sämtliche Abteilungen perspektivisch miteinbeziehen und dabei nicht nur an die kurzfristigen, sondern vor allem auch die langfristigen Entwicklungen (also die, die mehrere Jahre in der Zukunft liegen) denken. Dazu brauchen sie natürlich auch die richtigen Tools.

Wichtig ist dabei, dass diese Menschen alles, was sie erzählen, in eine Story verpacken. Ansonsten werden sie sich schwer tun, CEOs und Vorstände von etwas zu überzeugen, das in der Zukunft stattfindet und nicht greifbar ist. Menschen lernen anhand von Geschichten. Unternehmen müssen dringend besser darin werden, Tools wie grundlegende Analysen, virtuelle Märkte und Geschichtswissenschaften einzusetzen. Denn die stehen damit in direktem Zusammenhang. In Kombination mit anwendbarer, taktischer Intelligenz lassen sich Bedrohungen abwehren. Taktische Intelligenz befähigt die Entscheider darüber hinaus, die Bedrohung als real anzuerkennen und ausreichend Ressourcen für ihre Abwehr bereitzustellen.

"Wir sind Tiere - Geiseln unserer eigenen Befangenheit"

Welche Arten von Bedrohungen sehen Sie, die im privaten Sektor potenziell (oder aktuell) für Probleme sorgen könnten?

R.P. Eddy: Bei Ergonutzen wir ein Framework, um Organisationen dabei zu helfen, ‚um die Ecke‘ zu schauen. Dort stellen wir die Bedrohung strategisch und narrativ dar. Darunter sind viele Bedrohungen, auf die die meisten Menschen gar nicht kommen. Wir holen sie in Form von falschen Schlagzeilen, Kriegsszenarios und Video-Einspielern ins Bewusstsein. Wir zeigen den Entscheidern und Vorständen ganz konkret, wie eine Bedrohung aussehen könnte und identifizieren an dieser Stelle die Bedrohungen, auf die sie ein Auge haben müssen.

Im nächsten Schritt sammeln wir auf globaler Ebene taktisches Wissen über diese Bedrohungen und lassen die Daten in ein (Computer-)System fließen. So sind wir stets über alle Risiken und ihre Entwicklung informiert. Dabei geht es aber nicht nur um die absolut notwendige Überwachung von Risiken, sondern auch darum, die Entscheider auf dem Stand der Dinge zu halten und ihnen so eine schnelle Entscheidungsfindung zu ermöglichen.

Welches Thema hat in diesem Zusammenhang noch Erwähnung verdient?

R.P. Eddy: Das ‘Initial Occurence Syndrome’ (IOC) ist ein immens wichtiger Teil dieser Gleichung. Denn egal für wie komplex, bedacht und liebenswert wir uns halten - wir sind es nicht. Wir sind Tiere, die Geiseln ihrer eigenen Befangenheit sind. Und auf dieser Basis treffen wir täglich Entscheidungen.

Das IOC besagt: 'Was ich nicht sehen kann und was vorher nie passiert ist, daran glaube ich auch nicht'. Wenn Sie mir erzählen, dass mein Unternehmen gehackt, jeder einzelne Rechner lahmgelegt wird und ich nach steinzeitlichen Blackberries kramen muss, um mit meinen Kollegen zu kommunizieren, glaube ich es nicht, weil es vorher nie passiert ist. Die Kolossalität der Möglichkeit kann unser Gehirn nicht erfassen. Deswegen ignoriert es sie. Das IOC macht die Menschen blind. Und es ist Aufgabe des neu gegründeten Futures Office, mich mit ausreichend akkuraten, nachverfolgbaren und taktisch verwertbaren Informationen zu versorgen, damit ich in die Zukunft blicken kann."

Unternehmen, die künftig Hackerangriffevorhersagen wollen, sollten sich also schleunigst auf die Suche nach ihren IT-Security-Cassandras begeben. Und diesen dann auch Glauben schenken.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.