Cybersicherheitsunternehmen sind in Zeiten wie diesen vorne mit dabei. In Zusammenarbeit mit Behörden, Finanzdienstleistern/Banken und Unternehmen aus dem Bereich kritische nationale Infrastrukturen bekommen Sicherheitsexperten einiges zu sehen – Gutes wie weniger Gutes. APT-Gruppen starten Angriffe, die im wahrsten Sinne des Wortes »alle Lichter löschen« können oder ein politischer Akt der Verwüstung kommt als harmlos aussehende Codezeile daher. Das ist es schwer unparteiisch zu bleiben. Die weltweiten Veränderungen und ihre Folgen sind ein guter Anlass, den Blick auf einige größere Themenbereiche zu lenken und Bilanz zu ziehen [1]. Zu diesen Themen gehören die Grundprinzipien, auf die Cybersicherheit gründet: Altruismus, Transparenz und Gemeinschaft. Verbunden mit der Frage, warum sie heute noch genauso relevant sind wie in ihren Anfängen.

Die Wurzeln des Altruismus in der Cybersicherheit

Für einen Außenstehenden hat der Cybersicherheitssektor wohl eher wenig mit altruistischen Motiven zu tun. Ein flüchtiger Betrachter würde vermutlich eine Mischung sehen, die zu gleichen Teilen aus Risiko, Tempo, kommerziellem Imperativ und vielleicht einem Hauch von Theater besteht. Das war nicht immer so. Den Anfang der Cybersicherheit prägten vorausschauende Persönlichkeiten, die schnell erkannt haben, welche Rolle Technologie letztendlich spielen würde und auch mit welchen möglichen Folgen. Zunächst lose Zusammenschlüsse aus Akademikern, Programmierern und anderen wissbegierigen Köpfen, begannen, sich zu Kollektiven und Think-Tanks wie dem L0pht zusammenzuschließen. In die Geschichte eingegangen ist die Aussage von L0pht 1998 vor dem Kongress der Vereinigten Staaten, man sei in der Lage, »das Internet in 30 Minuten abzuschalten«. Der Satz ist der Inbegriff einer hinterfragenden, manchmal herausfordernden, aber immer altruistisch geleiteten Denkweise und Kultur.

Altruismus und Gemeinschaft heute

20 Jahre in die Zukunft gespult, ist der einstmals treibende Altruismus schon nicht mehr ganz so offensichtlich. Einer der Gründe liegt darin, dass besagter Altruismus mit einer Vielzahl neuer Kräfte konkurriert. Der Sektor hat einen Marktwert von fast 200 Milliarden US-Dollar. Die Bedrohungslandschaft hat im Vergleich zu den zurückliegenden Jahrzehnten nahezu monströse Ausmaße angenommen. Im Verhältnis zu den 90er Jahren als man Cybersicherheit fast noch als Teil der Gegenkultur betrachtete, spielen jetzt weitere gewichtige Faktoren eine Rolle: Reputation, Recht, Finanzen und sogar die Politik. Kommerzielle Interessen haben sicherlich den Purismus der frühen Tage verwässert, aber es gibt durchaus noch Anzeichen von Altruismus. Nie zuvor existierten mehr Arbeitsgruppen, Branchenverbände, Mentoring-Projekte und andere, ähnlich gelagerte Initiativen. Vom dedizierten OWASP-Chapter-President bis zum BSides-Freiwilligen.

Motivierte Menschen, denen es wichtig ist, mit ihrer Arbeit etwas zurückzugeben, sind die eine Seite. Ein Element, das nach Ansicht vieler Experten moderne Cybersicherheit definiert, ist der Grad an Intensität dieser Gemeinschaft. Der Sektor verfügt über die einzigartige Fähigkeit, Menschen weltweit, unabhängig vom Standort zusammenzubringen, um Probleme zu lösen. Nicht zuletzt das klare feindselige Gegenüber der Cybersicherheit hat Allianzen geschmiedet. Wenn man sich einer Bedrohung ausgesetzt sieht, schafft das ein Sammelbecken, aus dem Gemeinschaften wachsen. Dies spiegelt sich in erster Linie im Austausch von Informationen, der Entwicklung von Tools und der Bildung von Kollektiven, die sich auf bestimmte Ziele konzentrieren und Unternehmen unterstützen.

Standards – Die natürliche Folge von Zusammenarbeit?

Reift die Zusammenarbeit, entwickeln sich Standards. Wenn das ultimative Ziel aller darin besteht, die Sicherheit für ein breites Spektrum von Interessengruppen zu verbessern, sind die Ziele eindeutig ähnliche. Beide, die Zusammenarbeit in einer Gemeinschaft als auch Standards, sind Mittel, Fachwissen zu erfassen. Der entscheidende Unterschied zu einem Standard liegt darin, dass er eine gewisse Form und Trennschärfe bieten muss. Das steht jedoch in leichtem Widerspruch zum Liberalismus und Pragmatismus der Cybersicherheitsgemeinschaft. Wenn man Compliance vorschreibt, öffnen sich Standards sofort für eine Debatte über deren Wirksamkeit und ihre Interpretationsfähigkeit.

In einer intelligenten, kritischen Gemeinschaft, die ihren Lebensunterhalt mit Problemen verdient, besteht allerdings leider auch die Gefahr, sich in festgefahrenen Positionen zu verzetteln. Was so ziemlich das genaue Gegenteil des gewünschten kollaborativen Effekts ist. Abgesehen vom menschlichen Element wird der utopische Traum eines einheitlichen Standards allein schon durch den aktuellen Umfang und die Komplexität des Phänomens ausgebremst. Standards sind nicht nur in Einzelheiten präskriptiv. Regionen und Bereiche multiplizieren das Ganze. Ein Unternehmen mit Niederlassungen in Asien, den USA, Europa und Großbritannien muss beispielsweise für jede Region einen anderen Standard einhalten.

Der offensichtliche Endpunkt der Diskussion ist die Notwendigkeit eines einheitlichen Standards, wie er von der Cybersicherheitsgemeinschaft definiert wird. Zwar hat sich der Sektor dynamisch entwickelt, von einer solchen Harmonisierung sind wir aber wohl noch weit entfernt.

Diversität, ein Lösungsansatz

Diversität zu fördern, könnte man als den ultimativ altruistischen Akt innerhalb der Cybersicherheit betrachten. Einfach ausgedrückt: Viele verschiedene Menschen haben unterschiedliche Sichtweisen auf die Dinge. In einem Umfeld, in dem es permanent darum geht, Probleme zu lösen, bietet ein breiteres Meinungsspektrum eine größere Chance, den Gegner zu schlagen. Das heißt, je diverser der Hintergrund derer ist, die versuchen, einen Angriff zu stoppen, desto größer sind ihre Erfolgschancen. Sozusagen die menschliche Version eines mehrschichtigen Ansatzes. Dies gilt allerdings für Angreifer und Verteidiger gleichermaßen. Und es lässt sich kaum leugnen, dass die Angreifer von teils bemerkenswert niedrigen Zugangsbarrieren profitieren.

Die Evolution der Transparenz

Transparenz ist in der kommerziellen Cybersicherheit kein unumstrittenes Thema. Sie ist einer der Kerngedanken, der den Cybersicherheitssektor von Anfang an bestimmt hat. Die frühen Hacker-Kollektive gaben den Ton an, und sind überzeugt, dass man technologische Mängel offenlegen muss. Das hat eine Reihe positiver Aspekte, wie die zunehmende Verbreitung von Bug-Bounty-Programmen und den Informationsaustausch darüber [2].

Cybersicherheit hat sich allerdings im Laufe der Jahre auf der Prioritätenleiter nach oben gekämpft. Transparenz spielt in einem viel breiteren, kommerziellen Umfeld eine geringere Rolle. Die Informationsfreiheit wird nicht mehr als binärer Zustand betrachtet, sondern als ein Zustand, in einem feiner justierten Gleichgewicht. Ein Gleichgewicht, das auch Faktoren wie Regulierung und kommerzielle Vorteile einschließt.

Krisensituationen erschüttern dieses Gleichgewicht. Sei es eine schwerwiegende Datenschutzverletzung oder die Enthüllung sensibler Daten, die mit persönlichen, politischen und regulatorischen Folgen verbunden sein kann. Das führt vor allem dann zu Verwirrung, wenn Sicherheitsabteilungen in selbstgewählten Silos verharren und nicht ausreichend mit anderen Funktionsbereichen im Unternehmen verbunden sind. Dagegen hilft eine Kultur der Transparenz im gesamten Unternehmen und nicht nur in den primär technischen Interessengruppen. Es gilt, sämtliche Interessenvertreter eines Unternehmens in eine Cybersicherheitskultur einzubeziehen. Anwälte und Kommunikationsverantwortliche genauso wie die Mitarbeiter im Kundenkontakt. Nur mit dieser Art von Transparenz kann das Unternehmen als Ganzes reagieren.

Veränderungen in einer sich verändernden Welt

Es ist schwierig, die moderne Definition von Zusammenarbeit und Transparenz in der Cybersicherheit effektiv zu verwenden, ohne sie an das heutige Umfeld anzupassen. In den letzten 20 Jahren hat die Bedrohungslandschaft ein rasantes Wachstum vorgelegt. Die Cybersicherheitsindustrie wirkte dieser Entwicklung mit einer Doktrin der Schadensbegrenzung entgegen. Der Schwerpunkt lag dabei auf der iterativen Behandlung von Bedrohungen bei ihrem Auftauchen. Bei geschätzten 10.000 Bedrohungen pro Tag (Tendenz steigend) wird das zunehmend schwieriger. Zudem ist die Welt an einem Punkt angekommen, an dem viele Unternehmen nicht mehr nur disparate Angriffe abwehren, sondern aktiver Teil eines »Hybridkrieges« sind. Versorgungsunternehmen, Banken, Transportunternehmen und Unternehmen im Gesundheitswesen haben es mit einem extrem gut ausgestatteten und ausgesprochen ambitionierten Gegenspieler zu tun. Die Einsätze sind höher geworden, bei sinkenden Chancen für die Verteidigung.

Covid-19 gibt vielleicht den entscheidenden Impuls, den bisherigen Ansatz zu überdenken. Die in den Ausmaßen unerwartete und offensichtlich andauernde Krise, hat die Schwachstellen einer reaktiven Strategie deutlich zu Tage treten lassen. An die Stelle der Schadensbegrenzung muss langfristige Belastbarkeit treten. Sicherheit sollte ihren integrativen Platz in der technologischen Infrastruktur haben. Auf dieser Infrastruktur basiert alles, was ein Unternehmen tut. Sie schafft nicht nur Abhilfe im Falle eines Problems. Ansätze wie eine »Just-in-Time«-Infrastruktur und Agilität spielen bei technischen Innovationen eine wichtige Rolle. Man muss sich aber die Frage stellen, wie angreifbar sie ein Unternehmen machen und wie man die Risiken handhaben will. Dieser Mentalitätswandel bildet den Rahmen, in dem technologische und menschliche Faktoren wie Zusammenarbeit, Transparenz eingesetzt werden, um maximal effektiv zu arbeiten. Das schafft einen fruchtbaren Boden auch für den effektiven Einsatz von Verteidigungstechnologien.

Technologische Evolution im Einklang mit menschlichen Fortschritten

Das menschliche Element ist für eine effektive Verteidigung weiterhin entscheidend. Aber ohne sich ständig weiterentwickelnde technische Tools, keine Wettbewerbsvorteile. Ironischerweise werden gerade diese technologischen Fortschritte nicht selten von den unternehmerischen Mitgliedern einer Gemeinschaft angestoßen, denen der erwähnte Altruismus nicht völlig fremd ist. Sie bringen motivierte Teams zusammen, um an neuralgischen Punkten für mehr Sicherheit zu sorgen. Das gilt für die anhaltende Migration in die Cloud, die Exposition von APIs und die durch das IoT explosionsartig wachsende Angriffsfläche [3]. Solche Lösungen konzentrieren sich nicht nur auf die Behebung codebasierter Probleme. Derzeit fließt eine beträchtliche Kapitalmenge in Anstrengungen, die Kompetenzlücke bei der Cybersicherheit zu schließen.

Fazit

Cybersicherheit basiert auf Technologie, wird aber von Menschen »gemacht«. Die Stärke dieser Menschen liegt in ihrer Fähigkeit, sich um ein gemeinsames Gut zu vereinen und sich angesichts einer nicht enden wollenden Bedrohungslandschaft gemeinsam weiterzuentwickeln. Diese Evolution ist der Schlüssel. Stehenbleiben können wir uns schlicht nicht leisten. Die Wege, Veränderungen anzustoßen und umzusetzen sind unterschiedlich. Mehr Diversität, eine bessere Zusammenarbeit mit und Schulung von nicht-technischen Teams, ist offensichtlich der Weg des geringsten Widerstands. Darüber hinaus ist es schwierig, einheitliche Standards zu definieren, aber die Cybersicherheitsgemeinschaft hat schon größere Probleme gelöst und das Ziel ist es allemal wert.

Die Technologien der Zukunft sind ein entscheidender Teil des kollektiven Wandels. Im digitalen Katz-und-Maus-Spiel ist es wichtig, dass altruistische Individuen ihre Leidenschaft für Sicherheit in Form neuer Maßnahmen zum Ausdruck bringen können. Nur wenn es gelingt, beide Elemente zusammenzuführen und kontinuierlich zu verbessern, kann Cybersicherheit in einer sich rapide verändernden Welt weiterhin eine Triebfeder des Guten sein.

Paul Edon, Tripwire

[1] https://www.tripwire.com/state-of-security/security-data-protection/security-configuration-management/visibility-vulnerabilities-vpns-corporate-security-policies-procedures-remote-workers/

[2] https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/essential-bug-bounty-programs/

[3] https://www.tripwire.com/state-of-security/security-data-protection/cloud/motivations-behind-migration-cloud/