Das Thema Cybersecurity zu ignorieren, kann sich kein Unternehmen leisten. Das bestätigt ein Blick auf die Cybercrime-Statistik. Doch wo sollen Unternehmen ansetzen, um gezielte Sicherheitsmassnahmen zu ergreifen? Beginnen wir mit Cybersecurity als solcher und beleuchten dann aus dieser Perspektive die Bereiche Cloud und KI.
Cybersecurity nur mit fest verankerter Sicherheitskultur
Welches sind für Schweizer Unternehmen die grössten Security-Herausforderungen? Antwort eines erfahrenen Sicherheitsberaters: «Ganz einfach: Security Governance.» Die Aufsicht über die Prozesse, die die Geschäftsrisiken minimieren sollen, ist für Unternehmen jeder Grösse ein Muss. Bei einer Zürcher Konferenz über Risikomanagement meinte ein Unternehmer: «Wenn ich die Zeit zurückdrehen könnte, um mir selbst einen Tipp zu geben, dann wäre es dieser: Auch wenn dein Start-up noch klein ist, mach dir ab sofort Gedanken über operationelles Risikomanagement und verankere es an oberster Stelle.»
Eines der prominentesten operationellen Risiken ist Cyberkriminalität bzw. Cybersicherheit. Auch für diese gilt: Sie muss auf höchster Ebene des Unternehmens verankert sein und von dort nach unten propagiert werden. Ohne eine Top-down-Sicherheitskultur bleibt Sicherheit nur ein Lippenbekenntnis.
Ein interessantes und häufiges Symptom einer mangelnden Sicherheitskultur ist der überarbeitete Sysadmin.
Sein Team wurde aufs Notwendigste verkleinert, er ist der Mann für alles. Gemessen wird er indes nur an der Verfügbarkeit der IT-Systeme. Das Prinzip «Never touch a running system» liegt nahe. Security KPIs rund um Konzepte wie Least Privilege sucht man in seiner Arbeitsbeschreibung vergebens. In manchen Fällen interessiert sich der Sysadmin tatsächlich für Sicherheit. Er macht Überstunden, um die Domain Admin Accounts zu überprüfen – um sich dann an den Kopf zu greifen und eine Notiz zu schreiben: Active Directory aufräumen! Was in der Flut seiner Aufgaben untergeht. Drei Monate später wundert man sich, dass sich die Ransomware so schnell ausbreiten konnte.
Menschen, Prozesse, Technologie und die richtige Führung – das sind die Schlüsselfaktoren. Ist Sicherheit oben nicht etabliert, wird sie unten nicht gelebt.
Die Cloud: Ist sie nun sicher oder nicht?
Es gibt zwei Arten von Menschen: Die einen sagen «Die Cloud ist von Natur aus unsicher» und die anderen «Cloud-Dienstleister haben Hunderte von Cybersecurity-Profis, die sind viel besser, als du es je sein kannst». Beide Aussagen sind im Kern wahr.
Blind darauf zu vertrauen, dass ein Cloud-Anbieter eine 360-Grad-Sicherheit bietet, wird unweigerlich in einer Enttäuschung enden. Deswegen sollten sich Unternehmen mit dem «Shared Responsibility Model» vertraut machen. Fakt ist, dass sie weiterhin Zeit in Prozesse, Technologie und personelle Ressourcen investieren müssen.
Es ist indes auch wenig sinnvoll, die Cloud komplett abzulehnen, denn sie bringt durchaus überzeugende Sicherheitsvorteile.
Nehmen wir zwei grundlegende Bausteine der Cybersicherheit: das Asset Management (zu wissen, was man hat) und das Hardening (minimalste Funktionalität). Trotz technologischer Fortschritte bereiten allein diese beiden Themen vielen Unternehmen Kopfzerbrechen. Die Cloud hat es allerdings erheblich einfacher gemacht, ein angemessenes Asset Management und Hardening sicherzustellen. Mit der Leistungsfähigkeit von APIs, wie sie alle grossen Cloud-Anbieter bereitstellen, können Unternehmen problemlos Server, Firewalls, Load Balancer und andere Systeme automatisch und homogen deployen. Wichtiger ist, dass sie über APIs, also ohne komplexe Software Agents, auch die Wartung ihrer Umgebungen konfigurieren und kontrollieren können.
Der entscheidende Punkt hierbei ist, dass die Verwaltung der Systeme und deren sichere Konfiguration dank Automatisierung um Welten einfacher sein kann als in einer lokalen Umgebung.
Automatisierung würde auch unserem überarbeiteten Sysadmin helfen. Sie ist der Schlüssel, um menschliche Fehler zu vermeiden, die unweigerlich passieren, wenn uns repetitive Aufgaben langweilen.
Nun zum Elefanten im Raum: War das Internet früher ein Ort der Dezentralisierung, wird es nun wieder zentralisiert, und zwar hauptsächlich durch die grossen Cloud-Dienstleister. Unternehmen sollten sich deshalb gut überlegen, mit wem und wie vielen Anbietern sie Partnerschaften eingehen. Wie heikel die Internetinfrastruktur ist und wie Monokulturen sie noch fragiler machen, hat jüngst das Crowdstrike-Debakel gezeigt.
Der Weg zum Erfolg führt bei der Cloud demnach über ein gutes Verständnis des Shared Responsibility Model, der Automatisierung und der sorgfältigen Auswahl der Anbieter im Sinne einer Risikodiversifikation.
KI als Game Changer in der Informationssicherheit
Als Wahrsager haben die Menschen noch nie brilliert. Schon in den 70er- und 80er-Jahren hiess es, KI stehe «kurz vor dem Durchbruch». Trotzdem konnte niemand die gewaltigen Veränderungen vorhersehen, die wir alle kürzlich durch den Aufstieg der generativen KI erlebt haben.
Nach Überzeugung gewisser Cybersicherheits-Experten werden in 10 bis 20 Jahren keine Menschen mehr in Security Operations Centers arbeiten. Es lässt sich diskutieren, ob Menschen hier jemals ganz aussen vor sein werden, zumindest bis eine Künstliche allgemeine Intelligenz (Artificial General Intelligence, AGI) entwickelt wird. Dennoch besteht kein Zweifel daran, dass zum Beispiel die Analyse von Logdateien mit den heutigen Fortschritten viel effektiver geworden ist. Dies trifft insbesondere zu, wenn die Logquellen so konfiguriert sind, dass nur sinnvolle Daten gesammelt werden.
Moderne generative KI bietet ein fantastisches Werkzeug, um Fehlalarme zu reduzieren und sich auf das Wesentliche zu konzentrieren – vom Durchsuchen von Daten über das Erkennen von Problemen bis hin zur effektiven Korrelation von Daten aus verschiedenen Quellen.
