COVID-19 hat uns in Sachen Risikomanagement und Vorfallsreaktion eine eindringliche, klare und öffentlich vollzogene Lektion erteilt. Das veranlasst einige, darüber nachzudenken, welche möglichen Lehren sich aus diesen Reaktionen für die Cybersicherheit ziehen lassen.
Für jeden, der im Bereich Cybersicherheit unterwegs ist, drängt sich eine Analogie auf: Experten beobachten den Ausbruch eines tödlichen Virus und beginnen anhand der verfügbaren Daten, das Risiko einzuschätzen und die Bedrohung zu modellieren. Andere konzentrieren sich darauf, die nachgelagerten Kontrollen voranzutreiben, um Risiken zu identifizieren und nachzuverfolgen. Und auf dieser Basis dann Entscheidungen für die Zukunft zu treffen.
Eine Reaktion, die der mehrschichtigen Verteidigung (Defense in Depth, DiD) in der Cybersicherheit nicht unähnlich ist: Eine Reihe von aufeinander aufbauenden Kontrollen, um die Zahl der Schwachstellen zu verringern und sich vor potenziellen Schäden zu schützen. Trotz aller Bemühungen kommt es aber dennoch zu Sicherheitsverletzungen. Das bedeutet, dass sich aus der Reaktion auf die Pandemie Lehren ziehen lassen, die für unsere Herangehensweise in der Cyberverteidigung hilfreich sein könnten.
Risikobewertung
Anfang Januar 2020 veröffentlichte die Weltgesundheitsorganisation (WHO) ihren ersten Lagebericht zu COVID-19. Die WHO hat die Bedrohung frühzeitig erkannt, bewertete das Risiko und entwickelte Maßnahmen als Reaktion darauf.
Jede WHO-Präventivmaßnahme entspricht dabei einem vergleichbaren Ansatz für eine digitale (nicht eine physische) Bedrohung. Überwachung, Epidemiologie und Diagnostik fallen in die Kategorie Überwachung und Erkennung/Detection. Um die Übertragung einzugrenzen, braucht man präventive Kontrollen, und um die Infektionsrate (Datenschutzverletzungen) in Schach zu halten, gilt es Maßnahmen zur Eindämmung, Risikominderung und für die Wiederherstellung zu treffen.
Im Idealfall findet die Risikobewertung vor der Sicherheitsverletzung statt. Hat man eine Bedrohung erkannt, kommt es darauf an, anfällige Systeme schnell zu identifizieren und Schwachstellen möglichst zu beseitigen. Eine aufkommende Pandemie zu bekämpfen ist mindestens so komplex wie die Abwehr moderner digitaler Angriffe.
Über ein Jahrzehnt der Verizon DBIRs hat deutlich gezeigt, dass wir noch einen weiten Weg vor uns haben, wenn es darum geht, Datenschutzverletzungen und Angriffe auf die Cyberinfrastruktur zu verhindern. Im Wesentlichen sind es drei Bereiche, die helfen, die Informationssicherheit zu verbessern: die Bedrohungsmodellierung und -analyse, die Schwachstellenbewertung und die Reaktion auf bestehende Risiken.
Bedrohungsmodellierung und -analyse
Schwachstellen frühzeitig zu erkennen, möglichst bevor sie ausgenutzt werden und deren Schadpotenzial zu identifizieren, trägt dazu bei, Abwehrmaßnahmen und Reaktionspläne zu entwickeln. Im Fall von COVID-19 hat die Gesundheit der Bevölkerung Priorität. Mithilfe des existierenden Wissens zu Corona-Viren konnten Wissenschaftler erste Szenarien und Modelle entwerfen, die auf einer angenommenen Übertragungsrate sowie Vektoren wie der Mobilität der Bevölkerung und bestehenden Abwehrmechanismen basieren.
In jedem Bedrohungsmodell steht die physische Sicherheit an erster Stelle. Aber in zunehmendem Maße ist Cybersicherheit nötig, wenn man physische und digitale Assets angemessen schützen will. Cyberangriffe haben Treibstoffpipelines lahmgelegt und fast dafür gesorgt, die Wasserversorgung einer ganzen Stadt zu vergiften. Industrielle Cybersecurity schafft es derzeit zuverlässig in die Schlagzeilen, und kritische Infrastrukturen haben beim Thema Sicherheit deutlichen Nachholbedarf. Bedrohungsmodelle, die sich früher auf die physische Anlagensicherheit konzentriert haben, müssen jetzt potenzielle Angriffe auf die Betriebs- und Informationstechnologie (OT & IT) ebenso berücksichtigen wie Lieferketten für digitale Technologien und Lieferanten.
Auch wenn die meisten Cyberangriffe keine direkten Auswirkungen auf die physische Sicherheit von Menschen haben, sorgen Sicherheitsverletzungen allerorten für Besorgnis – seien es finanzielle oder datenschutzrechtliche Bedenken oder die Folgen, wenn der Geschäftsbetrieb gestört oder gänzlich unterbrochen wird. Ganz gleich, ob es um die Bekämpfung einer Pandemie oder die Sicherheit einer physischen Infrastruktur geht, bildet das Verständnis von Assets, Netzwerkgrenzen und Angriffsvektoren die Grundlage für eine effiziente Verteidigung und Vorfallsreaktion. Regelmäßige Schulungen zur Bedrohungsmodellierung, insbesondere wenn man Änderungen an einem System vornimmt, tragen dazu bei, diese Prozesse insgesamt zu verbessern und Risiken zu senken.
Bewertung von Schwachstellen
Abwehrmechanismen dienen dazu, den Schaden zu begrenzen. Bei der Betrachtung einer Schwachstelle ist es wichtig zu fragen: „Wie verwundbar sind wir?“ Dabei geht es nicht nur darum, ob eine Schwachstelle existiert (das ist so gut wie immer der Fall), sondern darum, ob eine Schwachstelle tatsächlich ausgenutzt werden kann und wie leicht es ist, solcherart Schaden anzurichten.
Bei COVID-19 hat man versucht, die Bedrohung auf mehreren Ebenen zu betrachten. Die unmittelbare Bewertung beginnt bei jedem Einzelnen. Wer ist am ehesten anfällig, sich mit dem Virus anzustecken? Wer wird vermutlich am schwersten betroffen sein? Wie und auf welchen Wegen kann das Virus übertragen werden?
Überträgt man dieses Beispiel auf die digitale Welt, beginnt der Bewertungsprozess damit, Schwachstellen im System zu identifizieren. Anstelle des Alters oder einer bestimmten Krankheitsvorgeschichte betrachten wir hier Anwendungen oder Software, Versionen, Ports und Protokolle sowie Konfigurationseinstellungen. Diese werden hinsichtlich bekannter Exploits auf Anfälligkeit und mögliche Auswirkungen hin getestet. Wenn ein Angreifer beispielsweise physischen Zugang zu einem Rechner braucht, um eine Schwachstelle auszunutzen, gibt dies Aufschluss darüber, ob ein höheres oder eher geringeres Risiko besteht. Je nachdem, wo sich der Rechner befindet und wer Zugang zu ihm hat.
Die Lektion, die wir hier lernen, betrifft sowohl den Grad der Komplexität als auch die Reaktion selbst. In einer hoch komplexen IT-Umgebung wird es immer schwieriger, Schwachstellen zu bewerten und zu managen. Deswegen kommt man nicht umhin, auf Grundlage des Risikos Prioritäten zu setzen. Jede auftretende Schwachstelle zu beseitigen ist so gut wie unmöglich.
Auf Risiken reagieren
Wenn Sie mit einem bekannten oder erwarteten Risiko konfrontiert werden, ist es wichtig, Risikoart, Risikotoleranz oder Risikobereitschaft sowie die Wahrscheinlichkeit, dass ein Risiko tatsächlich zum Tragen kommt und die möglichen Auswirkungen der Bedrohung zu untersuchen.
Risikoarten lassen sich auf unterschiedliche Weise kategorisieren, z.B. physischer Schaden für Personen oder am Eigentum, finanzielle Verluste oder Rufschädigung. Und: Risiken sind selten eindimensional. Das gilt für COVID-19 nicht minder. Regierungen mussten und müssen zu Recht physische Risiken für die Bevölkerung berücksichtigen, aber auch wirtschaftliche, soziale und politische Auswirkungen einbeziehen.
Risikotoleranz ist das Spektrum, welches angibt, ein wie hohes Risiko man bereit ist einzugehen. Eine hohe Risikotoleranz bedeutet, dass man bereit ist, für einen größeren Erfolg gegebenenfalls erhebliche Verluste oder Schäden in Kauf zu nehmen. Eine niedrigere Toleranz pendelt sich auf einem generell ruhigeren Niveau ein, oft mit einem nicht ganz so durchschlagenden Erfolg, aber auch mit geringeren zu erwartenden Verlusten.
In der Cybersicherheit wird die Risikotoleranz durch die Balance zwischen unternehmerischen Erfordernissen und dem Schutz der Firma bestimmt. Branche, Art der Assets/Systeme und auch das verfügbare Budget beeinflussen die Cyberrisikotoleranz. Zentral ist, dass man sich darüber im Klaren ist, wie hoch die eigene Risikotoleranz ist, welche Bereiche unbedingt geschützt werden müssen und welche gegebenenfalls mit einem niedrigeren Sicherheitslevel auskommen. Angesichts limitierter Budgets, fehlender Mitarbeiter und mangelnder Zeit bietet die Risikotoleranz an dieser Stelle die Möglichkeit, zu priorisieren.
Die gewonnenen Erkenntnisse
Welche Lehren können wir aus den Reaktionen auf die Pandemie für die Cybersicherheit ziehen? Die Bedrohung durch Cyberangriffe und Datenschutzverletzungen ist so real wie allgegenwärtig. Wie wir auf diese Risiken reagieren (können), hängt davon ab, wie zuverlässig wir sie identifiziert und wie gut wir sie analysiert haben. Sind ein veraltetes Betriebssystem oder eine veraltete Anwendung in der betreffenden Umgebung besonders anfällig für Exploits?
Ein Upgrade oder die Entnahme des Systems aus der Umgebung beseitigt das Risiko. Vielleicht ist das aus irgendeinem Grund keine Option. Was können wir also tun, um die Eintrittswahrscheinlichkeit und die möglichen Folgen eines Risikos zu begrenzen? So wie Regierungen entscheiden (und justieren) welchen Ansatz sie bei der Bekämpfung der COVID-19-Pandemie fahren wollen, muss ein Unternehmen Kosten und Nutzen beim Umgang mit Cyberrisiken individuell abwägen.
Anthony Israel-Davis ist Senior Manager für den Bereich F&E bei Tripwire.
