Der innere Wert der Sicherheit

Sicherheit in der Softwareentwicklung stellt IT-Organisationen vor eine neue Herausforderung: Sie müssen bisher isoliertes Fachwissen miteinander verknüpfen. In der Praxis bedeutet dies: Transparenz gilt auch nach innen. Sicherheit ist Teamarbeit.

Von Michael Dobler, Chief Information Security Officer · 15. November 2022

Mit dem richtigen Werkzeug und der nötigen Zeit lässt sich fast jede Tür öffnen. Null Risiko gibt es daher nicht. (Foto: Steffen Salow)

Die heftigen Eruptionen in den Arbeitsmodellen der Organisationen der letzten Krisenjahre haben Spuren hinterlassen. Immer mehr Arbeitende wollen die Segnungen der Digitalisierung nutzen und überall arbeiten, wo es die Prozesse und Vorgaben sinnvollerweise erlauben – auch ausserhalb der Firmengrenzen. Das eröffnet neue Angriffsflächen und erhöht die IT-Risiken. Auch an anderen Fronten steigen sie; die digitale Kriminalität erzielt beinahe ungefährdet immer bessere Renditen. Grob mehrere Studien zusammengefasst, bezahlt rund ein Drittel der Ransomware-Opfer ein Lösegeld von über 130'000 US-Dollar.

Neues Mindset gefragt

Diese unsicheren Zeiten mit dezentralen und fliessenden Arbeitsstrukturen sind für die dunkle Seite wie der Garten Eden. Die digitale Kriminalität folgt ganz banal einem Geschäftsmodell analog der hellen Seite der Cloud-Macht. Mit Software. Cybercrime as a Service. Mit satten Profiten. Ein Hacker muss man nicht mehr sein – kriminelle Energie reicht, den Rest beschafft man sich im Darknet und bezahlt mit Kryptogeld.

Ja, die Zeiten haben sich geändert.

Cybersicherheit ist heute viel komplexer. Eine virtuelle Mauer zwischen sich und dem Internet aufzustellen, das reicht nicht mehr.

Es braucht ein neues Mindset, in dem sich der Mensch als Teil des Prozesses begreift. Technologie ist nicht länger eine intellektuelle und eine fachliche Herausforderung, sondern das Resultat einer intensiven Zusammenarbeit und von Kommunikation über die traditionellen Silos hinweg. Diese nimmt vorweg, was später in der freien Wildbahn oft geschieht: Andere Menschen nutzen und bewerten den Service, sie testen ihn oder versuchen ihn gar zu hacken, mit guten oder bösen Absichten.

Externe Sicht im internen Prozess simulieren

Der Mensch ist somit Problem und Lösung zugleich – warum sollte das in der digitalen Welt anders sein? Technologie ist nur so sicher, wie der Mensch sie anwendet, wie er damit umgeht und ob er vorhandene Lücken ausnutzt. Jeder weiss um die Schwächen einer Tür. Man bekommt jede auf. Nur eine Frage der Zeit und des richtigen Instruments. Trotzdem mutiert nicht jeder, der die Strasse entlang läuft, zum Einbrecher. Geschieht aber ein Einbruch, wird der Hausbesitzer sich überlegen, ob und wie er sich sichert. Er wird also versuchen, sein Risiko zu senken. Es wird nie bei Null sein. Selbst ein unbewohnbarer Betonblock ist kleinzukriegen.

In Organisationen arbeiten Menschen mit Menschen zusammen, um das Risiko zu senken. Im Falle von Software entstehen Fehler durch Menschen und sie werden entdeckt von anderen Menschen, die sich verhalten wie Hacker, ohne welche zu sein. Bug-Bounty-Programme führen die interne Zusammenarbeit der Entwickler in eine externe Sicht über, diese wiederum schärft das Bewusstsein der Anwenderinnen und Anwender von Informatikmitteln in den Organisationen. Sicherheit ist somit mehr als nur eine technische Aufgabe, sondern auch eine der internen Kommunikation. Sie muss vermitteln, was die Security-Researcherinnen und -Researcher finden. Lieber von ihnen beobachtet und herausgefordert, als von Kriminellen und Spionen angegriffen zu werden.

Leitsätze der neuen Sicherheit

  • 0 Fehler gibt es nicht. Aber ein optimales Verhältnis zwischen nicht entdeckten und entdeckten Sicherheitsschwächen.
  • Transparenz bedeutet letztlich auch das Niederreissen traditioneller Silos.
  • Sicherheit ist eine Daueraufgabe – die Methoden der digitalen Kriminalität entwickeln sich weiter.
  • Jeder gefundene Fehler ist eine geschlossene Sicherheitslücke – und darum höchst willkommen.
  • Informationssicherheit entsteht in einer Kultur der Sicherheit: Technologie, Wissen und Training der Mitarbeitenden entwickeln sich laufend weiter.
Michael Dobler

Über Michael Dobler

Michael Dobler ist seit 2007 für Abraxas in der Rolle des CISO unterwegs und kümmert sich um alle Compliance-, Risiko- und Sicherheitsfragen.