Sicherheitsexperten haben auch 2023 wieder alle Hände voll zu tun, denn Cybersecurity bleibt ein viel beachtetes Thema (auch wenn es uns natürlich lieber wäre, wenn sich die Bedrohungslandschaft nicht so rasant weiterentwickeln würde). Diese Tatsache allein taugt jedoch nicht für einen spannenden Prognose-Blogartikel. Deshalb wende ich mich hier lieber aktuellen Themen zu und präsentiere euch diese fünf Trends aus dem Splunk-Bericht mit Sicherheits-Prognosen für 2023:
- Annäherung von Sicherheit und IT
- Menschen: Identitätsbetrug und Fachkräftemangel
- Lieferkette und SBOMs
- Erpressung ohne Verschlüsselung
- Hype (wenn ihr euch für Quantum oder Blockchain interessiert, werdet ihr hier fündig)
Da ihr als Sicherheitsexperten viel um die Ohren habt, legen wir direkt los.
Annäherung von Sicherheit und IT
Die wichtigste Prognose aus dem Sicherheitsbericht* gleich vorweg: Resilienzprogramme, gesammeltes Know-how und Gesetze sind die Faktoren, die dafür sorgen, dass Security und IT enger zusammenarbeiten als je zuvor.
Wenn ihr bei „Resilienz“ die Augen verdreht, kann ich euch das nicht verdenken. Wie „digitale Transformation“ ist es ein oft überstrapaziertes Schlagwort, aber auch ein wichtiges Thema, das wesentliche Auswirkungen auf euren grundlegenden Betrieb haben kann. Gehen wir einmal von Letzterem aus: Warum ist Resilienz eigentlich oft Aufgabe des CISO? Vermutlich liegt das an der Ausweitung der Rolle und des Aufgabenbereichs des CISO. Cybersecurity ist von einer Aufgabe der Bereichsleitung zu einem Differenzierungsmerkmal von Unternehmen geworden, und die Rolle des CISO hat sich vom „professionellen Experten“ zum „Business Enabler“ und schließlich zum „Gesamtverantwortlichen für Technologie“ entwickelt. CISOs haben nicht mehr das Ziel, Risiken um jeden Preis zu stoppen. Sie helfen Unternehmen vielmehr, ihre Risiken zu verstehen, zu akzeptieren, damit umzugehen und sie gegebenenfalls zu reduzieren. Außerdem leiten sie entsprechende Technologieinitiativen. Angesichts dieses erweiterten Aufgabenbereichs und seiner engen Verbindung zur IT ist es sehr sinnvoll, Resilienzprogramme im Sicherheitsbereich anzusiedeln.
Als angenehmer Nebeneffekt hat sich durch die neue Führungsrolle der Security-Profis auch deren Ruf gewandelt: Waren sie früher eher als diejenigen verschrien, die immer das Haar in der Suppe fanden, gelten sie heute als Business Enabler, die mit und nicht gegen euch arbeiten.
CISOs bewegen sich durch die RACI-Matrix für Technologieinvestitionen und Prozessänderungen: Sie werden nicht mehr nur informiert (Informed = I), sondern mindestens auch konsultiert (Consulted = C), sind manchmal auch rechenschaftspflichtig (Accountable = A) und besonders im Zusammenhang mit Entscheidungen zu Resilienz zunehmend auch verantwortlich (Responsible = R).
Was heißt das konkret? Unabhängig von eurer Position solltet ihr euer Netzwerk (aus Menschen, nicht Maschinen) daraufhin prüfen, mit wie vielen IT-Experten, die keine Sicherheitsexperten sind, ihr regelmäßig sprecht. Trefft euch mit diesen Leuten auf einen Kaffee und tauscht euch darüber aus, was Resilienz für euch und für sie bedeutet, um eine gemeinsame Basis zu finden. Als CISO solltet ihr euch selbst fragen, welcher CISO-Typ aus der oben genannten Liste (Experte, Enabler, Gesamtverantwortlicher) ihr seid, und euch klar machen, was euer Unternehmen von euch erwartet. Und was die Resilienz angeht, stellt euch diese Frage: Wie kommuniziere ich, a) ob wir bereits über Resilienz verfügen, b) woher ich weiß, dass wir darüber verfügen, und c) worauf ich meinen Fokus richten sollte?
Unternehmenskultur und Mitarbeiter
Ich arbeite gerne mit Menschen zusammen. Sicherheit verlangt Beständigkeit, und es gibt nichts Beständigeres, als erstens eine gute Unternehmenskultur zu schaffen und zweitens in gute Mitarbeiter zu investieren. Das ist natürlich schwierig und zeitaufwändig – aber habt ihr nicht mittlerweile auch das Gejammer über den Fachkräftemangel satt? 2023 ist die Zeit gekommen, etwas zu ändern.
Da ist zum einen die Unternehmenskultur: Diese wird immer wichtiger, weil die Zahl der Cyberangriffe durch Identitätsbetrug zunimmt. So kommt es vor, dass sich Betrüger als CEO eines Unternehmens ausgeben und dessen Finanzteam per E-Mail auffordern, Geld für einen „Notfall“ zu überweisen (oder Geschenkgutscheine per SMS zu kaufen, wie in unserem Bericht) – und das Team erfüllt diese Forderung sofort. Warum? Weil im Unternehmen eine Kultur der Angst herrscht, in der Anweisungen des CEO unhinterfragt zu befolgen sind. Wer so eine Unternehmenskultur schafft, darf nicht erwarten, dass Mitarbeiter fragwürdige Geldforderungen anzweifeln.
Hinterfragen und gesunde Skepsis werden als Teil der Unternehmenskultur immer wichtiger, denn Identitätsbetrugsmaschen, bei denen sich Cyberkriminelle als eine andere Person ausgeben, werden immer überzeugender – nicht zuletzt auch, weil virtuelle Besprechungen mittlerweile die Norm sind und sogar Deep Fakes zum Einsatz kommen. Falls ihr das bezweifelt, möchte ich euch mit den Worten von Bruno Mars „Don’t believe me? Just watch“ dazu einladen, euch selbst zu überzeugen: Seht euch einfach (diese RSA-Präsentation an, bei der Deep Fakes genutzt werden, um einen Versicherungsanspruch geltend zu machen).
Wenn also euer CEO ganz verzweifelt Geschenkgutscheine anfordert, ist eine gesunde Portion Skepsis durchaus angebracht.
Und dann ist da noch der Fachkräftemangel. Um dem beizukommen, solltet ihr Mut beweisen und beim Einstellen neuer Mitarbeiter nicht nur auf deren Erfahrung achten, sondern auch auf andere Kriterien wie Neugier, Eignung oder schlicht „flexibles Denken“. Qualifikationen haben sowieso eine immer kürzere Haltbarkeit (böse Zungen behaupten gar, dass der Lernstoff aus dem ersten Semester beim Abschluss des Studiums bereits veraltet ist) – achtet daher bei der Beurteilung von Bewerbern eher auf Flexibilität. Denn wie schon Peter Drucker sagte, liegt die größte Gefahr in Zeiten des Umbruchs nicht im Umbruch selbst, sondern darin, nach althergebrachter Logik zu handeln.
Dieses Problem betrifft im Grunde jeden, und obwohl Automatisierung hier eine große Hilfe sein kann, löst sie doch nicht das ganze Problem. Erfolgreiche Unternehmen kombinieren Automatisierung mit der Suche nach und der Weiterentwicklung von talentierten Kandidaten. Dieser Auftrag kommt von ganz oben – ändert also eure Einstellungspolitik und fragt nicht nach Erfahrung, die gar nicht mehr relevant ist.
Was heißt das konkret? 1) Unternehmenskultur: Schafft die Kultur, die ihr möchtet, und passt die vorherrschende Kultur (und nicht die Mitarbeiter) an, falls ihr suboptimales Verhalten feststellt. Viele Mitarbeiter behalten Phishing-Vorfälle aus Scham, Angst oder Verlegenheit für sich – es gibt oft einfach keinen Anreiz für sie, sich aus der Deckung zu wagen und einen Fehler zuzugeben. Dasselbe gilt für fragwürdige Forderungen von Vorgesetzten – auch hier fehlt oft der Anreiz, sie zu hinterfragen. Ihr solltet also Mitarbeiter belohnen, die skeptisch nachfragen und Fehler melden.
2) Fachkräftemangel: Kombiniert Automatisierung mit einer neuen Einstellungsphilosophie (und -politik). Macht euch klar, was, wann und wie ihr automatisieren könnt, verzichtet in Stellenanzeigen auf irrelevante Erfahrungen und achtet bei Bewerbern auf Flexibilität und Anpassungsfähigkeit, um das Geschäft wieder in Schwung zu bringen.
Lieferkette und SBOMs
Um es milde auszudrücken: Die Fälle SolarWinds und Log4J haben gezeigt, wie anfällig die Sicherheit der Lieferkette ist, und das Thema ganz oben auf die Agenda vieler Unternehmen gesetzt. Von MSPs bis hin zu Open-Source-Bibliotheken macht sich heute jedes Unternehmen viel mehr Gedanken über die Risiken, die mit seinen Lieferanten einhergehen.
In der Konsequenz werden SBOMs (Software Bills of Materials) jetzt zu einem zentralen Bestandteil der Lösung – begünstigt durch die Gesetzgebung in den USA, wo man ab 2025 eine SBOM benötigt, um Software an die Regierung zu verkaufen. Damit ist das Problem aber noch nicht vollständig gelöst. SBOMs sind sicherlich hilfreich, und ihre breite Einführung wird die Verwaltung von Software revolutionieren, aber sie sind kein Allheilmittel (das es schlicht nicht gibt). Im Endeffekt hilft eine SBOM nur, wenn man sie als Grundlage für konkrete Maßnahmen nutzt.
Bevor ihr zur Tat schreitet, solltet ihr euch also überlegen, warum ihr eine SBOM braucht und was ihr damit hinsichtlich der Lieferkettensicherheit erreichen wollt.
Was heißt das konkret? Sichtbarkeit, aktives Management, Priorisierung – diese drei Faktoren sind in der Regel notwendig, um euer Risiko zu verstehen, mehr Sicherheit von Lieferanten zu fordern und das Sicherheitsniveau verschiedener Lieferanten zu vergleichen. Wenn ihr euch ein Gesamtbild gemacht habt, rollt ihr das Ganze von hinten auf: Überlegt euch, mit welchem Prozess ihr wirklich nützliche SBOMs erreicht. Oder anders gesagt: Fragt euch, wie ihr SBOMs für eure Software erstellen und sie in eurem Unternehmen verwerten wollt. Führt Standards ein und teilt euren Lieferanten mit, wie und wann sie euch ihre SBOMs zukommen lassen sollen.
Erpressung ohne Verschlüsselung
Wenn es um aktuelle Sicherheitstrends geht, darf natürlich das Thema Ransomware nicht fehlen. Ransomware wurde zum Inbegriff für „Angriffe, bei denen man zahlen muss“, manchmal sogar mehrmals (d. h., es werden Daten erst gestohlen und dann verschlüsselt). Mittlerweile gehen die Bedrohungsakteure aber sogar noch einen Schritt weiter: Sie erpressen ihre Opfer, ohne Daten zu verschlüsseln.
Wie viele Sicherheitsexperten überschreiten auch Cyberkriminelle den Rubikon von PowerShell zu PowerPoint und erpressen Unternehmen auf der Business- statt auf technischer Ebene.
Anstatt euer System komplett zu verschlüsseln, sammeln die Angreifer bei diesem neuen Trend Beweise für die Infiltrierung, senden ein paar diskrete E-Mails an wichtige Personen im Unternehmen (CEO, Vorstand, CISO) und verlangen Geld, damit der ganze Vorgang ohne viel Aufhebens abgewickelt wird. Quasi wie bei einem Hackerangriff der alten Schule, nur mit einem Hauch von Professionalität.
Was heißt das konkret? Die meisten Sicherheitsfachleute würden euch hier raten, brav euer Cyber-Gemüse zu essen, also die Maßnahmen zu ergreifen, die ihr schon immer hättet ergreifen sollen. Doch wer mag schon Gemüse? Natürlich solltet ihr die Best Practices für Sicherheit umsetzen, aber, Hand aufs Herz, ihr habt das noch nicht getan, weil es langweilig und unbefriedigend ist. Ihr braucht ein bisschen Cyber-Schokolade, um die Verbesserungen schmackhafter zu machen: Belohnt Menschen, die Phishing melden, erstellt Leaderboards für den Status von System-Patches, visualisiert Risiken, um den Vorstand zu Investitionen zu bewegen, und legt euch spannende Narrative zurecht.
Tusch und Hype
Ich konnte nur über drei gehypte Themen schreiben, bevor mein Bedarf an Hype gedeckt war: Quantum, Blockchain und Machine Learning als Angriffsvektor. Ich weiß.
Also, was tun in Bezug auf Quantum? Ganz einfach: Im Jahr 2023 gibt es weitaus dringendere Bedrohungen, auf die euer Sicherheitsteam Zeit und Mühe verwenden sollte. Wartet, bis das NIST seinen Standardisierungsprozess abgeschlossen hat, und schaut euch vielleicht die Algorithmen an, wenn es euch wirklich unter den Nägeln brennt. In der Zwischenzeit könnt ihr euch entspannen und das Buzzword vorschieben, um euren Ressourcenbestand zu ermitteln oder zu aktualisieren – das empfiehlt sich sowieso und hilft euch bei der Vorbereitung auf die Migration, wenn der richtige Zeitpunkt dafür gekommen ist (falls dies je der Fall ist). Zu diesem Thema gibt es einen hervorragenden Standard von ETSI: TR 103 619. Dieser enthält Listen mit praxisnahen, leicht umsetzbaren Fragen, die ihr durcharbeiten könnt, um eure Crypto-Agilität zu verbessern und euch vorzubereiten.
Es heißt jetzt, die Blockchain könne gehackt werden. Wie bei jeder Technologie erweist sich die Theorie manchmal erst nach der Implementierung als falsch. Falls ihr die Blockchain nutzt, hoffe ich, dass ihr a) gute Gründe dafür habt und b) euch der Einschränkungen bewusst seid, nämlich dass Wallets, wie jede Software, Schwachstellen haben können. Falls ihr die Blockchain nicht nutzt, dann lasst die Finger davon, solange die Punkte a) und b) nicht erfüllt sind.
Und was passiert, wenn sich Machine Learning gegen uns wendet? Das ist ein bisschen sensationsheischend, denn wenn sich ML bösartig verhält, ist dies meist unbeabsichtigt. Die beste „Verteidigung“ besteht hier in der Operationalisierung, das heißt, im Aufbau eines richtigen Lebenszyklus – einschließlich Sicherheitsmaßnahmen für die Datenlieferkette (d. h. Schutz der Daten, mit denen ihr eure ML-Modelle trainiert). Außerdem sollte ihr eure Machine-Learning-Systeme erklärbar machen, damit ihr, falls eure ML durchdreht, zumindest wisst, wo, wann und warum das passiert.
Damit sind wir am Ende dieses Blogs angelangt – Kompliment fürs Durchhalten! Ich hoffe, ich konnte euch einige Anregungen geben, die ihr mit ins Jahr 2023 nehmen könnt. Viel Erfolg!
Fußnoten
* Witzigerweise steht dieser Trend im ITOps-Bericht nur an 4. Stelle. Vielleicht ist die IT einfach zu cool, um sich um Sicherheit zu kümmern? Oder vielleicht erwidert der Sicherheitsbereich endlich das Interesse der IT? Wer weiß das schon, bei dieser doch recht komplizierten Beziehung.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
