„Wer den Schaden hat, braucht für den Spott nicht zu sorgen“ – diese Binsenweisheit wird immer wieder bemüht, wenn es einen größeren „Hack“ oder einen Fall von Datendiebstahl gegeben hat – sei es Yahoo, Ashley Maddison, ThyssenKrupp oder Deloitte. Man ist schnell bei der Hand, wenn es darum geht, Versäumnisse in der Öffentlichkeit auszubreiten und den Finger in möglichst viele Wunden zu legen. Doch dieses Vorgehen, so verständlich es auch oft sein mag, bringt auf lange Sicht gesehen niemanden wirklich weiter.
Es ist einfach, jemanden zu verspotten, weil er eine vermeintlich einfache Sicherheitsmaßnahme vernachlässigt hat. Die eigentlichen Probleme, die zu einem Datenleck führen, liegen allerdings wesentlich tiefer und sind nicht allein durch Schuldzuweisungen und Drehen am Personalkarussell zu lösen.
Ein Datenleck ist nur sehr selten „plötzlich da“. Bis ein solches Ereignis Schlagzeilen macht, sind bereits viele Dinge geschehen, die von der Öffentlichkeit unbemerkt geblieben sind. Wie Experten schon oft erklärt haben, kann sich ein geschickter Angreifer im Schnitt mehrere Monate in relativer Sicherheit in einem Netzwerk bewegen und versuchen, seinen Zugriffsbereich zu erweitern. In der öffentlichen Wahrnehmung bleibt aber oft nur eine Variante von „monatelang ist das keinem aufgefallen – wie blind oder inkompetent kann man eigentlich sein?“.
Dabei wird meist außer Acht gelassen, dass in der Regel durchaus Maßnahmen existieren, die unbefugten Zugriff verhindern sollen. Diese haben allerdings entweder nach und nach im Stillen versagt oder man hat bestimmte Anzeichen fehlinterpretiert. Statt zu fragen „wie konnte man das übersehen?“ sollte man eher fragen „warum haben die Werkzeuge oder Prozesse versagt, die uns warnen sollten?“ Natürlich gibt es immer wieder Fälle von grober Fahrlässigkeit oder Schlamperei, aber diese sind hier nicht das Thema. In der überwältigenden Mehrheit der Fälle sind große Datenschutzpannen das Ergebnis einer ganzen Kette von Umständen und nicht das Resultat eines „einzigen großen und übermächtigen Angriffs“. Die Anfänge sind oftmals unspektakulär und mit vertretbarem Aufwand kaum zu verhindern. Eine einfache Email kann der Beginn eines medienwirksamen Zwischenfalls bilden. Doch soll es Mitarbeitern deshalb verboten werden, Mails zu öffnen? Wohl kaum.
Marketingabteilungen auf der ganzen Welt sind Meister im Verbreiten von Schauergeschichten. Es wird ein Bedrohungsszenario entwickelt und eine Lösung präsentiert, die diese Bedrohung abstellt. Das ist ihr Job. Das läuft seit Jahren so, wenn nicht seit Jahrzehnten. Eine oft verfolgte Strategie nennt sich „FUD“: „Fear, Uncertainty, Doubt“ (dt: Angst, Unsicherheit, Zweifel). Man spricht von Advanced Persistent Threats (APTs) und Hackerangriffen und wird nicht müde, totgerittene Klischees wie den kapuzetragenden Bösewicht am Leben zu halten. Damit wir uns richtig verstehen: APTs und Hackerangriffe sind beileibe kein „Nebenschauplatz“, den man getrost vernachlässigen kann. Allerdings sind die oft als Marketing-Argument angeführten APTs für 99 Prozent der Unternehmen irrelevant. Aus Sicht eines Angreifers ist es wesentlich einfacher, den sprichwörtlichen „Office-Bug der Woche“ auszunutzen oder einfache Social Engineering-Taktiken anzuwenden und so Zugriff auf Daten zu erlangen, als eine maßgeschneiderte Software zu entwickeln, die sich im Netzwerk einnistet. Sind die großen Angriffsflächen nicht eliminiert, ergibt es einfach keinen Sinn, sich über Sonderfälle Gedanken zu machen.
Mit APTs zu argumentieren, um eine bestimmte Softwarelösung oder Appliance an den Mann zu bringen, ist in der Mehrheit der Fälle so, als würde man einen Schutzschirm zum Schutz vor Meteoriteneinschlägen kaufen und sich allem gewachsen fühlen, obwohl es wesentlich wahrscheinlicher ist, daheim die Treppe hinunter zu stürzen.
Man hat dann vielleicht ein bestimmtes Risikoszenario wirkungsvoll abgedeckt, welches tatsächlich katastrophalen Schaden bedeuten würde, aber hat nichts an dem Risiko verändert, das wesentlich relevanter ist. Genau hier liegt das Problem: vielfach werden Lösungen rein Szenario-basiert beworben und eingesetzt. Dabei gerät das Gesamtkonstrukt allzu oft aus dem Blickfeld. IT im Allgemeinen und IT-Sicherheit im Besonderen muss immer in ihrer Gesamtheit betrachtet werden und nicht als Ansammlung isolierter Einzelkomponenten. Der Architekt eines Gebäudes muss auch wissen, welche Last das Fundament am Ende tragen muss. Dadurch ergibt sich eine Belastungsgrenze, die nicht überschritten werden darf. Ändert man hinterher wesentliche Bestandteile, besteht Gefahr. In der Praxis hat es hierfür schon Beispiele gegeben: Vor einigen Jahren ist ein Einkaufzentrum in Südkorea fast ohne Vorwarnung eingestürzt. Im Nachhinein stellte sich heraus, dass der Bauherr nach Abschluss der Planungen und nach Beginn der Bauarbeiten auf die Errichtung zusätzlicher Stockwerke bestand. Auf das Dach wurden dann noch einige schwere Klima-Aggregate an eine andere Stelle als die geplante gestellt - beides war in der ursprünglichen Planung nicht vorgesehen und der Plan wurde auch nicht geändert. Als der Architekt seine Bedenken äußerte und warnte, dass die gewünschten Änderungen das Gebäude instabil machten, wurde er kurzerhand entlassen.
Effektive und zielgerichtete Kommunikation ist also der erste Schritt zu einer effektiven und tragfähigen Strategie, wenn das Konstrukt nicht am Ende wie ein Kartenhaus zusammenfallen soll. Vertrauen ist der zweite wesentliche Schlüssel: Sicherheitsverantwortliche müssen darauf vertrauen können, dass ihnen alle nötigen Informationen vorliegen und auch, dass sie Informationen bekommen, wenn sich Anforderungen geändert haben. Stellt sich heraus, dass bestehende Strukturen nicht mit geplanten Vorhaben kompatibel sind, müssen sich die Verantwortlichen hier auch darauf verlassen können, dass ihre Bedenken nicht abgetan werden – oftmals werden neue Vorhaben allen Bedenken zum Trotz „durchgedrückt“, obwohl Bedenken hinsichtlich der Sinnhaftigkeit oder der Sicherheit laut geäußert wurden – sei es aufgrund persönlicher Befindlichkeiten oder weil der verantwortliche Manager seinen Bonus am Jahresende erhalten möchte.
Umgekehrt müssen auch Geschäftsführer oder Angehörige mehr Vertrauen in ihre IT-Sicherheitsverantwortlichen haben – diese haben die Expertise und können am besten bewerten, wie es um die Sicherheit des Unternehmens wirklich steht – und dass man ihnen glauben kann, wenn sie sagen „das klappt so nicht“. Vielfach werden bestimmte Themen auch einfach „totgeschwiegen“, entweder aus Furcht vor Repressalien oder negativer Presse. Ein offener und konstruktiver Umgang mit dem Thema IT-Sicherheit und Datenlecks wäre der richtige Weg, aber es wird kein leichter. Schließlich gibt niemand gern zu, einen Fehler gemacht zu haben – vor allem, wenn dieser Fehler in der Öffentlichkeit breitgetreten wird. Konstruktives Arbeiten wird umso weniger leicht, wenn die Gefahr besteht, als „Schuldiger“ oder als Bauernopfer auserkoren zu werden. In jedem Fehler verbirgt sich aber auch eine Chance, denselben Fehler in Zukunft vermeiden. Und andere können davor bewahrt werden, ebenfalls diesen Fehler zu machen. Dafür muss man allerdings offen und ohne Angst miteinander reden können – und das findet noch nicht oft genug statt.
Vertrauen, Kommunikation und ein klares Gesamtziel sind der Schlüssel zu einer besseren und sichereren IT-Landschaft. Und wenn einmal etwas schiefgeht, dann sollte man aus dieser Erfahrung seine Lehren ziehen. Wer das nicht tut, lernt nicht dazu und wird sich mit Bezug auf die Sicherheit auch nicht verbessern.
Eine andere Binsenweisheit besagt übrigens: „Hinterher ist man immer schlauer“.