In der IT sind Virenwellen keine Seltenheit. Massenhafte Angriffe auf private Computersysteme wie auch auf ganze Computernetze von Firmen und Behörden gibt es permanent; Emotet und Wannacry haben beispielsweise traurige Berühmtheit erlangt. Zu Zeiten der aktuellen Corona-Pandemie, wo viele Mitarbeitende im Home-Office sitzen, sind Virenwellen auch in der Cyberwelt besonders zu spüren. Viele Unternehmen mussten sehr schnell ihre Mitarbeitende ins Home-Office senden, ohne dazu ausreichend vorbereitet zu sein. In der Folge ist die IT-Sicherheit im Home-Office oft mangelhaft, was von Cyberkriminellen schamlos ausgenutzt wird.
Schutzmaßnahmen gegen Cyberattacken gibt es viele: Virenscanner, Firewalls, Spamfilter, Back-up, Verschlüsselung – um nur einige zu nennen. Längst nicht immer sind Schutzmaßnahmen ausreichend installiert und noch häufiger sind sie nicht hinreichend sicher konfiguriert. Ein Beispiel spielte sich vor einigen Monaten in der Stadt Baltimore (USA) ab, wo 10.000 Computer der Stadtverwaltung gehackt wurden, da Sicherheitsupdates nicht installiert worden waren. Doch auch sehr gut gesicherte Netzwerke und Systeme werden immer wieder Opfer von Angriffen.
Schon lange hat sich die Erkenntnis durchgesetzt, dass 100 % Sicherheit praktisch nicht zu haben ist, schon gar nicht zu akzeptablen Kosten und mit leistbarem Aufwand. Man kann durch Schutzmaßnahmen sowie Fortbildung und Sensibilisierung von Mitarbeitenden die Wahrscheinlichkeit eines erfolgreichen Angriffs herabsetzen. Durch vorbeugende Notfallplanung und andere geeignete Maßnahmen, wie z. B. Back-ups, können die Schäden eines erfolgreichen Angriffs niedrig gehalten werden. Vollständig verhindern lassen sich Angriffe dennoch nicht.
Dieses Prinzip gilt auch für die persönliche Gesundheit: 100 garantierte Gesundheit ist nicht zu haben, nicht für Geld und gute Worte, trotz persönlicher Vorbeugung, trotz eines leistungsfähigen Gesundheitssystems, hohen Ausgaben in der medizinischen Forschung und weltweiter Zusammenarbeit. Die Corona-Pandemie macht das deutlicher denn je.
Die Gegenmaßnahmen in der Corona-Pandemie folgen den gleichen Prinzipien, die auch in der IT-Sicherheit angewandt werden (oder ist es umgekehrt?), nämlich: Vorbereitung, Implementierung von Schutzmaßnahmen, Sensibilisierung und Training, Monitoring, Analyse, Heilung, Milderung der Folgen und Immunisierung.
Vorbereitung
- Identifikation von Risiken, Notfallplanungen und Notfallübungen, klare Definition von Zuständigkeiten und Meldewegen
- Beispiel Corona: Welche Menschen sind am meisten gefährdet ("Risikogruppen")?
- Beispiel IT-Sicherheit: Welche Systeme haben nur schwachen Eigenschutz (z. B. Homecomputer)?
Implementierung von Schutzmaßnahmen
- Corona: Social Distancing, Schutzmasken, Sperrung von Grenzen,
- IT-Sicherheit: Segmentierung von Netzen, Firewalls, E-Mail Gateways, Trennung befallener Systeme
Sensibilisierung und Training
- Corona: Sensibilisierung der Bevölkerung für Schutzmaßnahmen, Hygienetipps
- IT-Sicherheit: Sensibilisierung der Mitarbeitenden, Schulungen und Training für Cyberhygiene
Monitoring
- Corona: Tests, systematische Erfassung von Krankheitsfällen und Verläufen, Kontaktverfolgung ("Corona-App")
- IT-Sicherheit: Security Incident and Event Management (SIEM), Security Alerts
Analyse
- Corona: statistische Analysen, medizinische und pharmakologische Forschung
- IT-Sicherheit: digitale Forensik
Heilung
- Corona: Pflege, Medikamente
- IT-Sicherheit: Wiederherstellung von Daten aus Back-up, Aktivierung von Back-up Systemen und Back-up Rechenzentren
Milderung der Folgen
- Corona: Krankenversicherung, Arbeitslosenversicherung, weitere finanzielle Hilfen und Fördermaßnahmen des Staates
- IT-Sicherheit: Cyber-Versicherung
Immunisierung
- Corona: Entwicklung und Anwendung neuer Impfstoffe, Herdenimmunität
- IT-Sicherheit: Automatische Ableitung neuer Erkennungsmuster (Virensignaturen), neue Erkennungsverfahren, Patchen von Exploits
Alle Maßnahmen unterliegen dem Prinzip der Wirtschaftlichkeit, auch wenn das in Bezug auf Gesundheit kaum jemand hören mag. Die Frage: "Wollen Sie denn Menschenleben gegen Geld abwägen?" ist falsch gestellt. Richtig gestellt lautet die Frage: "Wo müssen wir die begrenzten, vorhandenen Mittel einsetzen, damit der maximale Erfolg erzielt wird?" Denn, die Mittel sind begrenzt, auch wenn in Zeiten von Corona manchmal etwas anderes suggeriert wird.
Dabei müssen auch längerfristige Effekte in die Überlegungen einbezogen werden. Man kann gewiss unter Einsatz aller zur Verfügung stehenden Mittel ein System so absichern, dass ein erfolgreicher Angriff sehr unwahrscheinlich wird. Dummerweise nützt das aber nichts, wenn das System dann nicht mehr benutzbar ist oder die Organisation durch den hohen Einsatz bankrott ist und das System daher nicht mehr benötigt wird.
Auf Corona übertragen: Es ist nicht praktikabel, alle Menschen über Wochen oder Monate einzusperren, bis ein Impfstoff zur Verfügung steht, auch wenn man dadurch die Pandemie wirksam stoppen könnte. Es können auch nicht alle verfügbaren Mittel zur Bekämpfung des medizinischen Problems aufgewendet werden, denn dann wäre die Gesellschaft am Ende bankrott, mit dramatischen Folgen, auch gesundheitlichen, für die kommenden Jahre. Nötig ist eine Abwägung: Welche Mittel werden eingesetzt, was kostet das (nicht nur finanziell) und welchen Nutzen hat das?
Zudem haben die Corona-Situation und IT-Sicherheit gemeinsam, dass alle Regelungen, Restriktionen und technischen Schutzmaßnahmen nur effektiv sind und etwas nützen, wenn sie auch von allen Beteiligten umgesetzt und gelebt werden. Eine Schutzmaske, die nicht aufgesetzt wird, schützt nicht. Ein Passwort, das nicht aktiviert wird, ebenso wenig. Verhaltensrichtlinien sollten relativ einfach sein, damit sie auch verstanden und unproblematisch in tägliches Verhalten umgesetzt werden können. Führungspersonen müssen sich ihrer Vorbildfunktion stets bewusst sein.
Eine weitere Parallele zwischen Corona und IT-Sicherheit ist die Grenzüberschreitung. Coronaviren halten sich nicht an Landesgrenzen, IT-Bedrohungen auch nicht. In Bezug auf IT-Sicherheit wurde in der Vergangenheit verschiedentlich über eine Art "deutsches Internet" oder eine "europäische Cloud" gesprochen, als Schutz gegen Angriffe von außen. Das ist zwar im Prinzip denkbar, funktioniert aber in der Praxis nicht, weil der Nutzen eines offenen, internationalen Netzes viel zu groß ist. Dieser überproportional größere Nutzen führt dazu, dass nationale Alternativen sich nicht durchsetzen, selbst wenn sie subventioniert oder regulatorisch bevorteilt sind.
Genauso wenig funktionieren Grenzschließungen zur Abwehr einer Pandemie. Kurzfristig mag das helfen, um einen Überblick und eine Atempause zu erhalten. Die Probleme geschlossener Grenzen wurden aber in Deutschland sehr schnell deutlich, z. B. an Hand kilometerlanger LKW-Staus und fehlenden Erntearbeitern, mit der unmittelbar drohenden Gefahr einer Versorgungskrise. Statt Grenzschließung und Abschottung ist vielmehr globale Zusammenarbeit zur Abwehr und Bekämpfung gefragt.
Letztendlich bleibt noch zu erwähnen, dass die Auswirkungen und der Erfolg von Maßnahmen zur Pandemiebekämpfung und zur Erhöhung der IT-Sicherheit oft nur mit Verzögerung feststellbar und nur bedingt quantitativ sowie monetär messbar sind. Die Auswirkung einer Schutzmaßnahme auf die Zahl der Corona-Infizierten lässt sich erst mit einer Verzögerung von zwei Wochen feststellen. Investitionen und nicht getätigte Investitionen in die IT-Sicherheit zeigen erst verzögert im Falle eines Angriffs Ihren Nutzen – oder bestenfalls dadurch, dass der Angriff ausbleibt. In diesem Sinne sind auch leer stehende Notfallkliniken ein Zeichen des Erfolgs von Maßnahmen, nicht ein Ergebnis übervorsichtiger Politik.
Daraus folgt einmal mehr: "Cybersicherheit ist kein Zustand, sondern ein Prozess", was sich auch bestens auf die Coronakrise übertragen lässt. Die Bedrohungslage ändert sich ständig und mit jeder neuen Technologie oder Infizierungswelle entstehen neue Gefahren und Lagen. Es ist daher essenziell, dass Cybersicherheit ein Bestandteil des Entwicklungsprozesses von Unternehmen wird und wie die Corona-Situation stets holistisch betrachtet wird, implementierte Maßnahmen fortwährend überprüft, auf ihre Angemessenheit hin ausgewertet und wenn nötig angepasst werden.
Cyber-Sicherheitsrat Deutschland e.V.
Hans-Wilhelm Dünn
Bertha-Benz-Straße 5
10557 Berlin
Email: info@cybersicherheitsrat.de
Oliver Dehning
Co-Founder von Hornetsecurity