Quo vadis, IT-Sicherheit?

Die Tech-Branche hat beim Thema Security versagt

Kommentar  von Pat Gelsinger
Es ist an der Zeit, dass wir uns ehrlich eingestehen, unsere Kunden bei den Themen Cybersecurity und Datenschutz im Stich gelassen zu haben.

Die Währung unserer Branche ist Vertrauen: Vertrauen darauf, dass unsere Software- und Hardwareprodukte funktionieren. Vertrauen darauf, dass wir die Daten unserer Kunden sichern. Und Vertrauen in unsere Fähigkeit, die Integrität und Verfügbarkeit unternehmenskritischer Systeme zu gewährleisten. Wir verdienen dieses Vertrauen jeden Tag, indem wir die kritischen Anwendungen und sensiblen Daten unserer Kunden in einer zunehmend mobilen Welt des Cloud Computing schützen.

Wenn die Jagd nach der Nadel im Heuhaufen so endet, ist es an der Zeit, umzudenken.
Foto: Lanier Underground - shutterstock.com

Nur wird genau diese Aufgabe zu einer immer größeren Herausforderung. Denn viele Anwendungsarchitekturen entwickeln sich rasant weiter. Und Apps werden zum Hauptziel von Cyberkriminellen und Hackern. Albert Einstein soll einmal gesagt haben: "Die Definition von Wahnsinn bedeutet, immer wieder dasselbe zu tun, aber unterschiedliche Ergebnisse zu erwarten." Was leider eine gute Zusammenfassung unseres derzeitigen Ansatzes bei der Cybersicherheit darstellt. Und solange wir unser grundlegendes Sicherheitsmodell nicht überarbeiten, werden wir nicht in der Lage sein, uns aus dieser Lage zu befreien.

Gutes schützen, statt Böses zu verfolgen

Das Problem ist dabei nicht der Mangel an progressiven Produkten. Tatsächlich gibt es heutzutage enorme Innovationen im Bereich der Cybersecurity. Das Problem liegt in unserem grundlegenden Ansatz, der in der Verfolgung "des Bösen" begründet ist. Es ist ein endloses Wettrüsten und wir scheinen immer weiter zu hetzen, um aufzuholen. Nur wenn man in der IT versucht, "das Böse" zu jagen, sucht man ständig nach der sprichwörtlichen Nadel im Heuhaufen - und das auf einer gefährlich großen (Angriffs)Fläche. Aber was wäre, wenn wir den umgekehrten Weg einschlagen? Was wäre, wenn wir das ganze Modell auf den Kopf stellen und uns darauf konzentrieren, das Gute zu schützen, statt dem Bösen hinterherzujagen?

Top 5 Hacks 2017
5. HBO
Der US-Pay-TV-Sender gerät 2017 nicht zum ersten Mal ins Visier krimineller Hacker. Unveröffentlichte Episoden des Serienhits „Game of Thrones“ werden dabei geleakt und die persönlichen Daten mehrerer Schauspieler kompromittiert. <br><br /> Die verantwortlichen Cyberkriminellen drohen mit weiteren Veröffentlichungen und versuchen so sechs Millionen Dollar von HBO zu erpressen. Ohne Erfolg. Im Nachgang der Attacke berichten verschiedene Ex-Mitarbeiter des Unternehmens von einem allgemein eher laxen Umgang mit der IT-Sicherheit. <br><br />
4. NSA
Bei der National Security Agency (NSA) dreht sich alles um Geheimhaltung. Möchte man meinen. Dennoch wird die US-Behörde 2017 gleich von mehreren Datenpannen ereilt. Zuerst veröffentlicht Wikileaks im März tausende von geheimen Dokumenten, die unter anderem Auskunft über die Beziehungen zwischen NSA und CIA Auskunft geben, dann gelangen Medienberichten zufolge geheime Dokumente zu den Methoden und Verteidigungsmaßnahmen der NSA über einen Vertragspartner in die Hände russischer Hacker. <br><br /> Ende November 2017 wird schließlich bekannt, dass circa 100 Gigabyte an Daten (die detaillierte Auskunft über ein militärisches Geheimprojekt enthalten), ungeschützt auf einem AWS-Server vorgehalten werden. <br><br />
3. Uber
Im November 2017 wird bekannt, dass der Fahrdienstleister bereits 2016 gehackt wurde. Dabei werden die Informationen von weltweit 57 Millionen Kunden gestohlen. <br><br /> Statt den Vorfall zu melden, geht man bei Uber lieber seinen "eigenen" Weg, bezahlt den kriminellen Hackern Schweigegeld in Höhe von 100.000 Dollar und kehrt das Geschehene unter den Teppich. Uber-CEO Dara Khosrowshahi behauptet zunächst, nichts von den Vorgängen gewusst zu haben – wenig später wollen Medienberichte diese Behauptung widerlegen. <br><br />
2. Equifax
Der US-Finanzdienstleister sorgt 2017 für einen traurigen Hack-Höhepunkt, als die Daten von circa 143 Millionen Kunden kompromittiert werden. Die Datensätze enthalten Namen, Geburtsdaten, Sozialversicherungsnummern, Adressen, Führerschein- und Kreditkartendaten. <br><br /> Ein Paradies für Identitätsdiebstahl, das durch eine ungepatchte Sicherheitslücke in Apache Struts geschaffen wird – und vermutlich über Monate unentdeckt bleibt. Auch das Zeitfenster, das Equifax verstreichen lässt, bevor es den Vorfall meldet, ist „kritisch“: Am 29. Juli wird der Hackerangriff bemerkt, am 7. September die Öffentlichkeit informiert. Passend dazu wird wenig später bekannt, dass das Unternehmen bereits im Dezember 2016 vor Sicherheitslücken und möglichen Hacks gewarnt worden war. <br><br />
1. WannaCry & Petya
WannaCry ist die bislang größte Ransomware-Attacke, die Mitte Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit heimsucht. Bei der Angriffswelle kommen gestohlene NSA-Hacking-Tools zum Einsatz, die eine Schwachstelle im Windows-SMB-Protokoll ausnutzen. Letztlich kann WannCry durch das mehr oder weniger zufällige Auffinden eines „Kill Switch“ entschärft werden. <br><br /> Ende Juni 2017 verbreitet sich dann eine neue Ransomware-Variante, die dieselbe Sicherheitslücke wie WannaCry ausnutzt. Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen. Die schnelle Ausbreitung über eine bereits bekannte (und ausgenutzte) Sicherheitslücke rückt ein weiteres Mal die vielerorts laxen Security-Prozesse ins Rampenlicht. <br><br />

Wenn man sich auf den Schutz des Guten konzentriert, betrachtet man automatisch nicht das Heu sondern die Nadel, wodurch sich die ausnutzbare Angriffsfläche exponentiell verkleinert. Das funktioniert folgendermaßen: Im Mittelpunkt des Schutzes des Guten steht die Wiederbelebung des uralten Cyber-Sicherheitsprinzips "Least Privilege". Hierbei erhält jeder Benutzer und jedes System ein absolutes Minimum an Rechten für den Zugriff, Funktion und Interaktion, um die notwendigen Aufgaben erfüllen zu können. Mit anderen Worten: Wenn man nicht explizit Zugriff eingeräumt bekommt, hat man schlichtweg keinen. Der große Unterschied - und zugleich der große Durchbruch - besteht darin, dass wir heute in der Lage sind, eine extrem große Anzahl an Rechten nach dem Least-Privilege-Prinzip durchzusetzen, ohne dabei das Innovationstempo oder die Prozesse in Unternehmen zu verlangsamen.

Der Schutz des Guten geht jedoch weit über eine starre Abriegelungsmethodik durch "Deny-by-Default" hinaus: Es geht hierbei um einen Ansatz, der viel nuancierter und differenzierter ist. So wie gute Bremsen an einem Auto es dem Fahrer erlauben, schnell zu fahren, ist es das Ziel des Least-Privilege-Prinzips, die richtige Balance zwischen IT-Sicherheit und der schnellen und flexiblen Bereitstellung von IT-Services zu gewährleisten. Das heißt: Security sollte nicht als Einschränkung, sondern als Motor verstanden werden soll.

Drei Punkte für mehr Security

Beim Schutz des Guten gibt es drei entscheidende Punkte zu beachten:

1. Sichere Infrastruktur

Eine sichere Infrastruktur ändert die Spielregeln, indem sie es ermöglicht, kritische Anwendungen und Daten schnell zu sperren, Sicherheitskontrollen durchzuführen, die direkt in die IT-Architektur integriert sind, und einen wiederholbaren und fokussierten Prozess zur Verbesserung der Cyber-Sicherheit einzurichten.

Dabei handelt es sich nicht einfach um eine Infrastruktur, die sicher aufgebaut ist, sondern vielmehr um eine Infrastruktur, die es ermöglicht, die Beziehung zwischen den Anwendungen und der Infrastruktur selbst zu verstehen und Umgebungen mit den geringsten Rechten um sie herum zu schaffen. Eine Infrastruktur, die darauf ausgerichtet ist, das Gute zu schützen, muss über native, eingebaute Funktionen verfügen, die von Grund auf neu entwickelt wurden, um speziell Anwendungen und Daten zu sichern. Denn heutzutage sind zu viele Kontrollen der Cyber-Sicherheit auf Hardware ausgerichtet, die tief in der Infrastruktur vergraben ist, zum Beispiel ein Router, ein Switch oder ein Server. Und in einer hardwaregesteuerten Welt ist das auch der einzig sinnvolle Ort. In einer softwaregesteuerten Welt hingegen gibt es zahlreiche Ansatzpunkte und Möglichkeiten für IT-Sicherheitsfunktionen im Vergleich zu starrer Hardware und Edge-basierten Lösungen.

2. Starkes Ökosystem

Das Ökosystem benötigt eine privilegierte Stellung in der IT-Umgebung, um Sicherheitskontrollen effektiv durchführen zu können. Diese Kontrollen benötigen einen Zugang zum Kontext der Anwendungen und Daten, die für sie uneingeschränkt sichtbar sein müssen.

3. Cyber-Hygiene

Eine weitere Grundlage ist eine konsequent durchgeführte Cyber-Hygiene als effektivste Maßnahme, um sich gegen Sicherheitsattacken, und -lücken zu wehren. Und doch ist die einzige Konsequenz in der Cyber-Hygiene unsere eigene Inkonsequenz. Denn bei der Cyber-Hygiene versagen wir noch immer. Und das nicht, weil die IT-Sicherheitsteams nicht verstehen, was zu tun ist; sondern, weil die Cyber-Hygiene in einer Welt des ständigen Wandels zu einer extrem komplexen Aufgabe herangewachsen ist. Es ist daher dringend an der Zeit, dass wir Cyber-Hygiene so einfach und so effektiv wie möglich gestalten. Dabei ist es notwendig, die fünf Grundpfeiler der Cyber-Hygiene zu beachten:

  1. Least Privilege

  2. Mikrosegmentierung

  3. Verschlüsselung

  4. Multi-Faktor-Authentifizierung

  5. Patching

Zum Video: Die Tech-Branche hat beim Thema Security versagt

IT-Sicherheit auf den Kopf stellen!

Wenn man die großen, schlagzeilenträchtigen Hacks und Datenlecks der letzten Jahre betrachtet, muss deutlich gesagt werden: Jeder einzelne hätte vollständig vermieden oder in seinem Ausmaß deutlich reduziert werden können. Wenn die anvisierten Unternehmen die oben genannten Grundpfeiler verinnerlicht hätten. Wenn es um das Thema IT-Sicherheit geht, dreht sich bislang alles um die Frage: "Wie können wir unsere IT-Infrastruktur so gut wie möglich nach außen abschirmen?". Die Frage sollte aber lauten: "Wie können wir die Art und Weise, wie wir unsere IT-Infrastruktur einsetzen, ändern, um optimal abgesichert zu sein?"

In einer Zeit, in der wir uns als Technologiebranche eingestehen müssen, dass wir bei der Cyber-Sicherheit gescheitert sind, ist es auch unausweichlich, das zugrundeliegende IT-Sicherheitsmodell auf den Kopf zu stellen. (fm)