Angriffe gehören in den meisten Unternehmen zum Alltag und nehmen kontinuierlich zu. Die Zahl der täglichen Cyber-Bedrohungen stieg laut IDC zwischen 2006 und 2016 von 25 auf mehr als 400.000 pro Tag, also rund 300 pro Minute. Die Angreifer agieren immer raffinierter. So ist inzwischen 60 Prozent der Malware neu, ein Drittel aller Angriffe erfolgt gezielt.
Die Reaktion von IT-Sicherheitsteams in Unternehmen und Organisationen folgt heute meist einem vorhersehbaren Ablauf: Sobald eine neue Bedrohung auftritt, zum Beispiel über ein neues Medium, diagnostiziert das IT-Sicherheitsteam, dass das Unternehmen nun wieder verwundbar ist, obwohl es gegen bisherige Bedrohungen bereits ein umfangreiches Set von Sicherheitstools in Stellung gebracht hat. Das IT-Sicherheitsteam analysiert den Markt verfügbarer Tools gegen die aktuell neue Bedrohung, eskaliert das Thema bis in die obere Geschäftsführungsebene und formuliert einen entsprechenden Investitionsantrag. Dem wird meist stattgegeben, denn niemand möchte leichtfertig riskieren, dass sein Unternehmen eine offene Flanke hat.
Das neue Schutztool wird gekauft und implementiert, allerdings noch nicht beherrscht. Also läuft das Werkzeug erst einmal im Lernmodus und die Spezialisten sind damit beschäftigt, es zu konfigurieren und zu optimieren. Leider bleibt es oft dabei. Viele Tools erreichen niemals den optimalen Konfigurationszustand und die erwünschte Leistung. Denn die Personaldecken im Sicherheitsbereich sind dünn und möglicherweise rollt schon wieder die nächste, bis dahin unbekannte Angriffswelle. Diese erfordert dann wieder ein neues Tool und so weiter. Das ist gut für die Anbieter von IT-Sicherheitstools: Laut IDC weisen die Ausgaben für Sicherheitslösungen steigende Wachstumsraten auf, die im Jahr 2020 8,7 Prozent erreichen sollen. Aber ist es auch gut für die Unternehmen?
Nachweislich nicht, denn sonst wären ihre Sicherheitsbemühungen erfolgreicher und würden verhindern, dass jedes Jahr mehr als eine Milliarde persönlicher Datensätze gestohlen werden. Das hat Gründe, die mit der prinzipiellen Natur einer schichtweise aufgebauten Sicherheitsarchitektur aus vielfältigen, einzeln beschafften Tools zusammenhängen.
Sicherheitstools verlieren schnell ihre Wirksamkeit
Erstens folgt die bisherige Sicherheitsstrategie dem Modell der tiefgestaffelten Verteidigung, das aus dem Mittelalter stammt. Festungen hatten verschiedene, an unterschiedlichen Orten befindliche Verteidigungsmittel: einen Wassergraben, Zinnen, von denen massenweise Verteidiger Steine und heiße Flüssigkeiten auf die Angreifer schütteten, angespitzte Speere, mit denen sich die Verteidiger den Angreifern entgegenstellten. All diese Verteidigungslinien mussten Angreifer Schritt für Schritt überwinden.
Dieses Modell setzt, um zu funktionieren, vor allem üppige Personal- und Sachressourcen beim Verteidiger voraus und einen Angreifer mit relativ berechenbarem Verhalten. Über große Ressourcen verfügen IT-Sicherheitsteams meist nicht. Do more with less, heißt auch hier die Wunschvorstellung. Vor allem aber funktioniert es in einer mobilen Cloud-Welt nicht mehr, in der Angreifer gewissermaßen ortlos agieren, stets neue Angriffsformen entwickeln und für ihre Attacken kaum mehr brauchen als eine Internetverbindung.
Zweitens folgen Cyber-Sicherheitstools leider nicht der ansonsten gültigen Regel, dass IT-Werkzeuge mit längerer Einsatz- und Verfügbarkeitsdauer durch neue Versionen und Funktionen stetig besser werden. Das Gegenteil ist der Fall: Eine neue Angriffsvariante führt zur Entwicklung neuer Tools, die nach kurzer Eingewöhnungszeit die betreffende Bedrohung zunächst zur Zufriedenheit der Vertreifiger beseitigen. Doch die Angreifer lernen schnell hinzu: Sie beobachten, wie das Tool Angriffe erkennt und stellen ihre Angriffsmethode darauf ein. Die Folge: Je länger ein Tool auf dem Markt ist, desto mehr büßt es an Wirksamkeit ein. Dargestellt wird dieses Verhalten in der Grobman-Kurve, so benannt nach Steve Grobman, Vice President und CTO von McAfee und Autor des Buches „The Second Economy: The Race for Trust, Treasure and Time in the Cybersecurity War“ (Die zweite Wirtschaft: Der Wettlauf um Vertrauen, Schätze und Zeit im Krieg um die Cyber-Sicherheit).
Normalerweise empfiehlt es sich zu warten, bis ein neues Softwareprodukt eine gewisse Stabilität erreicht hat, ehe man es im Unternehmen implementiert. Effektive Cyber-Sicherheit erfordert eine komplett andere Beschaffungsstrategie: Cyber-Sicherheitstools können gar nicht schnell genug implementiert und optimal konfiguriert werden, denn sie verlieren rasch ihre größte Wirksamkeit. Doch zu einer solchen raschen Beschaffung und vor allem optimalen Konfiguration und Nutzung sind viele IT-Abteilungen aus Arbeitsüberlastung und Ressourcenknappheit kaum in der Lage. Deshalb geraten sie im Wettrennen mit den Angreifern aus dem Cyberspace chronisch ins Hintertreffen.
Dafür ein Beispiel: Eine Zeitlang war es effektiv, verdächtige Software in einer Sandbox-Umgebung zu isolieren. Dort beobachtete man ihr Verhalten, bis sie sich als harmlos erwiesen hatte, und gab sie erst dann für Nutzer frei. Inzwischen erkennt Malware, ob sie von einem Computer analysiert wird. Sie erkennt sogar, ob Mausklicks von einem Analysesystem testweise simuliert oder von tatsächlichen Nutzern ausgeübt werden. Die böswilligen Funktionen treten erst in Aktion, wenn die Software davon ausgeht, bei den Endanwendern angekommen zu sein. Sandboxing als Abwehrstrategie funktioniert deswegen nur als Teil einer Gesamtstrategie.
Kurz gesagt: Das bisherige Sicherheitsparadigma, der Einsatz eines mehrschichtigen Sicherheitssystems aus miteinander unverbundenen Spezialtools greift nicht mehr. Aber was dann? Eine erfolgversprechende Strategie ist die Nutzung einer offenen, integrierten Sicherheitsplattform, die der Offenheit der Internet-Infrastruktur entspricht. Doch wie arbeiten offene Sicherheitsplattformen im Detail, und welche Vorteile haben Anwender davon? Das erfahren Sie im nächsten Artikel in dieser Reihe.