Ap­pell für mehr IT-Si­cher­heit

Mehr Of­fen­heit und Col­la­bo­ra­ti­on sind nö­tig, um die Cy­ber-Ge­fah­ren in den Griff zu be­kom­men.

Computerwoche - - Vorderseite - Von Jens Do­se, Re­dak­teur

IT-Se­cu­ri­ty ist er­wach­sen ge­wor­den“, sag­te Jeff Moss, Grün­der der Black Hat, zum Auf­takt des dies­jäh­ri­gen Se­cu­ri­ty-Events in Las Ve­gas. Im Licht der jüngs­ten Da­ten­skan­da­le müs­se sich die Com­mu­ni­ty dar­auf ein­stel­len, dass In­for­ma­ti­ons­si­cher­heit im pri­va­ten und Ar­beits­all­tag für Bu­si­ness und Po­li­tik im­mer wich­ti­ger wer­de – und da­mit auch die Rol­le der IT-Si­cher­heits-Pro­fis. Die­se An­sicht deckt sich mit ak­tu­el­len Zah­len des Ana­lys­ten­hau­ses Gart­ner. Dem­nach wer­den die welt­wei­ten Aus­ga­ben für IT-Si­cher­heit 2018 im Ver­gleich zum Vor­jahr um et­wa zehn Pro­zent auf mehr als 98 Mil­li­ar­den Dol­lar wach­sen (2017: 88,3 Mil­li­ar­den Dol­lar), Ten­denz stei­gend. Für 2021 pro­gnos­ti­zie­ren die Markt­for­scher ein Markt­vo­lu­men von 123,2 Mil­li­ar­den Dol­lar.

Vor die­sem Hin­ter­grund stän­den Moss zu­fol­ge vor al­lem Tech­no­lo­gie­an­bie­ter in der Pflicht, Pro­ble­me bei der In­for­ma­ti­ons­si­cher­heit pro­ak­tiv zu lö­sen. Die 20 welt­weit größ­ten und sys­tem­re­le­van­tes­ten Un­ter­neh­men, die bei­spiels­wei­se Be­triebs­sys­te­me oder Brow­ser an­bie­ten, könn­ten Si­cher­heits­stan­dards tat­säch­lich zum Bes­se­ren be­ein­flus­sen. Dem ste­he je­doch ei­ne re­ak­ti­ve Hal­tung in vie­len Fir­men ge­gen­über, kri­ti­siert Moss. Die­se mach­ten nur auf An­re­gung von Kun­den oder bei öf­fent­lich­keits­wirk­sa­men Da­ten­pan­nen ih­re Pro­duk­te si­che­rer und schlös­sen Lü­cken, die in­tern teil­wei­se be­reits seit ge­rau­mer Zeit be­kannt sei­en. Ähn­lich be­ur­teilt Sam Olya­ei, Prin­ci­pal Re­se­arch Ana­lyst Se­cu­ri­ty and Risk Ma­nage­ment bei Gart­ner, die La­ge: „Es gab seit je­her ei­ne kul­tu­rel­le Dis­kre­panz zwi­schen Un­ter­neh­mens­lei­tung und IT-Si­cher­heits-Pro­fis, die sich auf die na­tio­na­le Ebe­ne aus­ge­wei­tet hat.“Man brau­che mehr Col­la­bo­ra­ti­on-Mecha­nis­men zwi­schen den pri­va­ten, öf­fent­li­chen und aka­de­mi­schen Sek­to­ren, um die ge­ne­rel­le Cy­berSi­cher­heit zu ver­bes­sern.

Pa­ri­sa Ta­b­riz, Di­rec­tor of En­gi­nee­ring und Si­cher­heits­ex­per­tin bei Goog­le, prä­sen­tier­te in ih­rer Keyno­te auf der mitt­ler­wei­le 21. Aus­ga­be der Se­cu­ri­ty-Ver­an­stal­tung ei­ne Stra­te­gie für bes­se­re IT-Si­cher­heit und stell­te ein Pro­jekt des Un­ter­neh­mens für fir­men­über­grei­fen­de Zu­sam­men­ar­beit vor. An­statt die Ur­sa­chen schlech­ter IT-Si­cher­heit an der Wur­zel („Root cau­se“) zu be­he­ben, wür­den von Si­cher­heits­lü­cken häu­fig nur die Sym­pto­me be­kämpft, wenn sie sich zei­gen, kri­ti­sier­te Ta­b­riz. Für Si­cher­heits­pro­jek­te emp­fahl sie ei­ne Stra­te­gie in drei Schrit­ten:

Hin­ter­grün­de und Ratgeber rund um das The­ma IT-Se­cu­ri­ty fin­den Sie auf der Web­site der COMPUTERWOCHE un­ter: www.co­wo.de/p/332

1. Durch neu­tra­le Analyse das ur­säch­li­che Pro

blem iden­ti­fi­zie­ren. 2. Rea­lis­ti­sche Mei­len­stei­ne für den Lö­sungs

prozess set­zen und Er­fol­ge fei­ern. 3. Col­la­bo­ra­ti­on auch jen­seits des ei­ge­nen

Un­ter­neh­mens aus­bau­en. Im ers­ten Schritt sei es wich­tig, wirk­lich neu­tral zu ana­ly­sie­ren. Es müs­se die An­wen­der­sicht ein­ge­nom­men und so lan­ge nach der Ur­sa­che ge­bohrt und ver­meint­li­che Er­geb­nis­se hin­ter­fragt wer­den, bis man an der Wur­zel des Pro­blems an­ge­kom­men sei. Da­bei rät Ta­b­riz zu ei­ner so­ge­nann­ten „Fünf-W-Stra­te­gie“: Man sol­le bei der Un­ter­su­chung min­des­tens fünf­mal „War­um“fra­gen, wenn ei­ne ver­meint­li­che Ur­sa­che ent­deckt wer­de. Dar­un­ter fal­len Fra­gen wie: „War­um ha­ben wir die­se Schwach­stel­le bis­her nicht ent­deckt?“, „War­um sor­gen Pro­zes­se da­für, dass Schwach­stel­len so lan­ge un­ent­deckt blei­ben?“und „War­um ha­ben wir sol­che Pro­zes­se?“

Die­se Selbst­be­trach­tung und die dar­aus fol­gen­den Ve­rän­de­run­gen wür­den vie­ler­orts auf Wi­der­stand aus dem Ma­nage­ment sto­ßen, warnt die Goog­le-Ma­na­ge­rin. Da­von dür­fe man sich je­doch nicht be­ir­ren las­sen, son­dern müs­se mög­lichst vie­le Sta­ke­hol­der für sei­ne Sa­che ge­win­nen so­wie an­de­re Ab­tei­lun­gen in das Pro­jekt­team ein­be­zie­hen. Ha­be man grü­nes Licht für das Pro­jekt, ge­he die Ar­beit aber erst rich­tig los. Grund­le­gen­de Ve­rän­de­run­gen sei­en kom­plex und bräuch­ten Zeit, so dass die Ge­fahr be­ste­he, dass der Prozess sta­gniert und letz­ten En­des schei­tert. Da­her sol­le man im zwei­ten Schritt mög­lichst rea­lis­ti­sche Mei­len­stei­ne set­zen, um Er­folgs­er­leb­nis­se zu schaf­fen, die zum Wei­ter­ma­chen mo­ti­vie­ren. Zu­dem soll­te je­der Mei­len­stein ge­fei­ert wer­den. Bei Goog­le wur­den bei­spiels­wei­se the­ma­tisch pas­send de­ko­rier­te Ku­chen im Team ge­ba­cken und ge­mein­sam ge­ges­sen, oder die Mit­glie­der schrie­ben Hai­kus über ih­re Zie­le. Sol­che „wei­chen“Mo­ti­va­ti­ons­fak­to­ren sei­en un­ge­mein wich­tig für den Er­folg der Pro­jek­te.

Der letz­te und vi­el­leicht wich­tigs­te Schritt lie­ge im brei­ten Aus­bau der Col­la­bo­ra­ti­on. Je mehr Wis­sen und Er­fah­run­gen auch au­ßer­halb des ei­ge­nen Un­ter­neh­mens ge­tauscht wür­den, des­to grö­ßer sei der Nut­zen für al­le, so Ta­b­riz. Ge­gen im­mer kom­ple­xe­re Be­dro­hun­gen sei ein iso­lier­ter An­satz zum Schei­tern ver­ur­teilt. Trans­pa­renz und of­fe­ne Zu­sam­men­ar­beit sei­en die Grund­pfei­ler ei­ner Si­cher­heits­stra­te­gie, die mit den mo­der­nen Ge­fah­ren mit­hal­ten will.

Patch-Ra­te steigt deut­lich an

Als Lei­te­rin von Pro­ject Ze­ro, Googles Ana­lys­ten­team für Ze­ro-Day-Schwach­stel­len, konn­te Ta­b­riz schließ­lich auch auf Kenn­zah­len ver­wei­sen, die ih­ren Col­la­bo­ra­ti­on-An­satz un­ter­mau­ern. Seit der Grün­dung des Teams im Jahr 2014 sei die Patch-Ra­te für ge­fun­de­ne Schwach­stel­len durch die be­trof­fe­nen An­bie­ter in­ner­halb des ge­ge­be­nen Zeit­li­mits von 25 auf 98 Pro­zent an­ge­stie­gen.

Die Auf­ga­be des Teams ist es, Soft­ware, die von Googles An­wen­dern ge­nutzt wird, auf Schwach­stel­len zu un­ter­su­chen. Dar­un­ter fal­len so­wohl ei­ge­ne Pro­duk­te als auch die von Dritt­an­bie­tern. Wird ein Bug ent­deckt, in­for­miert das Team den An­bie­ter. Die­ser hat dann 90 Ta­ge Zeit, den Feh­ler zu be­he­ben. Nach Ablauf die­ser Frist oder nach er­folg­rei­chem Patch wird die Schwach­stel­le öf­fent­lich ge­macht.

Pa­ri­sa Ta­b­riz, Di­rec­tor of En­gi­nee­ring und Si­cher­heits­ex­per­tin bei Goog­le, for­der­te auf der dies­jäh­ri­gen Black Hat mehr ge­mein­sa­me An­stren­gun­gen, um der wach­sen­den Be­dro­hun­gen Herr zu wer­den. Gart­ner-Ana­lyst Sam Olya­ei sieht ei­nen sol­chen An­satz po­si­tiv, denn „es gibt Grün­de, die für den Auf­bau von Col­la­bo­ra­ti­on-Teams spre­chen, die sich auf all­ge­mei­ne Be­dro­hun­gen fo­kus­sie­ren, die die ge­sam­te Bran­che be­tref­fen“. Dies sei auch nicht den Bran­chen­rie­sen vor­be­hal­ten. Grö­ße­re Kon­sor­ti­en sei­en wahr­schein­lich am ef­fek­tivs­ten, aber auch kleine­re Un­ter­neh­men könn­ten von Re­ports und Mecha­nis­men zum In­for­ma­ti­ons­aus­tausch pro­fi­tie­ren.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.