Von richtiger und falscher Sicherheit
Eine Welle von Cyberangriffen im Jahr 2021 hat erhebliche Aktivitäten in potenziell gefährdeten Firmen ausgelöst - es ist jedoch fraglich, ob immer die richtigen Massnahmen ergriffen wurden.
Die schadensintensive und öffentlichkeitswirksame digitale Angriffs- und Erpressungswelle von 2021 hat Spuren hinterlassen. Spuren bei den erfolgreich angegriffenen Organisationen, die neben den direkten und indirekten Kosten auch Reputationsrisiken bewältigen mussten. Spuren bei Informatik-Abteilungen und externen Dienstleistern, die in teils mühevoller Kleinarbeit Lösegeldverhandlungen geführt, Schäden und Angriffswege identifiziert und geschlossen sowie umfangreiche "Aufräumarbeiten" und Datenwiderherstellungen geleistet haben. Aber auch Spuren in der Politik und Gesellschaft, die nun nach Lösungen sucht, ohne allzu prohibitive Kosten, zu einschränkende gesetzliche Schnellschüsse (z.B. Verbote kryptologischer Währungen) oder die Konkurrenzierung privater Sicherheitsdienstleister durch staatliche und hoheitliche Aufgabenträger.
Zudem haben viele Unternehmen entschieden, kurzfristig weitere Schutzmassnahmen gegen diese 2022 weiter intensiv laufende Angriffswelle zu ergreifen. Besonders populär sind hierbei "Ad-hoc-Untersuchungen" durch externe Dienstleister, die entweder durch externes "Penetration Testing" oder durch einen Mix aus einer Analyse der vorhandenen Sicherheitsdokumentation, Prozesse, Rollen usw., der Analyse der installierten beziehungsweise fremd-genutzten ICT-Umgebungen und dem Durchspielen von Angriffsszenarien Schwachstellen eruieren sollen. Ebenso populär sind "Awareness"-Massnahmen auf verschiedenen Stufen sowie die Beschaffung gegebenenfalls extern betriebener zusätzlicher Sicherheits- und Überwachungsinstrumentarien bis hin zu einem durchgehend verfügbaren "Security Operations Center".
So sinnvoll diese "Bausteine" für ein übergreifendes Risikomanagement und ein wohldokumentiertes, geschultes und erprobtes Krisen- und Sicherheitsdispositiv sein mögen – als "Ad-hoc-Massnahmen" ohne tiefere Einbettung in die relevanten Entscheidungs-, Investitions-, Veränderungs- und Betriebsprozesse können sie zu teuren und (zumindest in nachträglicher Sicht und Einsicht) wenig nutzbringenden Investitionen werden, denn noch immer bestimmt in einem wirtschaftlich und politisch angespannten Umfeld, einem ausgetrockneten und zuweilen bereits überteuerten Markt für IT-Fachspezialisten und der Notwendigkeit, für den wirtschaftlichen Erfolg durchaus auch Risiken einzugehen, das eher kurzfristige, von Quartalsumsätzen und kurzfristigen Erwartungen geprägte Denken. Die Informationssicherheit soll hier also oft nur einen "quick fix" anbieten, ohne dass die aufwändige Analyse und Behebung der eigentlichen Ursachen an die Hand genommen werden.
Da in einem solchen Umfeld das "richtige" Mass an Sicherheit kaum festzulegen oder aufrechtzuerhalten ist, werden derartig kurzfristig beauftragte Sicherheitsmassnahmen zwar die Umsätze der Anbieter steigern, jedoch gegebenenfalls auch dazu führen, ein falsches Sicherheitsgefühl bei den Entscheidungsträgern zu erzeugen, zwangläufig verbunden mit einem hohen Mass an Enttäuschung, wenn diese Massnahmen dann einen Angriff doch nicht verhindern konnten. In diesem Sinne sei allen Organisationen angeraten, die entsprechenden Vorhaben nicht nur auf kurzfristige Effektivität und Effizienz, sondern auf langfristige Wirksamkeit und wirkliches Veränderungspotenzial auszulegen und entsprechend umzusetzen.
Ständerat will ein Impulsprogramm für digitale Souveränität
Wurm mit Heisshunger auf Open-Source-Ökosysteme wird selbst Open Source
Wie Cyberkriminelle die Fussball-WM als Köder einsetzen
Exclusive Networks lanciert IT-Sicherheits-Angebot mit Netskope
Cyberkriminelle nutzen kritische Ivanti-Lücke aus
Elmo im Teilchenbeschleuniger
Remcos RAT setzt auf DonutLoader: Neue Angriffskette entdeckt
Betrüger locken mit angeblicher AHV-Ergänzungsleistung
Unbefugte greifen auf Daten in Servicenow-Instanzen zu
