Vom Üben, Messen und Verbessern

Cybersecurity

Man kann nur verbessern, was man testen, messen und vergleichen kann – dazu ist ein stringentes Übungs- und Testkonzept nötig, das auch dort agiert, wo es "wehtut". Die Angst vor zu "harten" Tests führt jedoch oft zu Lücken in den Konzepten.

Hannes P. Lubich, Berater und Partner, Ad Vantis Innovation, emeritierter Professor. (Source: zVg)

Es ist weitgehend unbestritten, dass es angesichts wachsender Bedrohungen und der Zunahme der Angriffspfade durch neue komplexe Systeme, IT-/OT-Integrationen und die Nutzung externer IT-Dienste usw. wichtig ist, Schwachstellen vor einem Angriff zu entdecken, die eigene Reaktionsfähigkeit zu stärken und rasch die nötigen Verbesserungen vorzunehmen.

In der Umsetzung bestehen jedoch oft erhebliche Lücken und Bedenken, einerseits wegen des Aufbaus entsprechender Kompetenzen und der nötigen Ressourcen, andererseits wegen Ängsten, dass zu "harte" Tests und Übungen den eigenen Betrieb zu sehr stören könnten, oder dass gefundene Schwachstellen wegen fehlender Mittel nicht behoben werden können und die IT beziehungsweise das Management auf diesen Risiken "sitzenbleibt".

Wird in solchen Umgebungen im Rahmen der Qualitätssicherung oder der Informationssicherheit dennoch getestet und geübt, geschieht dies oft in der "Komfortzone" von Szenarien, bei denen der Erfolg als sehr wahrscheinlich gilt. Eine Übung in diesem Denkmodell war dann "erfolgreich", wenn sie ohne Befunde und minimal invasiv durchgeführt wurde.

Dieses Denken ist unter hohem Produktions- und Kostendruck zwar nachvollziehbar, nützt dem Unternehmen jedoch wenig. Ein erfolgreicher Test findet Verbesserungspotenzial, verursacht jedoch Aufwand für die Behebung eines möglichen Übungsschadens wie auch der eigentlichen Schwachstelle.

Was Testszenarien umfassen müssen

Die Rahmenbedingungen für angemessene Tests und Übungen sind also klar zu definieren und mit den nötigen Kompetenzen und Ressourcen für die Definition und Anwendung realistischer Szenarien zu versehen. Dabei ist klar, dass dies immer im Spannungsfeld zwischen Realitätstreue und Machbarkeit geschieht – niemand wird einen Tag vor Jahresabschluss zu Testzwecken das eigene Rechenzentrum anzünden. Die Summe der Szenarien muss dabei alle Angriffspfade und die entsprechenden technischen, organisatorischen und administrativen Massnahmen abdecken, jedoch mit Fokus auf diejenigen Testobjekte, die entweder als kritisch für den Betrieb gelten oder bei denen bereits ein "Anfangsverdacht" auf Schwachstellen besteht.

Die Szenarien müssen also einerseits organisatorische Elemente wie das Sicherheitsbewusstsein der Mitarbeitenden, das ordnungsgemässe Funktionieren der Vorfallserkennung, die Alarmierung, die korrekte Bewertung des Lagebildes, die Arbeit des Krisenstabs und das Funktionieren der Massnahmen für den Notbetrieb und die Rückkehr zum Regelbetrieb umfassen. Andererseits müssen regelmässige technische Eindringtests durchgeführt werden. Da diese jedoch nur periodisch durchgeführt werden und von der Annahme ausgehen, dass der Angreifer noch nicht in die eigenen Systeme vorgedrungen ist, empfiehlt es sich, diese Tests durch die kontinuierliche Überwachung auf erfolgreiches Eindringen durch "Breach and Attack Simulation"-Dienste (BAS) zu ergänzen. Einerseits verkürzt dies die Erkennungs- und Reaktionszeit erheblich, andererseits wird festgestellt, ob ein erfolgreicher Angriff und die laterale Ausbreitung des Angreifers in der eigenen IT-Umgebung rasch genug erkannt und verhindert würden.

Nur gute Vorbereitung schützt in komplexen Umgebungen vor Schäden. Das stringente Testen und Üben ausserhalb der "Komfortzone" ist ein wesentlicher Bestandteil dieses Verteidigungsdispositivs.