Den Kreislauf durchbrechen: Den Wandel in der Cybersicherheitspraxis annehmen
Als ich vor ein paar Tagen meinen Cybersecurity-Newsfeed überprüfte, wurde auf einem Account, der Geschichten aus vergangenen Jahren (wieder-)veröffentlichte ein Ereignis Ende 2000 (das tatsächliche Jahr 2000, nicht das Jahrzehnt) hervorgehoben, an dem Microsoft und ein Hack beteiligt waren, der das Unternehmen betraf. Diese Sicherheitslücke war insofern bemerkenswert, als Microsoft 10 Wochen zuvor ein Patch für die betreffende Schwachstelle herausgegeben, es aber versäumt hatte, es auf seinen eigenen Servern anzuwenden.
Dieser Vorfall, der Jahrzehnte zurückliegt, spiegelt ein Problem wider, das auch heute noch vorherrscht: die mangelnde Bereitschaft von IT-Teams, sich anzupassen und weiterzuentwickeln, obwohl die Herausforderungen im Bereich der Cybersicherheit noch nie so hoch waren. IT-Teams und Cybersicherheitsexperten sind oft in einem Kreislauf aus veralteten Praktiken und tief verwurzelten Prozessen gefangen, die für die aktuelle Landschaft einfach zu langsam sind - (un-)ironischerweise ähnlich wie vor 23 Jahren, als ein niederländischer Hacker eine Schwachstelle im Microsoft-Netzwerk ausnutzte.
Der Kontext
Im November 2000 wurde eine Website, die auf einem Microsoft-Server lief, verunstaltet. In der Tat, war dies das dritte Mal innerhalb von nur zwei Wochen, dass dies geschah. Dieses Mal war es anders, denn der niederländische Hacker sorgte dafür, die Presse zu alarmieren und das Ereignis öffentlich zu machen - man bedenke, dass dies vor dem Phänomen der sozialen Netzwerke geschah - und prahlte damit, dass er jedes Mal dieselbe Schwachstelle ausnutzte.
Microsoft-Vertreter bestätigten das Problem, konnten aber nicht erklären, warum das zugrunde liegende Problem noch nicht behoben worden war. Es handelte sich um eine bekannte Sicherheitslücke, für die ein Patch von Microsoft selbst zur Verfügung stand, und den Kunden wurde (dringend) empfohlen, sie auf ihren eigenen IIS-Servern zu implementieren.
Die Gefahren der Stagnation
Spulen Sie 23 Jahre vor, und heute ist alles viel besser, und niemand ist mit dem Patchen im Rückstand, wie es in dieser Geschichte heißt, oder? Oh, warte...
- Zunehmende Bedrohungsakteure und Raffinesse: In den letzten zwei Jahrzehnten haben die Anzahl und die Raffinesse der Bedrohungsakteure exponentiell zugenommen. Im Gegensatz zu den Anfängen des Internets sind die Angreifer von heute oft Teil von gut finanzierten und hoch qualifizierten Organisationen, einschließlich staatlich unterstützter Gruppen. Diese Entwicklung erfordert eine entsprechende Weiterentwicklung unserer Verteidigungsstrategien.
- Schnellere Verbreitung von Informationen: Dank sozialer Medien und verschiedener Online-Plattformen verbreiten sich Informationen über Sicherheitslücken heute in einem noch nie dagewesenen Tempo. Diese schnelle Verbreitung bedeutet, dass Bedrohungsakteure Schwachstellen früher nach ihrer Entdeckung ausnutzen können, wodurch sich das Zeitfenster für Patches verkürzt.
- Höhere Risiken bei Sicherheitsverstößen: Der potenzielle Schaden durch erfolgreiche Sicherheitsverletzungen ist in die Höhe geschnellt. Da immer mehr Daten online sind und Unternehmen stark von der digitalen Infrastruktur abhängen, sind die finanziellen und rufschädigenden Folgen einer Sicherheitsverletzung schwerwiegend. Dieses für Angreifer lukrativere Szenario macht es zwingend erforderlich, dass die Abwehrmaßnahmen robuster und proaktiver werden. Es geht nicht mehr nur um die Verunstaltung von Websites - auch wenn das immer noch vorkommt -, sondern um Datendiebstahl, Lösegeld und viel größere finanzielle Verluste als früher.
- Unzureichende Regulierungs- und Compliance-Maßnahmen: Die derzeitigen Vorschriften und Compliance-Standards, wie der oft zitierte Zeitrahmen von einem Monat für die Behebung neuer Schwachstellen, sind veraltet. Sie spiegeln nicht die Dringlichkeit wider, die in der heutigen schnelllebigen Bedrohungslage erforderlich ist, in der Verzögerungen katastrophale Folgen haben können.
- Technologische Fortschritte beim Patching: Die Ironie ist, dass sich zwar die Bedrohungen weiterentwickelt haben, aber auch die Lösungen. Technologien wie Live-Patching bieten effizientere und weniger störende Möglichkeiten, um Systeme sicher zu halten. Die Einführung solcher Technologien erfolgt jedoch nur langsam und wird oft durch den Widerstand gegen Veränderungen behindert.
Es ist sehr einfach zu erkennen, dass all diese Punkte allgemein bekannt sind. Schwerer zu verstehen ist jedoch, warum die Unternehmen diese Punkte immer noch nicht angemessen berücksichtigen, wie die zahlreichen Vorfälle zeigen, bei denen die Ursachen auf etwas so Vermeidbares wie ein nicht rechtzeitig aufgespieltes Patch zurückgeführt werden können.
Log4j war eine der schlimmsten Sicherheitslücken, die die IT-Welt in den letzten Jahren heimgesucht haben. Sie hat die Aufmerksamkeit der Mainstream-Medien auf sich gezogen, und bis heute gibt es immer noch Systeme, die anfällig für diese Lücke sind, was durch öffentliche Scanning-Dienste im Internet leicht zu erkennen ist.
Die Wurzel des Widerstands
- Kulturelle Trägheit: Die Cybersicherheitsbranche kann, wie viele andere Branchen auch, aufgrund tief verwurzelter kultureller Praktiken resistent gegen Veränderungen sein. Diese Trägheit führt dazu, dass dieselben Prozesse wiederholt werden, selbst wenn sie nicht mehr effektiv sind.
- Abneigung gegen Veränderungen: Veränderungen werden oft als risikoreich oder beschwerlich empfunden, vor allem wenn es darum geht, neue Technologien zu erlernen oder bestehende Verfahren zu ändern. Diese natürliche Abneigung ist ein erhebliches Hindernis für die Einführung wirksamerer Cybersicherheitsmaßnahmen.
- Operative Herausforderungen: Die Implementierung neuer Technologien oder Prozesse kann als eine entmutigende Aufgabe angesehen werden, die Zeit, Ressourcen und Schulungen erfordert, die viele Unternehmen nicht aufbringen zu können glauben.
Die dringende Notwendigkeit, die Praktiken weiterzuentwickeln
Die Geschichte von vor 23 Jahren ist eine bekannte Erinnerung an die Gefahren der Selbstzufriedenheit im Bereich der Cybersicherheit. Als Fachleute in diesem Bereich können wir es uns nicht leisten, uns mit dem Status quo zufrieden zu geben. Die Landschaft hat sich dramatisch verändert, und unsere Strategien müssen sich entsprechend weiterentwickeln. Es ist an der Zeit, den Kreislauf veralteter Praktiken zu durchbrechen und Innovationen zu fördern, nicht nur im Hinblick auf die Einhaltung von Vorschriften, sondern auch auf die echte Sicherheit unserer digitalen Infrastrukturen.
Die Zukunft der Cybersicherheit hängt von unserer Fähigkeit ab, aus der Vergangenheit zu lernen und uns auf die Zukunft einzustellen. Schließlich ist der rasche Wandel eher die Norm als die Ausnahme. Es ist an der Zeit, dass wir uns nicht mehr von einem Vorfall im Bereich der Cybersicherheit überraschen lassen, sondern effektiv daran arbeiten, ihn von vornherein zu verhindern.