Cybersicherheit ist nach dem Klimawandel die größte Sorge der Menschheit. Mit dieser Erkenntnis kam Lothar Renner, Managing Director Cybersecurity bei Cisco, vom Weltwirtschaftsforum in Davos zur Cisco Live nach Barcelona. In der IT müsse daher ein Umdenken stattfinden: Die einmalige Authentifizierung am Beginn einer Session rechtfertige bei weitem nicht mehr das Vertrauen, das heute in der Regel bis zum Ende der Session gewährt wird. Cyberräume sollten grundsätzlich als unsicher gelten und Identitäten und Verhalten kontinuierlich überprüft werden.

IT-Sicherheit sei nicht nur Sache der CISOs, sondern auch eine organisatorische Angelegenheit von Vorstandsmitgliedern und Interessenvertretern. Die mangelnde Kommunikation und Unterstützung zwischen diesen beiden Personenkreisen ist laut Renner einer der Hauptgründe, warum eine adäquate Security-Kultur heute in viel zu wenigen Unternehmen gelebt wird. Aber auch aus der Anfangszeit der IT stammende und lange geübte Authentifizierungsmethoden bilden einen massiven Stolperstein in der Sicherheit: Username und Passwort hätten in alten Infrastrukturen ganz gut funktioniert, in modernen Netzwerken sei dieses Verfahren allerdings völlig unzureichend. Aus Bequemlichkeit nutzen viele noch einfache Standardpasswörter, die etwa in Form von „Hitlisten“ überall im Internet zugänglich sind – und dann auch noch als Passwort für mehrere Accounts zum Einsatz kommen. So bekämen Angreifer mit nur einem Passwort überall im Umfeld des Opfers Zugang. Aber auch starke Passwörter bilden keinen zuverlässigen Schutz: Einfache Attacken wie etwa Man-in-the-Middle erlauben Kriminellen, jegliches Passwort abzugreifen.

Als dritten gravierenden Schwachpunkt in der Cybersecurity sieht Renner den ausufernden Wildwuchs an Security-Produkten. Die meisten erfüllten einen ganz bestimmten Zweck und lösten damit nur ein Problem oder Problemkreis in Sachen Verteidigung. Informationsaustausch mit anderen Produkten fände kaum statt – und wenn dann meist nur, wenn es sich um Produkte des gleichen Herstellers handelt. Die Folge sei ein bunter Strauß nicht integrierter Security-Controls in einer extrem zerklüfteten und komplexen IT-Landschaft. Cisco löse dieses Problem mit einem sehr übersichtlichen Portfolio an unterschiedlichen Security-Produkten, das über die Cisco Talos-Cloud nicht nur untereinander Informationen abgleicht, sondern von den langjährigen Erfahrungen aller Nutzer der Talos-Cloud profitiert.

„Wenn die Security-Controls so schwierig sind, dass die Mitarbeiter das Gefühl haben, sie müssten um sie herum arbeiten, um ihre Arbeit zu erledigen, wie können wir dann erwarten, dass sie zum Schutz ihrer Organisationen beitragen?, fragte Wendy Nather, Head of Advisory CISOs bei Cisco Security. Bild: Stefan Mutschler

Am wichtigsten sei aber ein Paradigmenwechsel in der IT-Sicherheit. Unternehmen müssten mit Unsicherheit leben und Risiken angemessen managen. Als mentale Hilfestellung empfiehlt Wendy Nather, Head of Advisory CISOs bei Cisco Security, sich das eigene Unternehmen als angesagten Club vorzustellen. Die Verantwortung für angenehme Gäste allein dem Türsteher zu überlassen, sei „old school“. Vielmehr müsse auch der Bartender – obwohl grundsätzlich auf kundenfreundliche Bedienung bedacht – die Situation im Club stets im Auge haben und bei Bedarf sofort den Alarmknopf drücken. Dazu schlägt Nather verschiedene Maßnahmen vor. Um die Vertrauenswürdigkeit der Belegschaft zu sichern, empfiehlt sie:

  • Überprüfen, ob ein Benutzer derjenige ist, für den er sich ausgibt,
  • Sicherstellen, dass Nutzer nur Zugang zu den Anwendungen haben, die sie benötigen, und
  • Sicherstellen, dass die verwendeten Geräte der Nutzer sicher und vertrauenswürdig sind.

Um die Vertrauenswürdigkeit der Arbeitslasten zu sichern, schlägt Nather folgende Maßnahmen vor:

  • Laufenden Anwendungen zu identifizieren,
  • zu klären, wie Anwendungen und Daten miteinander kommunizieren, und
  • zu überprüfen, ob die Kommunikation zwischen den Arbeitslasten sicher und vertrauenswürdig ist

Damit Unternehmen die Vertrauenswürdigkeit ihrer Arbeitsplätze absichern können, sollten sie sicherstellen, dass Benutzer und Geräte sich vor der Verbindung mit dem Netzwerk authentifizieren müssen, und verfolgen, in welche Daten ihnen Einsicht gewährt wird.

Schlüsselergebnisse der Cisco-Sicherheitsumfrage

Nather hat in diesem Kontext die Ergebnisse einer aktuellen Umfrage vorgestellt, für die Cisco 2.000 Fachleute aus 19 Ländern in Europa, dem Nahen Osten, Afrika und Russland (EMEAR) befragt hat, um ihr Bewusstsein und ihre Einstellung zur Cybersicherheit zu verstehen. Die wichtigsten Resultate lauten:

  1. 77 Prozent der befragten EMEAR-Fachleute sind der Meinung, dass sie Sicherheitssysteme oft oder zumindest von Zeit zu Zeit umgehen müssen, um ihre Arbeit zu erledigen (Deutschland: 85 Prozent). Nur 23 Prozent haben nie das Bedürfnis, Sicherheitssysteme zu umgehen (Deutschland: 15 Prozent).
  2. Jüngere Generationen scheinen eher bereit zu sein, Sicherheitssysteme zu umgehen (die Wahrscheinlichkeit nimmt mit zunehmender Altersgruppe allmählich ab); dies spiegelt möglicherweise die sich verändernde Dynamik einer sich modernisierenden Arbeitnehmerschaft wider.
  3. Ein Fünftel (20 Prozent) der Befragten war sich nicht eines einzigen Sicherheitsproblems oder einer einzigen Bedrohung bewusst, mit dem oder der ihre Organisation schon konfrontiert war. Das ist ein klares Zeichen für eklatanten Mangel an Security-Awareness.

„Diese Ergebnisse zeigen, wie wichtig die Benutzerfreundlichkeit in der Sicherheit ist“, bekräftigte Nather. „Wenn die Security-Controls so schwierig sind, dass die Mitarbeiter das Gefühl haben, sie müssten um sie herum arbeiten, um ihre Arbeit zu erledigen, wie können wir dann erwarten, dass sie zum Schutz ihrer Organisationen beitragen, vor allem wenn sie die Bedrohungen, denen sie ausgesetzt sind, nicht einmal kennen? Ein Schritt, den wir heute unternehmen können, ist die Einführung einer ‚Null-Vertrauen‘-Sicherheit, die ihnen eine vereinfachte, konsistente Erfahrung bietet, egal wo sie arbeiten.“

Stefan Mutschler.