Endpunkte
Sicherheitsmythen: Wir sind sicher – Red Teaming unn?tig
Viele Unternehmen halten sich für sicherheitstechnisch gut versorgt und lehnen Red Teaming, also fingierte Angriffe auf die eigenen Systeme, ab. Ein gro?er Fehler, sagt unser Autor, und auch mit Cyberversicherungen ist nicht automatisch zu rechnen.
Save to Folio
Das BSI empfiehlt, 20% aller IT-Ausgaben in die Sicherheit zu investieren. Das klingt nach viel Geld. (Noch vor wenigen Jahren waren es in Deutschland unter 10%). Und wenn Gesch?ftsleute investieren, soll es sich auch lohnen - keine Frage. Aber tut es das wirklich? Leider allzu oft, nein! Denn mit der Umsetzung beauftragte Eink?ufer treffen auf Horden von Sicherheitsberatern, die alle natürlich die jeweils beste L?sung kennen und implementieren wollen.
Aber unabh?ngig von der tats?chlichen Qualit?t der ausgew?hlten L?sung gibt es dann noch Risikofaktoren, welche die meisten nicht richtig einsch?tzen k?nnen. Dazu geh?rt das psychische Durchhalteverm?gen in einer Stresssituation oder die konkrete Umsetzung der in der Theorie oft einfach klingenden Prozesse. Schon 1890 nahm der damalige Feldmarschall Helmuth von Moltke das Problem vorweg, als er sagte: ?Kein Plan überlebt den ersten Feindkontakt.“ Das gilt leider auch in der IT-Sicherheit.
Deshalb ist es wichtig, abgesehen vom Einsatz einer hochwertigen L?sung Erfahrungen zu sammeln und die Realit?t, so gut es geht nachzustellen. Im Compliance-Jargon nennt sich das dann ?Threat Lead Penetration Testing“. Das schreibt zumindest Finanzinstituten die zwingend vor. Gemeint ist dabei beispielsweise Red oder Purple Teaming. Für diesen Vorgang werden ethische Hacker damit beauftragt, das eigene Unternehmen ?anzugreifen“. Man testet dadurch die Prozesse im Unternehmen und trainiert die F?higkeiten, die im Ernstfall ben?tigt werden. So etwa, ob die eigene IT-Security-Abteilung überhaupt in der Lage ist, einen solchen Angriff zu bestehen.
Auch wenn dies in vielen F?llen eher nicht der Fall ist, lehnen Verantwortliche Red Teaming ab, denn man m?chte die Mitarbeiter nicht noch zus?tzlich belasten, sie seien ?ohnehin an der Grenze“. Erst wenn die ausstehenden Stellen nachbesetzt sind… Hoffen wir mal, dass auch die Angreifer so fair sind und den Einstellungs- und Ausbildungsprozess abwarten.
Tun sie das nicht, auch kein Problem, denn
?Wenn etwas passiert, zahlt doch sowieso die Cyberversicherung!”.
Ja, auch diese Einstellung gibt es. Sie ist zwar bei Neuabschlüssen nicht mehr so verbreitet, sondern eher bei historischen Kunden. Und dafür haben die Versicherungen auch geh?rig Lehrgeld bezahlt – w?rtlich gemeint. Denn die ersten Cyberversicherungen hatten in der Tat kaum Einschr?nkungen.
Das ist heute anders. Eine Police bekommt nur, wer auch die inzwischen erh?hten Anforderungen an die Sicherheit erfüllt. Auch wenn der Versicherungsnehmer dies nachweislich tut, ist die Auszahlung im Schadenfall trotzdem eingeschr?nkt. Die Kosten eines Cyber- vor allem Ransomware-Angriffs sind oft deutlich h?her als das, was versicherungstechnisch übernommen wird. Es kommen n?mlich noch Ausfallzeiten, Rufschaden, Wiederherstellungs- und Kommunikationsausgaben neben dem geforderten L?segeld hinzu. Und diese sind meist schwer zu bemessen oder nachzuweisen. Sie werden deshalb in der Policy ?gedeckelt“, wenn sie überhaupt berücksichtigt werden.
Dennoch sind Cyberversicherungen natürlich nützlich und hilfreich. Im Incident Response-Fall sind Mitarbeiter von Unternehmen mit einer Versicherung deutlich entspannter als solche ohne. Da psychologische Faktoren in einer Ausnahmesituation keinesfalls ignoriert werden sollten – siehe die die Gründe für Red Teaming -- ist das nicht despektierlich gemeint.
Nichtsdestotrotz verhindert eine Versicherung keinen Angriff. Und sp?testens wenn einer stattgefunden hat, werden die entsprechenden Beitr?ge auch spürbar angehoben. Das Ziel bleibt deshalb, den Angriff zu verhindern und passiert er dennoch, die Auswirkungen sowohl IT-technisch als auch psychologisch niedrig zu halten.
Im n?chsten Beitrag unserer ?Aufkl?rungsreihe“ der Sicherheitsmythen wird es um die Glaubenss?tze ?Gegen staatliche Angreifer haben wir keine Chance“ und ?Ransomware ist die erfolgreichste cyberkriminelle Angriffsmethode“ gehen.