Warum es eine Renaissance der Prävention braucht

Es ist fast schon beängstigend zu lesen, dass sich 59 % der deutschen Wirtschaft durch Cyberangriffe in ihren Grundfesten bedroht fühlen, wie in der in diesem Monat erschienenen Bitkom-Studie zu lesen ist.

Davon halten sich nur die Hälfte für angemessen vorbereitet. 

Zahlen, die im Kontext der geleisteten Anstrengungen nur schwer verdaulich sind. Denn seit 2022 hat sich der prozentuale Anteil der IT-Sicherheitsausgaben am IT-Gesamtbudget von 9 % auf 18 % verdoppelt.

Trotz dieses “Mehr” an Anstrengung und Ausgaben, dürfen wir trotzdem kein “Weniger” an Schaden bilanzieren – ganz im Gegenteil. Die Schadenssummen sind weiter gestiegen, genauso wie der Anteil der Cyberangriffe am Gesamtschaden. Alarmierend. 

Und nun?

Natürlich wirft dies die Frage auf, was man tun kann. Und selbstverständlich ist es vernünftig, das Thema IT-Sicherheit weiter in das gesellschaftliche und politische Zentrum zu bewegen sowie Investitionen in den wirksamen Schutz deutscher Unternehmen voranzutreiben. 

Ein wesentlicher Aspekt innerhalb dieser Diskussion scheint mir an dieser Stelle allerdings deutlich zu kurz zu kommen: In welche Bereiche sich denn sinnvollerweise diese Investitionen in IT-Sicherheit heute und in Zukunft bewegen sollten? 

Unabhängig von Lösung und Anbieter, muss Cybersicherheit als aktive Maßnahme betrachtet und wieder intensiv über Prävention nachgedacht werden. Ja, Vorsorge! Ein Begriff, der seit vielen Jahren aus dem Vokabular der Cybersecurity komplett verschwunden ist. 

Und hier mag am Ende auch die Psychologie eine Rolle spielen. Prävention als Disziplin ist auch vordergründig erst einmal weniger spannend, als dem bereits eingedrungenen Feind Angesicht zu Angesicht gegenüberzutreten. 

Sichtbarkeit und Stillstand

Wir haben uns in den letzten Jahren mit dem völlig idealisierten Wunsch nach unbegrenzter Sichtbarkeit in die hinterste Ecke drängen lassen. Wir werden von Details erschlagen und sind kaum noch in der Lage, überhaupt etwas mit der gewonnenen Sichtbarkeit anzufangen. 

Eine Erkenntnis ohne die Möglichkeit, dieser auch eine Aktion folgen zu lassen, ist gemeinhin wertlos.

Es braucht eine Renaissance der Prävention, weil wir einfach nicht alles am Ende des Angriffszyklus “rauskratzen” können. Wir müssen Cybersicherheit wieder “linearisieren” und dafür sorgen, dass Angriffe bzw. Infektionen sich in diesem Maße erst gar nicht in unseren Unternehmen festsetzen können. Wir brauchen eine Art digitalen Lotuseffekt, der ganz am Anfang greift und dafür sorgt, dass potenzielle Infektionen regelrecht abtropfen. 

Offene Fenster

Nicht gepatchte Systeme sowie Fehlkonfigurationen sind nach wie vor die Hauptgründe, warum überhaupt ein Angriff erfolgreich durchgeführt werden kann. Wenn das Fenster offensteht, dann hat es der Kriminelle sehr, sehr einfach, sein Werk zu vollbringen. Ist dieses Fenster gar im Erdgeschoss, also leicht erreichbar (hohe Kritikalität) und ist bereits öffentlich bekannt, dass dort ein einfach zu erreichendes Fenster offensteht (vorhandener Exploit), dann braucht sich niemand wundern, dass dieser “Einladung” beherzt gefolgt wird. 

Und ja, vielleicht blinkt ja irgendwo, irgendwann ein Alarm auf, aber dann ist es – wie gesagt – meist schon zu spät. 

Um Schwachstellen und Fehlkonfigurationen wirksam begegnen zu können bedarf es im Wesentlichen zweier wichtiger Maßnahmen:

1. Klare Verantwortlichkeiten

Es ist nach wie vor Realität, dass viele Projekte, die sich im Bereich Schwachstellenmanagement und -behebung bewegen, daran kranken, dass nicht wirklich klar ist, wer nun für das jeweilige zu aktualisierende System zuständig ist. Oder anders: Ein Fenster steht offen und die Sicherheitsabteilung kann dies genau verorten und nachvollziehen, doch es ist nicht klar, an wen nun die Anweisung formuliert werden kann, dies bitte zu schließen und wie dies am effektivsten umzusetzen ist. 

2. Fokus auf die Lösung des Problems

Dazu gehört die wirksame und nachvollziehbare Priorisierung als ein wesentlicher Aspekt, damit das jeweilige Augenmerk auf die für die individuelle Organisation wichtigen Dinge gelenkt wird. Und natürlich der “Remediation-Prozess” selbst, der sich wie eine natürliche Handbewegung anfühlen sollte, und an der richtigen Stelle, in der richtigen Sprache für alle nachvollziehbar und revisionssicher zur nachhaltigen Auflösung der jeweiligen Schwachstelle führt. Ganz ohne langwieriges, manuelles Eingreifen.

Am Ende ist Cybersicherheit wie Fußball: Verteidigung fängt nun mal im Sturm an.