Dr. Karsten Nohl | Autobahn Security GmbH
Karsten Nohl ist Hacking-Experte und Gründer von Autobahn Security in Berlin. Karsten schafft Bewusst sein für Cybersicherheit – durch Hacking-Forschung und -Beratung. Dabei fasziniert ihn besonders der Zielkonflikt zwischen Security und Innovation.
Das Thema Hacking ist ein Garant für spannende Hollywood-Filme. In der echten Welt kommen wir bei der entsprechenden Prävention jedoch kaum voran. Beides aus dem gleichen Grund: Das Vorgehen von Hackern scheint mysteriös, weil die meisten so wenig dazu wissen. Die Gefühle schwanken zwischen Nervenkitzel für die einen und ständiger Furcht für die anderen, das nächste Opfer zu werden.
Letztere schlägt in Firmen oft in Lethargie um: „Die Hacker gewinnen eh immer.“ Diese Einstellung könnte von den Tatsachen nicht weiter entfernt sein: Firmen verzeichnen jeden Tag Hacking-Versuche und dennoch werden fast alle Firmen an fast allen Tagen nicht gehackt.
Um mit Cyberrisiken souveräner umzugehen, müssen Tatsachen die Strategie bestimmen. Diese Abkehr von irrationalen Ängsten ist in anderen Risikobereichen bereits gelungen, zum Beispiel beim Wett lauf mit biologischen Viren. Obwohl die Forschung biologische Organismen nur im Ansatz versteht, wurde das Risiko vieler Krankheiten durch Diagnostik, Immunisierung und Behandlung erfolgreich verringert.
Technische Systeme und Organisationen sind hoch komplex, aber längst nicht so komplex wie biologische Organismen. Wer eine Chance sieht, das Risiko von Krankheiten aktiv zu beeinflussen, kann beim Thema Cyberabwehr nicht das Handtuch werfen. Der erste Schritt auf diesem Weg: Durch ständiges Messen und dezentral organisierte Verbesserung – also durch Kybernetik – können wir Hacking entmystifizieren und den nötigen Schutz aufbauen.
Hacking ist von Mythen umrankt, weil wir zwar viel darüber reden, selten aber mit den Verursachern. Der wichtigste Schritt zur Aufklärung: Hacker in ihrem Vorgehen verstehen. Große Firmen machen das regelmäßig, indem sie Sicherheitsexperten zu Angriffssimulationen einladen. Diese laufen ähnlich ab wie Militärmanöver in Friedenszeiten: Ein Teil der eigenen Truppe spielt den Feind, um Schwächen in der Verteidigung zu finden. Auch die Bezeichnung der Hacking-Manöver, „Red-Teaming“, stammt aus dem Militärischen – sinnbildlich haben die Feinde rote Uniformen an.
Im ersten Schritt erlangen die Red-Teamer Kontrolle über einen Firmencomputer. Das geschieht zum Beispiel über E-Mail-Viren oder Schwachstellen in Webseiten. Das initiale Einfallstor ist in den meisten Fällen kein kritisches System, ermöglicht aber das Ausspionieren des Firmennetzes. Im zweiten Schritt nutzen die Red-Teamer Schwachstellen aus, die sie in internen Applikationen und Servern finden, um ihre Zugriffsmöglichkeiten über Wochen sukzessiv auszubauen. Die Hacking-Reise vom Einfallstor bis zur kompletten Kontrolle der Unternehmens-IT dauert in den meisten Fällen weniger als einen Monat.
Red-Teaming ersetzt den Nervenkitzel durch schnöde Fakten: Wie gehen Hacker vor, um in unsere Systeme ein zudringen?
Jede Red-Team-Übung legt das schwächste Glied der Schutzkette offen und zeigt auf, was nötig ist, um echte Hacker vom Durchbruch abzuhalten. Red-Teaming ist dabei nur ein Beispiel, wie Firmen Hacker verstehen können. Ähnliche Einblicke geben Retrospektiven auf echte Sicherheitsvorfälle, allerdings erst wenn der Schaden bereits entstanden ist.
Die Organisation kann sich nun darauf konzentrieren, dem nächsten Hacker das Leben schwerer zu machen. Regelmäßige Red-Team-Übungen – oder echte Sicherheitsvorfälle – ermöglichen es, die jeweils schwächsten Schutzglieder zu verbessern und einen immer besseren Schutz zu erreichen.
Die kontinuierliche Verbesserung wirft die nächste Frage auf: Wann hat die Firma ein ausreichendes Schutzniveau erreicht?
Diese bleibt bislang oft unbeantwortet, da Firmen ihren Hacking-Schutz nicht quantifizieren, also nicht wissen, wie einfach oder schwer es ein Hacker hat, an wichtige Daten zu kommen. Das muss sich hin zu einem berechenbaren Risikomanagement ändern. Was nicht gemessen wird, lässt sich schwer managen. Firmen brauchen eine Messlatte, um voneinander zu lernen und mit den Hackern Schritt zu halten. Sicherheit zu quantifizieren kann regelrecht in eine Hyperaktivität ausufern – oft werden Dutzende technische Kennzahlen gemessen und über die Zeit verglichen. Wie beim Wetterbericht gehen die Zahlen hoch und runter, ohne dass die Firma weiß, wie sie auf diese Einfluss nehmen kann. Messungen, die nicht klar Verbesserungsmöglichkeiten aufzeigen, sind somit nicht zielführend.
Eine sinnvolle Messgröße hat somit folgende Eigenschaften: a) Nachvollziehbar keit, auch für Security-Laien, b) aus Sicht der Hacker formuliert und c) zielführend, also Verbesserungsmaßnahmen klar auf zeigend.
Hier bietet sich der Hackability Score als normierte Messlatte an, welche diese drei Eigenschaften mitbringt. Er aggregiert eine Vielzahl von Security-Messungen aus regelmäßigen Scans und Tests. Diese Rohdaten sind in aller Regel bei den Unternehmen bereits vorhanden. Sicherheitsscans großer Firmen finden regelmäßig mehrere 100.000 Schwachstellen, von denen die meisten einem Hacker oder Red-Teamer aber nicht weiterhelfen. Dadurch stiften die Scans mehr Verwirrung als Aufklärung und verdammen Sicherheitsteams zu frustrierender Mehrarbeit.
Bei der Zusammenfassung der Scanrohdaten in den Hackability Score wird für jeden Messpunkt die Frage gestellt: Wie sehr stört es einen Hacker, wenn diese Schwachstelle verschwindet? Somit ist klar vorgegeben, welche Handlungsvorschläge durch den Hackability Score priorisiert werden: Diejenigen Maßnahmen, die den Score am meisten senken, machen auch den Hackern das Leben am schwersten. Das bestätigt spätestens die nächste Red-Team-Übung.
Da der Hackability Score immer gleich berechnet wird – für jede Organisation, jedes Team oder auch jedes Netzwerksegment –, ermöglicht er einen Dialog zwischen Peers, zum Beispiel zwischen Landesgesellschaften eines Konzerns. Der Score zeigt, wer von wem zu welchem Thema das Meiste lernen kann. Er ist im Übrigen nur ein Beispiel für eine normierte Messgröße, die den Dialog über Cyberrisiken ermöglicht – auch zwischen Experten und Laien. Jede Firma braucht eine solche Messlatte und den Dialog zwischen Peers.
Aus der einfach zugänglichen Messgröße entsteht automatisch ein Wettlauf: Wer kann seinen Hackability Score am schnellsten und nachhaltigsten verbessern?
Dieses Rennen läuft dezentral ab: Jede Firma, jedes Team, jede Applikation vergleicht sich mit der eigenen Peer Group. Da grundsätzlich niemand unterdurchschnittlich geschützt sein möchte, die meisten sogar weit überdurchschnittlichen Schutz anstreben, geht der Wettlauf immer weiter – ein positiver Kreislauf der ständigen Verbesserung. Und damit erreicht die Organisation die angestrebte Entmystifizierung des Themas Hacking und macht Fortschritt beim Hacking-Schutz transparent, was den Wetteifer weiter anheizt.
Eine letzte Zutat ist nötig, um den positiven Kreislauf ungestört ablaufen zu lassen: das Vertrauen des Unternehmens, dezentral Verbesserungen vorantreiben zu können. Statt Hacking-Schutz generalstabsmäßig zu steuern – wie es in vielen Firmen noch der Fall ist –, sollte die einzige Aufgabe der „Generäle“ sein, dezentralen Teams einen Zielkorridor für deren Hackability Score vorzugeben. Wie ein Team diese Ziele erreicht, wird dort entschieden, oft durch gemeinsames Lernen in der Peer Group.
Hacking-Schutz wird erreicht durch:
- Vertrauen in dezentrale Selbst organisation
- Wettlauf mit der Peer Group (z.B. Hackability Score)
- Wettlauf mit echten Hackern (Red-Teaming)
Dezentralisierte Verbesserung basierend auf einer gemeinsam Messmethode, das genau ist Kybernetik.