Ein Bild mit grünem Hintergrund und dem Text: "Hacking ist ein Mythos, denn wir sprechen viel über Hacker, aber selten mit ihnen. Dieses Bild ist einem Blogartikel beigefügt, in dem es um den Schutz vor Hackerangriffen geht - ein nie endender Wettbewerb innerhalb von Unternehmen.

Schutz vor Hacking – ein ewiger Wettlauf im Unternehmen?

Dr. Karsten Nohl | Autobahn Security GmbH

 Karsten Nohl ist Hacking-Experte  und Gründer von Autobahn Security  in Berlin. Karsten schafft Bewusst sein für Cybersicherheit – durch Hacking-Forschung und -Beratung.  Dabei fasziniert ihn besonders der  Zielkonflikt zwischen Security und  Innovation. Das Thema Hacking ist ein Garant für  spannende Hollywood-Filme. In der echten  Welt kommen wir bei der entsprechenden  Prävention jedoch kaum voran. Beides aus  dem gleichen Grund: Das Vorgehen von  Hackern scheint mysteriös, weil die meisten  so wenig dazu wissen. Die Gefühle schwan ken zwischen Nervenkitzel für die einen  und ständiger Furcht für die anderen, das  nächste Opfer zu werden. Letztere schlägt in Firmen oft in Lethargie  um: „Die Hacker gewinnen eh immer.“ Diese  Einstellung könnte von den Tatsachen nicht  weiter entfernt sein: Firmen verzeichnen  jeden Tag Hacking-Versuche und dennoch  werden fast alle Firmen an fast allen Tagen  nicht gehackt. Um mit Cyberrisiken souveräner umzu gehen, müssen Tatsachen die Strategie  bestimmen. Diese Abkehr von irrationalen  Ängsten ist in anderen Risikobereichen  bereits gelungen, zum Beispiel beim Wett lauf mit biologischen Viren. Obwohl die Forschung biologische Organismen nur  im Ansatz versteht, wurde das Risiko vieler  Krankheiten durch Diagnostik, Immunisie rung und Behandlung erfolgreich verrin gert. Technische Systeme und Organisationen  sind hoch komplex, aber längst nicht so  komplex wie biologische Organismen. Wer  eine Chance sieht, das Risiko von Krank heiten aktiv zu beeinflussen, kann beim  Thema Cyberabwehr nicht das Handtuch  werfen. Der erste Schritt auf diesem Weg:  Durch ständiges Messen und dezentral  organisierte Verbesserung – also durch  Kybernetik – können wir Hacking entmysti fizieren und den nötigen Schutz aufbauen. Hacking ist von Mythen umrankt, weil wir  zwar viel darüber reden, selten aber mit  den Verursachern. Der wichtigste Schritt  zur Aufklärung: Hacker in ihrem Vorgehen  verstehen. Große Firmen machen das  regelmäßig, indem sie Sicherheitsexperten  zu Angriffssimulationen einladen. Diese  laufen ähnlich ab wie Militärmanöver in  Friedenszeiten: Ein Teil der eigenen Truppe  spielt den Feind, um Schwächen in der  Verteidigung zu finden. Auch die Bezeich nung der Hacking-Manöver, „Red-Teaming“,  stammt aus dem Militärischen – sinnbild lich haben die Feinde rote Uniformen an. Im ersten Schritt erlangen die Red-Teamer  Kontrolle über einen Firmencomputer. Das  geschieht zum Beispiel über E-Mail-Viren oder Schwachstellen in Webseiten. Das  initiale Einfallstor ist in den meisten Fällen  kein kritisches System, ermöglicht aber  das Ausspionieren des Firmennetzes. Im  zweiten Schritt nutzen die Red-Teamer  Schwachstellen aus, die sie in internen  Applikationen und Servern finden, um ihre  Zugriffsmöglichkeiten über Wochen suk zessiv auszubauen. Die Hacking-Reise vom  Einfallstor bis zur kompletten Kontrolle der  Unternehmens-IT dauert in den meisten  Fällen weniger als einen Monat.

Red-Teaming ersetzt den Nervenkit zel durch schnöde Fakten: Wie gehen  Hacker vor, um in unsere Systeme ein zudringen?

Jede Red-Team-Übung legt das schwächste  Glied der Schutzkette offen und zeigt auf,  was nötig ist, um echte Hacker vom Durch bruch abzuhalten. Red-Teaming ist dabei  nur ein Beispiel, wie Firmen Hacker ver stehen können. Ähnliche Einblicke geben  Retrospektiven auf echte Sicherheitsvor fälle, allerdings erst wenn der Schaden  bereits entstanden ist. Die Organisation kann sich nun darauf  konzentrieren, dem nächsten Hacker das  Leben schwerer zu machen. Regelmäßige  Red-Team-Übungen – oder echte Sicher heitsvorfälle – ermöglichen es, die jeweils  schwächsten Schutzglieder zu verbessern  und einen immer besseren Schutz zu  erreichen.

Die kontinuierliche Verbesserung wirft  die nächste Frage auf: Wann hat die  Firma ein ausreichendes Schutzniveau  erreicht?

Diese bleibt bislang oft unbeantwortet, da  Firmen ihren Hacking-Schutz nicht quan tifizieren, also nicht wissen, wie einfach  oder schwer es ein Hacker hat, an wichtige  Daten zu kommen. Das muss sich hin zu  einem berechenbaren Risikomanagement  ändern. Was nicht gemessen wird, lässt  sich schwer managen. Firmen brauchen  eine Messlatte, um voneinander zu lernen  und mit den Hackern Schritt zu halten. Sicherheit zu quantifizieren kann regel recht in eine Hyperaktivität ausufern – oft  werden Dutzende technische Kennzahlen  gemessen und über die Zeit verglichen.  Wie beim Wetterbericht gehen die Zahlen  hoch und runter, ohne dass die Firma weiß,  wie sie auf diese Einfluss nehmen kann.  Messungen, die nicht klar Verbesserungs möglichkeiten aufzeigen, sind somit nicht  zielführend. Eine sinnvolle Messgröße hat somit fol gende Eigenschaften: a) Nachvollziehbar keit, auch für Security-Laien, b) aus Sicht  der Hacker formuliert und c) zielführend,  also Verbesserungsmaßnahmen klar auf zeigend. Hier bietet sich der Hackability Score als  normierte Messlatte an, welche diese drei  Eigenschaften mitbringt. Er aggregiert eine  Vielzahl von Security-Messungen aus regel mäßigen Scans und Tests. Diese Rohdaten  sind in aller Regel bei den Unternehmen  bereits vorhanden. Sicherheitsscans gro ßer Firmen finden regelmäßig mehrere  100.000 Schwachstellen, von denen die  meisten einem Hacker oder Red-Teamer  aber nicht weiterhelfen. Dadurch stiften die  Scans mehr Verwirrung als Aufklärung und  verdammen Sicherheitsteams zu frustrie render Mehrarbeit. Bei der Zusammenfassung der Scanrohda ten in den Hackability Score wird für jeden  Messpunkt die Frage gestellt: Wie sehr  stört es einen Hacker, wenn diese Schwach stelle verschwindet? Somit ist klar vorgege ben, welche Handlungsvorschläge durch  den Hackability-Score priorisiert werden:  Diejenigen Maßnahmen, die den Score am  meisten senken, machen auch den Hackern  das Leben am schwersten. Das bestätigt  spätestens die nächste Red-Team-Übung. Da der Hackability Score immer gleich  berechnet wird – für jede Organisation,  jedes Team oder auch jedes Netzwerk segment –, ermöglicht er einen Dialog  zwischen Peers, zum Beispiel zwischen  Landesgesellschaften eines Konzerns.  Der Score zeigt, wer von wem zu welchem  Thema das Meiste lernen kann. Er ist im  Übrigen nur ein Beispiel für eine normierte  Messgröße, die den Dialog über Cyberrisi ken ermöglicht – auch zwischen Experten  und Laien. Jede Firma braucht eine solche  Messlatte und den Dialog zwischen Peers.

Aus der einfach zugänglichen Mess größe entsteht automatisch ein Wett lauf: Wer kann seinen Hackability Score  am schnellsten und nachhaltigsten  verbessern?

Dieses Rennen läuft dezentral ab: Jede  Firma, jedes Team, jede Applikation ver gleicht sich mit der eigenen Peer Group. Da  grundsätzlich niemand unterdurchschnitt lich geschützt sein möchte, die meisten  sogar weit überdurchschnittlichen Schutz  anstreben, geht der Wettlauf immer wei ter – ein positiver Kreislauf der ständigen  Verbesserung. Und damit erreicht die Orga nisation die angestrebte Entmystifizierung  des Themas Hacking und macht Fortschritt  beim Hacking-Schutz transparent, was den  Wetteifer weiter anheizt. Eine letzte Zutat ist nötig, um den positiven  Kreislauf ungestört ablaufen zu lassen: das  Vertrauen des Unternehmens, dezentral  Verbesserungen vorantreiben zu können.  Statt Hacking-Schutz generalstabsmäßig  zu steuern – wie es in vielen Firmen noch  der Fall ist –, sollte die einzige Aufgabe der  „Generäle“ sein, dezentralen Teams einen  Zielkorridor für deren Hackability Score  vorzugeben. Wie ein Team diese Ziele  erreicht, wird dort entschieden, oft durch  gemeinsames Lernen in der Peer Group.

Hacking-Schutz wird erreicht durch:

  1. Vertrauen in dezentrale Selbst organisation 
  2. Wettlauf mit der Peer Group  (z.B. Hackability Score) 
  3. Wettlauf mit echten Hackern  (Red-Teaming) 
Dezentralisierte Verbesserung basierend  auf einer gemeinsam Messmethode, das  genau ist Kybernetik.
Dr. Karsten Nohl Autobahn Security GmbH
‍Dr. Karsten Nohl is a hacking expert and founder of Autobahn Security in Berlin. Karsten creates awareness for cybersecurity through hacking research and consulting. He is particularly fascinated by the trade-off between security and innovation.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert