Brauchts noch einen Cybersecurity Awareness Month? JA!
10 Milliarden Angriffe mit Schadsoftware und 4 Milliarden unerlaubte Zugriffsversuche auf Server in den USA im Jahr 2020: Mit diesen Zahlen beginnt die US-Journalistin Kim Zetter dieses Jahr (2021) den „Cybersecurity Awareness Month“ Oktober.
Seit Jahren kennen wir Zurufe aus allen Ecken, unsere Passwörter in zufällige Zeichenfolgen zu ändern, keine Verlinkungen von Unbekannten zu öffnen und immer-immer die neueste Software zu verwenden. Was haben wir damit Stand Oktober 2021 erreicht?
Ein riesiges neues Mega-Datenleck nach dem anderen (zuletzt sogar Kopien von ganzen Servern), Stillstand in bekannten Großkonzernen (durch betrügerische Verlinkungen zu Ransomware) und staatliche Spionagesoftware eingebettet in unsere tägliche Software (die bereits beim Hersteller kompromittiert wurde). Und jeden Oktober wetteifern Hersteller, Sicherheitsfirmen und Regierungsorganisationen wieder mit Hashtags wie #CyberSecMonth2021 und #ThinkB4UClick, während uns kriminelle/staatliche Hacker rechts und links am Datenhighway überholen. Fairerweise muss dabei auch angemerkt werden, dass weder Hardware- noch Softwareentwickler der letzten Jahrzehnte daran gedacht haben (oder denken mussten), dass vernetzte Geräte und Software ab 2020 nur mehr konstant unter Dauerbeschuss sein oder als Angriffsvektor1) missbraucht werden. Seit Monaten werden kritische Sicherheitslücken innerhalb von wenigen Tagen für Angriffe mit Ransomware/Schadsoftware ausgenutzt, was es bis dato in dieser Intensivität nicht gab.
Gehen wir vom aktuellen Worst Case aus: Nämlich, dass gemäß der Aussage von US-General Paul Nakasone, des amtierenden Chefs des Nachrichtendienstes der Vereinigten Staaten (NSA)2), Ransomware die Gruppe der G20-Länder noch die nächsten fünf Jahre gefährden wird. Denn die Einschränkungen beim Handel mit Bitcoin, Sanktionen und politische Schuldzuweisungen werden die Ransomware-Pandemie in der Covid-19-Pandemie nicht beenden. Fakt ist, dass perfekte Sicherheitsstandards und fehlerfreie Software nur im luftleeren Raum existieren – drastisch formuliert dort, wo es keine Anwenderinnen und Anwender zur „Verunreinigung“ gibt3). Auch das beste IT-System kann von Menschen ausgehebelt werden, wie beispielsweise gerade Facebook an der eigenen Infrastruktur erfahren musste. Dort hatten Techniker das gesamte Unternehmen mit einer falschen Anweisung im Border Gate Routing Protokoll irrtümlich aus dem Internet geschossen und sich damit ebenfalls aus dem elektronisch abgesicherten Firmencampus ausgeschlossen. Ups!
Sind wir denn alle so unfähig, unwillig oder unbedarft geworden, diese bunten Symbole am Bildschirm überhaupt noch richtig zu interpretieren? Oder sind wir tatsächlich zu den Anwenderinnen und Anwendern geworden, die nur mehr gedankenlos endlose Inhalte am Smartphone durchblättern, wie Apple CEO Tim Cook4) gerade kritisierte? Benutzen wir Technologien zu viel, wie Cook dies ausführt und damit meint, dass Menschen zu den Dienern der Technik verkommen und nicht umgekehrt? Ganz wegzuweisen ist dieser Gedanke tatsächlich nicht: Neue Nachrichten verlangen ständig unsere Aufmerksamkeit, dazu Anwendungen und Portale im eigenen Unternehmen, Web-Portale von staatlichen Behörden, Organisationen oder Universitäten, cloudbasierte Dienste zur Produktivitätssteigerung und Vernetzung… Wir sind täglich gefordert, uns anzumelden, Daten zu erfassen, mal eben den Web-Browser aus Kompatibilitätsgründen zu wechseln, Daten einzugeben und zu überprüfen und am Ende des Tages komplexe Informationen mit nur einem Click als gelesen und verstanden zu akzeptieren.
Das ist aber nur eine Seite der Medaille: Der positivere Nutzen der Digitalisierung und Vernetzung liegt weiterhin in der Verschlankung von Prozessen und einer Virtualisierung von Netzwerken. Genau das wollen wir weiterhin durch digitale Transformation erreichen.
Mario Neubauer und Lorenz Szabo beschäftigen sich täglich mit zwei Grundfragen dazu: 1) Wie können wir Systeme sicherer machen? Und 2) Welche Informationen benötigt es dazu? Aus diesem Grund wollen wir im Oktober folgende Themen für Sie beleuchten:
- Phishing vs. Awareness: Wie Cyberkriminelle unsere „ungewollte“ Unaufmerksamkeit ständig ausnützen.
- Multi-/Zwei-Faktor-Verfahren zur Authentifizierung: Die Grundlage des Zero Trust Ansatzes.
Der nächste Beitrag folgt am 20.10.2021