Heimtelefonieren ist keine Sicherheit die ‘Firmen’ brauchen

Nico Reiser

CISO RDU Security Center
Senior Cybersecurity Expert
Data Protection Engineer

experience in security since 1996

Es wäre sicherlich sehr interessant, in Zahlen und konkreten Werten zu beziffern, was die Crowdstrike-Ausfälle weltweit tatsächlich gekostet haben. Dies umfasst Kosten in Flughäfen mit Ausfällen, vom Flugkapitän über den Co-Piloten, die Crew, das Flugzeug und die Bandarbeiter, die nichts zu tun hatten, bis hin zu allen Industrien und gestörten Prozessen. Sicherlich handelt es sich hier um dutzende Milliarden Dollar oder Euro an realen Schäden, die jemand am Ende zahlen muss, auch wenn dieser jemand nicht sichtbar oder bekannt ist. Angesichts des Schadens ist dies wenig verwunderlich. Jedoch kann man diese Berechnung auch unterlassen, da die Menschheit in Bezug auf strategische IT-Sicherheit und Unternehmenssicherheit seit Jahren unbelehrbar ist.

Jeder, der sein Cybersicherheitsstudium irgendwo auf der Welt beginnt, lernt in jedem seriösen Studienhandbuch oder in der Vorlesung, dass die Betriebssystemarchitektur von Microsoft Windows der Linux-Systemarchitektur von Grund auf unterlegen ist. Man witzelt in den Hörsälen darüber, wie leicht man einst das Windows-Recovery-Passwort zurücksetzen konnte und schwört sich, “Niemals werde ich noch einmal Microsoft Windows anfassen.” Doch letztlich greifen viele doch wieder zu Microsoft Windows oder dessen Servervariante und setzen den alten Trott der Vorgänger fort. Und nicht wenige Personaler fragen Fragen wie: “Wie gut sind Ihre Kenntnisse in der PowerShell?” Eigentlich müsste jeder seriöse IT-Sicherheitsinformatiker spätestens dann wissen, was sicherheitstechnisch die Stunde im Unternehmen geschlagen hat – und gehen.

Eigentlich sollte jeder CEO und CFO der betroffenen Unternehmen seine Entscheidungsträger zur Rechenschaft ziehen und sich selbst fragen: Wie viel von IT-Sicherheit haben wir wirklich verstanden? Denn ein Unternehmen, das annimmt, eine Security-Software, die einen Marketplace mit Apps betreibt und weltweit sensible Daten online versendet, sei sicher, zeigt bereits offenkundig, dass es wenig verstanden hat. Niemand mit Verstand schafft sich IT-Security-SaaS-Technologien an und lässt zu, dass nach Hause telefoniert wird. Zentralität mag gut für den Geldbeutel der Anbieter sein, für die Sicherheit ist sie jedoch immer ein Risiko. Als Investor und Eigentümer eines dieser geschädigten Unternehmen sollte man sich zudem fragen, ob man in solche Hände ein Milliardenvermögen an Betriebsvermögen geben kann. Die einzige Antwort müsste lauten: Nein.

Doch warum werden fortlaufend die gleichen Fehler in den IT-Abteilungen großer Unternehmen gemacht, und warum lernt man nicht daraus? Die Probleme sind eigentlich leicht erklärt:

Firmenpolitik
Kostenspardruck und das Mantra um den ROI (Return on Investment)
Viele IT-Sicherheitsblender/Unwissende in Vorständen und Leitungsfunktionen
Zeitdruck durch Gesetzgeber (die auch selten etwas vom Coden verstehen)
Startup-feindliche Softwarepolitik und Einkaufsverhalten
Zu viele Blue-Collar-Beschäftigte mit Titeln (aber ohne eigenen Geist)

Firmenpolitik ist eines der größten Hindernisse, um richtige und ordentliche IT-Sicherheit und Unternehmenssicherheit zu etablieren. Dies betrifft geistige und berufsspezifische Wesensunterschiede zwischen den jeweiligen Menschen. Der betriebswirtschaftliche Top-Manager muss „schnell, geizig und manchmal schlampig“ sein, der Cybersecurity-Spezialist „darf es nicht, und muss langsam sein“, weil jeder einzelne falsche Schritt oder zu wenig gemachter strategischer Gedanke fatale Auswirkungen nach sich zieht. Nun frage man sich: Wie viele Top-Manager sind dennoch brüderlich harmonisch miteinander ohne Feindschaft und bilden eine Synthese dieser beiden notwendigen Wesenheiten im Unternehmen? Die Antwort lautet: Es sind wenige, die diesen Spagat hinbekommen.

Dies hängt überwiegend damit zusammen, dass auf der Unternehmensleitungsebene zwei verschiedene Uhren ticken. Die erste Uhr, die täglich tickt, ist die kaufmännische Management-Uhr. Sie ist auf maximalen Profit in kürzester Zeit ausgerichtet. Von oben herab wird in der Industrie, im verarbeitenden Gewerbe oder im Dienstleistungssektor täglich Geschwindigkeit, Prozesstreue und das Gebet des Maximum Profits gepredigt. Diese hektische Betriebsuhr wirkt mit massivem Druck auf alle im Unternehmen ein, inklusive auf IT-administrative Abteilungen, IT-Sicherheitsbeauftragte und Compliance Officer. Jeder macht jedem gegenseitig Druck – jeden Tag, jede Stunde. Kein Wunder, dass viele Manager über zu hohe Arbeitsbelastung und Burn-Outs klagen. Wenn man Ohren hat, sollte man hin und wieder hinhören.

Die zweite Uhr, die im Unternehmen ticken sollte, ist die Uhr durchdachter IT- und Unternehmenssicherheit. Diese parallel arbeitende Sicherheitsabteilung oder Person benötigt für den Erfolg ihrer Arbeit vor allem eines: eine hohe Qualität der Gedanken und der detaillierten Vorgänge und Arbeitsprozesse, die mit vertieftem Fachwissen zur Cybersicherheit überlagert werden müssen, um das bestmögliche hochwertige Schutzergebnis zu liefern.

Die Tätigkeiten der Imagination, das heißt der geistigen Vorstellungskraft, sind ungeeignet für die hektische Uhr des kaufmännischen Managements, dem es um Zahlen, Margen und Gewinne in Jahres- oder Quartalszeiträumen geht. Beide Zeiteinheiten und tickenden Uhren vertragen sich nicht, wenn die Protagonisten im Umfeld des Top-Managements – kaufmännische und strategisch IT-sicherheitstechnische Protagonisten – diese Eigenheiten nicht kennen und auf die jeweiligen Bedürfnisse Rücksicht nehmen.

Während kaufmännische Managementfehler vorkommen und Geld kosten, bleiben sie in den meisten Fällen ohne sofortige elektronische Wirkung, was wir als „unsichtbare Fehler“ bezeichnen können, ohne weitreichende Folgen. Strategische IT-Sicherheitsfehler hingegen haben immer und oft sofort Auswirkungen. Manchmal jedoch läuft zunächst alles gut, bis dann das böse Erwachen kommt. Dementsprechend sorgfältig überlegt, abgewogen und durchdacht (zeitintensiv!) müssen viele Einzelschritte und Entscheidungen in der IT-Sicherheit und Unternehmenssicherheit sein. Natürlich reicht langsamen oder wenig nachdenkenden Menschen, wozu der überwiegende Großteil der Menschheit gehören dürfte, auch viel Zeit nicht. Es handelt sich nur um eine Richtschnur für die Praxis.

Es ist innerhalb von Unternehmen jedoch „tödlich“, gerade die Abteilungen, die für Sicherheit sorgen, aufgrund allgemeiner Firmenpolitik oder Persönlichkeitsmerkmale der kaufmännischen Führungsmannschaft unter Druck zu setzen, rasch Ergebnisse abzuliefern. Denn genau so kommen die Personen unter kritischen Zeitdruck, etwas Sichtbares, Messbares unternehmen zu müssen – und die erste falsche Entscheidung ist für teures Kapital getroffen.

Kostenspardruck und das Mantra um den ROI

Der Return on Investment (ROI) ist ein weitverbreiteter und auch abgenutzter Begriff in der Geschäftswelt. Es sollte sich eigentlich aus der Logik heraus selbst verstehen, dass manche Dienstleistungen und Services notwendig sind, aber eben nicht rentabel im ursprünglichen Sinne von Rentabilität sein müssen. Umso mehr wundert die häufige Verwendung in der Cybersicherheit. Wenn man wiederum die historische und schnippische Aussage einer Sales-Dame eines der technologisch führenden EDR/XDR-Plattformen nimmt: „Ich muss nicht verstehen, was ich verkaufe!“, wundert einen nichts mehr. Es wirft vielmehr die neue Frage auf, ob die Rekrutierungsqualität der beratenden Verkäufer einen Tiefststand erreicht hat, und sich Milliardenunternehmen im Cybersecurity-Bereich wieder der „verständigen Beratung“ zuwenden sollten. Sicherlich würde es auch dem Aktienkurs nachhaltig besser tun.

Doch der ROI ist überbewertet, denn viele Dinge, die Cybersicherheit im engeren und weiteren Spektrumskreis einspart oder erspart, kann man nur schwer in Echtzeit messen. Man muss auch hier vielen Betriebswirtschaftlern unterstellen, dass sie nicht wirklich bei Cybersicherheit rechnen können, wollen oder schlicht nichts von der Materie verstehen. Denn originär schützt man sein Geschäftsmodell, also die Grundlage seiner geschäftlichen Existenz. Es mag schwer sein, nach einem Masterstudium solch einfache fundamentale Gedanken noch auf den Boden des Tagesgeschäfts zu bringen, dennoch ist es so.

Mit der Entscheidung des Unternehmens, informationstechnologische Datenverarbeitung, ob im internen Betrieb oder im Internet, zu benutzen, sind obligatorische Kosten verbunden, die mit fortschreitender technologischer Entwicklung entstehen. Diese Kosten entstehen dauerhaft mit jeder mehr oder weniger technischen Neuerung und technologisch neuen Dimension (wie das Internet, Smartphone, das Tablet, das Wearable). Diese obligatorischen Kosten müssen realistisch eingepreist werden. Wer allerdings erwartet, dass zwei junge Absolventen die IT-Administration für über 200 Pflege- und Altenheime mit mehr als 12.000 Clients übernehmen, und der nichttechnische Vorstand entscheidet über die Anschaffungen von verschlüsselten USB-Sticks nach Preis und nimmt sich noch ernst, hat nicht nur das Vertrauen der Investoren verloren, sondern ist für das Unternehmen schädlich. Viele Unternehmen sind an den heutigen schlechten Verhältnissen in den Administrationen selbst schuld, indem sie eine hochgeistige Tätigkeit in einen Fabrikarbeiterjob auf Billiglohn-Niveau pressen. Wer in der Zukunft über ausreichend gutes Sicherheitspersonal in der IT-Sicherheit und Unternehmenssicherheit verfügen möchte, wird selbst ausbilden müssen, einige Stellen auf Vorrat halten und fürstlich denjenigen wenigen bezahlen müssen, die mit Leidenschaft die Materie betreiben (White Collar). Wer dies nicht veranlasst, wird sich von einem

Crowdstrike-Ausfall zum nächsten Ausfall bezahlen, bis es einmal beim letzten Ausfall bleibt.

Viele IT-Sicherheitsblender/Unwissende in Vorständen und Leitungsfunktionen

Ein Mann kippt inmitten einer Menschenmenge um, krümmt sich, hat krampfartige Anfälle und fasst sich an das Herz. „Ist hier ein Arzt in der Nähe?“ ruft ein zu Hilfe kommender Passant. „Ja, ich!“ rufen 20 Männer und Frauen im weißen Kittel, die gerade des Weges kommen. „Wir haben alle schon mal Schnupfen gehabt!“ und beugen sich über den sterbenden Mann am Boden und packen die Taschenmesser zur Notoperation am Herzen aus. Und in exakt dieser Manier wird heute Cybersicherheit weltweit betrieben. Zwar nicht ausschließlich, aber doch viel zu häufig, um wirtschaftlich tragbar und entschuldbar zu sein.

Dass IT-Sicherheit explizit und dezidiert studiert werden muss, um ansatzweise tauglich für die unternehmerischen Aufgaben zu sein, hat sich weder in den HR-Abteilungen noch in den Vorständen herumgesprochen. Da werden Pentester geholt, die von Organisationseinheiten, Netzwerksicherheit und Mathematik kaum etwas wissen. Brotlose IT-Wirtschaftsinformatiker satteln um und nennen sich IT-Sicherheitsexperten, und Nichttechniker erklären Administratoren etwas über IT-Sicherheit. Verrückte Welt. Nur weil jemand einmal klassische Informatik studiert hat, ist er kein Experte (!), ebenso wenig wie jemand, der einmal Schnupfen besiegt hat, kein Herzspezialist ist.

Dennoch suchen Firmen verzweifelt HR-Manager (ohne jede Coding- und Security-Erfahrung) und setzen diese auf jeden an, der etwas mit „Security“ im Profil hat, und bezahlen Unsummen für nichts. So sehen die Sicherheitsmaßnahmen dann auch aus. Stichwort: Crowdstrike, FireEye & Co. Die Unwissenden kaufen dann Zeug für Unwissende und betreiben fleißig weiter Microsoft-Server.

Es liegt aber auch nicht selten daran, dass technische Vorstände selbst Jahrzehnte von den letzten Informatikerfahrungen entfernt sind oder die damaligen IT-Erfahrungen keine Position mehr rechtfertigen. Aus Angst vor Gesichtsverlust und Einkommensverlust schaffen sie keine gut dotierten Stellen, die aber wirkliche Hilfestellung sein könnten.

Einfachere Administratoren, die mehr Engagement für Sicherheit leisten als manche Security-Akademie oder Universität, werden hingegen gemobbt und durch Arroganz und Ignoranz von unverständigen Menschen niedergeknüppelt. Bis diese genervt aufgeben und die Firmen in die selbstgebauten Fallen laufen lassen. Manchmal wäre es günstiger, diesen Menschen nur zuzuhören, anstatt sie zu demotivieren.

Zeitdruck der Gesetzgeber

Die gesetzgebenden Gewalten sind Mitverursacher der heutigen Ausfälle und Zustände um die Cybersicherheit, wie sie bei Crowdstrike gefördert wurde und wird. Es mag sinnvoll sein, Standards, Richtlinien und Gesetze zu verabschieden und auch auf die zeitliche Tube zu drücken, um signifikante Fortschritte zu erreichen. Allerdings:

Ist die Produktion von unzähligen Texten, Internetseiten und Stabsstellen (ohne echtes inneres Leben für die Cybersicherheit) verschwendetes Steuergeld und stiftet nur Verwirrung und Argwohn. Die realen IT-Sicherheitsleute (jene, die coden können und wollen) trauen ihnen nicht, und das zu Recht. Die IT ist ehrlich und transparent. Für etwas Intransparentes geben sich allerdings nur die drittklassigen her, die man in der IT-Sicherheit nicht gebrauchen kann, denn diese übersehen zu viel und haben kaum Imagination und Vorstellungskraft, geschweige denn den kreativen Geist, den es benötigt, um kriminellen Interessen einen Schritt voraus zu sein.

Parlamentarische Ausschüsse sollten davon absehen, inselbegabte Professoren auszusuchen, die außer vielen Wiederholungen der immer gleichen Materie in den letzten Jahren wenig Zeit hatten, echte Hacker zu bleiben oder zu werden. Stattdessen sollten sie sich großen Runden engagierter Menschen in der IT-Sicherheit zuwenden, die Internetseiten, Blogs und Ciphers widmen. Es ist nur zu verständlich, warum Leute aus dem Chaos Computer Club zunehmend kein Interesse mehr haben, Gedanken zu teilen, wenn ohnehin niemand am Aufbau echter Resilienz ein Interesse hat. Die Lobby lässt grüßen.

Es sollten keine Gesetze mehr gemacht werden, die digitale Inhalte betreffen, von Leuten, die nicht im Ansatz coden können oder es lernen wollen.

Die Parlamente der Erde und auch deren IT-Sicherheitsagenturen und Ämter sollten mehr auf die Qualität real geleisteter Netzwerkqualität achten, anstatt auf Titel und produzierte Texte (die nebenbei auch noch jemand lesen muss).

Wer sich wie bei Crowdstrike allein auf den Namen oder eine Empfehlung verlässt, ohne die zugrundeliegende Softwarearchitektur zu hinterfragen, sollte sein Informatikdiplom zurückgeben und seinen Posten räumen. Denn bei dieser Art Softwarearchitektur müssen Schwachstellen impliziert sein. Bei Cybersecurity sollte es daher immer nur heißen: “Nein, diese Art Softwarearchitektur, die Petabytes an Daten übermitteln muss, um Cybersecurity herzustellen, brauchen wir nicht. Danke.”

Crowdstrik mag für gewissen Anwendungsfälle sicherlich nützlich sein, doch diese Art der Sicherheit bedarf einer Einzelbetrachtung und nicht der ungeprüften Annahme: << Wird schon gut gehen>> weil dieses Vorgehen exakt das Gegenteil von Cybersecurity ist. Fragen Sie ihre Verantwortlichen nach den durchdachten Gedanken die diese oder jene Technologie und Sicherheitsmaßnahme als Grundlage hat. Und wenn Sie keine zufriedenstellende durchdachte Antwort enthalten, helfen wir Ihen als Kanzlei Reiser & Partner dabei weiter durchdachte Sicherheitsgedanken zu entwickeln.

Quellen und Studien:

Study on Cost of Cyber Incidents:
- Quelle: IBM Security, “Cost of a Data Breach Report 2023”
- Link: IBM Cost of a Data Breach Report 2023
- Zitation: IBM Security. (2023). Cost of a Data Breach Report 2023. Abgerufen von https://www.ibm.com/security/data-breach
Linux vs. Windows Security:
- Quelle: Cyberciti.biz, “Linux vs. Windows: Which Is the Most Secure Operating System?”
- Link: Cyberciti.biz: Linux vs. Windows Security
- Zitation: Cyberciti.biz. (n.d.). Linux vs. Windows: Which Is the Most Secure Operating System?. Abgerufen von https://www.cyberciti.biz/tips/linux-vs-windows.html
Cybersecurity Workforce Study:
- Quelle: (ISC)², “Cybersecurity Workforce Study 2023”
- Link: (ISC)² Cybersecurity Workforce Study 2023
- Zitation: (ISC)². (2023). Cybersecurity Workforce Study 2023. Abgerufen von https://www.isc2.org/research
IT Security Risks:
- Quelle: Kaspersky, “IT Security: Definition and Types”
- Link: Kaspersky: IT Security Risks
- Zitation: Kaspersky. (n.d.). IT Security: Definition and Types. Abgerufen von https://www.kaspersky.com/resource-center/definitions/what-is-it-securityStudy on Cost of Cyber Incidents

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Reiser & Partner Blog

Über Sicherheit lesen bringt Sicherheit voran bildet neue Perspektiven bringt neue Ideen stimuliert die Governance freut den Datenschutz verbindet entwickelt neue Sicherheit

Heimtelefonieren ist keine Sicherheit die ‘Firmen’ brauchen

Nico Reiser

Quellen und Studien:

Reiser & Partner Blog

Über Sicherheit lesen bringt Sicherheit voran bildet neue Perspektiven bringt neue Ideen stimuliert die Governance freut den Datenschutz verbindet entwickelt neue Sicherheit

Heimtelefonieren ist keine Sicherheit die ‘Firmen’ brauchen

Nico Reiser

Quellen und Studien:

Datenschutz und Nutzungserlaubnis nicoreiser.com