Vom Kostenfaktor zum Business-Enabler
Ein neuer Blick auf IT-Sicherheit ist nötig
Cybersicherheit ist zu entscheidend, um einfach weiterzumachen wie bisher. Unternehmen müssen eingefahrene Verhaltensweisen hinterfragen und verändern. Vertrauen muss immer wieder neu erworben werden. Dafür ist ein Kulturwandel im Markt nötig.
Tagtäglich kommen neue Bedrohungen in die Schlagzeilen. Im September haben Forensiker der Cisco TALOS Group entdeckt, dass die bekannte Software CCleaner, ein Wartungsprogramm für Windows, von Hackern gezielt angegriffen und mit einer Backdoor versehen wurde. So konnte sich Malware in großem Stil verbreiten – versteckt in einem legitimen Softwaredownload. Angesichts von mehr als 2 Milliarden Downloads und 5 Millionen neuen Nutzern pro Woche ist das Bedrohungspotential riesig. Daher hatte die TALOS Group umgehend den Hersteller kontaktiert, damit dieser Gegenmaßnahmen einleiten konnte.
Rasch war jedoch klar, der Angriff galt nicht den „normalen“ Privatnutzern der Software, sondern zielte auf Unternehmen ab. In den Serverdaten fand TALOS eine Liste mit Domainnamen großer Technologieunternehmen, unter anderem auch von Cisco. Damit wuchs die Wahrscheinlichkeit, dass es sich hierbei um einen hochspezialisierten Angreifer handelte, dessen Ziel Industriespionage war. Gleichzeitig zeigte der Angriff, wieviel Energie Cyberkriminelle aufwenden, um Schadsoftware zu verteilen. Sie versuchen ganz gezielt, Vertrauen auszunutzen und bekannte Kanäle zu missbrauchen, um diese Art von „Supply Chain Attacks“ auszuführen.
Transparenz - vertrauen statt glauben
Aus diesem Vorfall lassen sich mehrere wichtige Erkenntnisse ableiten: Zum einen muss die Sicherheit der Herstellungs- und Lieferkette immer im Fokus sein. Sicherheit darf nicht ausschließlich als Kostenfaktor betrachtet werden, sondern als Kernbestandteil der globalen Geschäftsstrategie und ein wichtiger Business-Enabler. Zum anderen ist die Beziehung zwischen Kunde und Hersteller geprägt von Vertrauen. Dieses Vertrauen muss immer wieder neu erworben werden. Vor allem die Kunden sollten darauf achten, dass Hersteller transparent sind. IT-Sicherheit ist zu wichtig für blindes Vertrauen.
Traditionell gründet eine Hersteller-Kunden-Beziehung in der IT-Industrie auf implizitem Vertrauen, das beispielsweise auf Basis einer langjährigen Geschäftsbeziehung aufgebaut wurde oder sich einfach nur auf eine Produktkennzeichnung mit einem unbestimmten „Sicherheitslabel“ stützt. Damit bleibt die Frage, warum vertrauen wir eigentlich den Produkten, die wir benutzen? Weil sie so funktionieren, wie sie beworben wurden? Aufgrund eines bekannten Markennamens und weil Freunde sie nutzen? Oder wäre es nicht besser, explizit danach zu fragen, wie sie entwickelt und hergestellt wurden – um diese Nachweise mit eigenen Augen zu sehen?
Es ist Zeit für einen Kulturwandel im Markt. Kunden sollten nicht länger einfach nur auf den Markennamen und ihre bisherigen Erfahrungen vertrauen, sondern vom Hersteller einen Secure Development Lifecycle, intensive Produkttests, Nachweise, Transparenz, sichere Prozesse und nachprüfbare Kriterien fordern. Cisco unterstützt diesen „Kulturwandel“ und hat für seine Kunden in Deutschland im März 2017 das Security und Trust Office (STO) eröffnet. Der Dialog mit den Kunden zu Sicherheitsfragen steht hier im Vordergrund und soll zum Aufbau von explizitem Vertrauen durch Transparenz beitragen. Die Grundsätze lauten: Verlässlichkeit, Transparenz und Verantwortung.
- Ein neuer Blick auf IT-Sicherheit ist nötig
- Neue Sicherheitskultur nötig
- Alle in der Verantwortung
Lesen Sie mehr zum Thema
