IT-Sicherheit unter Beschuss
Die Säge des Damokles
Fortsetzung des Artikels von Teil 1
Das Kritische ist privat
Die Krux: Moderne Gesellschaften sind, wie The Grugq betont, stark vom „Cyberspace“ abhängig. Kritische Kommunikationsinfrastruktur, einst unter staatlicher Kontrolle, liegt heute in den Händen von IT-Giganten wie Google, Apple oder Huawei und transnationaler Online-Gemeinschaften wie Facebook – aktuelles Beispiel: „Die Pest (gemeint ist: die Corona-Pandemie, d.Red.) hat Videokonferenzen zum strategischen Pfeiler gemacht, und Zoom dominiert und beherrscht ihn.“ Diese Privatisierung der digitalen Landschaft sägt am Stuhl staatlicher Aufsicht über kritische Infrastruktur. Ebenso müssen die Aggressoren heute nicht unbedingt Staaten sein. Als Beispiel für eine nicht-staatliche digitale Macht nennt The Grugq die koreanische Pop-Band BTS: Deren Heer von 40 bis 50 Millionen Fans führe digitale Aktionen durch, wenn die Band dazu auffordere. Auch hier denkt man unwillkürlich an den aktuellen US-Wahlkampf, hatten doch K-Pop-Fans massenhaft Tickets für eine Trump-Veranstaltung in Tulsa, Oklahoma bestellt, sodass Trumps Wahlkampfteam ein Millionenpublikum erwartete – Trump musste aber dann vor mager besetzten Rängen sprechen. Die Grenze zwischen online und offline scheint heute ebenso zu verwischen wie die zwischen Kinderstreich und Cyberkriegsführung.
Das Spektrum der Akteure, die im Grugq-Sprech „Cybercraft“ ausüben, umfasst neben Geheimdiensten und Teenagern leider auch das digital organisierte Verbrechen: Geplagte Administratoren müssen sich mit allerlei digitalen Nervensägen herumschlagen, von Phishing und Datendiebstahl über die gefürchtete Ransomware bis zu DDoS-Angriffen, Letztere übrigens neuerdings ebenfalls gerne zu Erpressungszwecken. Zur Abwehr setzt die IT-Security-Anbieterschaft große Hoffnungen auf maschinelles Lernen (ML), um Auffälliges im Geräte-, Applikations- oder Anwenderverhalten aufzuspüren. Die Grundlage dafür sollte laut Fachleuten eine „Zero-Trust“-Infrastruktur bilden, also die strikte Authentifizierung – idealerweise MFA (Mehr-Faktor-Authentifizierung) – und die ebenso strenge Autorisierung mit laufender regelbasierter oder eben ML-gestützter Überwachung des rollenkonformen Verhaltens.
Für Zero-Trust müssen Rollen und Rechte allerdings zuerst einmal klar definiert sein: „Ein Risiko liegt heute darin, dass Nutzer dauerhaft privilegierte Rechte erhalten“, sagt Christian Götz, Director Presales DACH beim PAM-Anbieter (Privileged-Access-Management) CyberArk. Ein Administrator sollte laut Götz keinen Blankoscheck bekommen, sondern Berechtigungen pro Aufgabe. Ein Beispiel: Der Administrator soll auf einer VM ein Update installieren; die erteilten Rechte beschränken sich rein auf die Installation des Updates. Für dieses radikale „Least Privilege“-Prinzip treibe die PAM-Anbieterseite „Just-in-Time Access“ stark voran. Die Problematik der Berechtigungen betreffe dabei längst nicht nur Konzerne: „Im Cloud-Zeitalter kann eine Assistentin mit Kreditkarte auch in einem kleineren Unternehmen schnell zu einem extrem privilegierten Nutzer werden“, so Götz.
Der Gordische Knoten: IT-Umgebungen – und damit auch Berechtigungsstrukturen – sind historisch gewachsen und entsprechend unübersichtlich. Der größte Feind der Sicherheit aber ist weder die russische Troll-Armee noch das Heer aufmüpfiger K-Pop-Fans, sondern schlicht die Komplexität – und mit voranschreitender (oder -stolpernder) Digitalisierung wuchert diese weiter. Die IT muss die Digitalisierung zur Kehrtwende in Richtung Einfachheit und Klarheit nutzen – sonst sägt der IT-Verantwortliche an dem digitalen Ast, auf dem er sitzt. Und dann braucht es gar keinen Cyberkrieg, damit die Lage eskaliert.
- Die Säge des Damokles
- Das Kritische ist privat
Lesen Sie mehr zum Thema
