18. Juni 2021
Get in touch
Abwehrstrategien sind dann wirksam, wenn man Bedrohungen und Angreifer realistisch einschätzen kann. Bastian Ike klärt in seinem Artikel bei Computerweekly auf, warum es sinnvoll sein kann, die eigenen Mitarbeitenden zu guten Hacker:innen auszubilden.
Der Bedarf an IT-Sicherheit wächst mit dem Grad der Digitalisierung. Eine Situation, die viele Unternehmen vor Herausforderungen stellt. Denn Hacker bleiben nicht stehen: Sie bilden sich ständig fort – und sie forschen: an neuen Mitteln und Wegen, in digitale Infrastrukturen einzudringen. Ob die unternehmensintern eingerichteten IT-Sicherheitsmaßnahmen im Ernstfall wirklich erfolgreich wären, lässt sich im Tagesgeschäft nur schwer verifizieren.
Penetrationstests sind zwar eine Alternative, um Lücken in Systemen zu identifizieren, sind aber in der Regel kostspielig und müssen zu konkreten Zeitpunkten geplant werden. Gleichzeitig bieten sie wenig Mehrwert in puncto Fortbildung von eigenen Mitarbeiter:innen sowie dem internen Wissensaufbau.
Gute Hacker (bisweilen auch White Hat Hacker genannt), die die Systeme vor bösen Hackern schützen, sind inzwischen aber bedeutende und für viele Unternehmen strategisch notwendige Positionen. Sie greifen ausschließlich hypothetisch an – und decken so Sicherheitslücken auf.
Wenn ein Unternehmen die Sicherheit seiner Anwendungen, Plattformen und Projekte selbst testen möchte, muss es natürlich möglichst realitätsnah vorgehen. Schon der chinesische Militärstratege Sunzi schrieb in „Die Kunst des Krieges“: „Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten.“
Dieses Zitat wird in der IT-Sicherheit oft und gerne wiedergegeben und hat auch nach über 2.500 Jahren Gültigkeit: Wenn wir unsere eigene Infrastruktur kennen und einschätzen können, wie Angreifer wahrscheinlich vorgehen werden, können wir reagieren, planen und uns auf mögliche Angriffe wirklich vorbereiten. Wenn wir hingegen davon ausgehen, dass das Thema IT-Sicherheit uns nicht tangiert, wird uns das früher oder später teuer zu stehen kommen.
Der Schlüssel zum Erfahrungs- und Wissensaufbau im Bereich Cybersecurity ist die Möglichkeit, sich in der Praxis die Rolle eines Angreifers hineinzuversetzen. In der IT ist der beste Weg hierzu, den eigenen Mitarbeitenden in verschiedenen Umgebungen und Zeit zur Verfügung zu stellen, um sowohl mit manuellen als auch automatisierten Tools Scanner, Netzwerke, Software und Infrastruktur anzugreifen. Dabei gibt es grundsätzlich drei Sorten von Umgebungen: Simulierte, Test- oder Produktivumgebungen.
Simulierte Umgebungen haben keinen direkten Projektbezug, sondern stellen ein System bereit, das eine möglichst breite Angriffsfläche bietet und häufig noch über zahlreiche existierende Sicherheitslücken verfügt. Ein bekanntes Beispiel ist der OWASP Juice Shop, ein Webshop, der eine Reihe von Sicherheitslücken enthält, die es zu finden gilt. Es gibt diverse spezialisierte Versionen für Web-Applikationen, Linux Umgebungen, etc.
Testumgebungen sind Staging-Systeme der aktuellen Projekte. Hier können Mitarbeitende direkt am aktuellen Projekt testen und echte Sicherheitslücken finden. Ein solcher Test kann destruktiv sein, es werden also unter Umständen die Datenintegrität sowie die Stabilität der Systeme gefährdet.
Produktivumgebungen sind eine weitere Möglichkeit zur Durchführung von Sicherheitstests. Die destruktive Natur solcher Tests ist aber ein hohes Risiko für Produktivumgebungen, es sollten also mögliche Sicherheitslücken im Vorfeld validiert werden. Produktivumgebungen zum Lernen oder Testen sind nicht empfehlenswert.
Um selbst Penetrationstests durchzuführen, ist es nötig, bei den eigenen Mitarbeitenden vorab ein gewisses Grundwissen aufzubauen. Organisatorisch gibt es hier verschiedenste Möglichkeiten: von Personengruppen, denen explizit Zeit eingeräumt wird, über Hackathon-ähnliche Zeitabschnitte bis hin zu einzelnen Mitarbeitenden, die sich aufgrund von Eigeninteresse mit diesen Themen auseinandersetzen.
Wenn kein ausreichendes Wissen im Unternehmen vorhanden ist, lohnt es sich auf externe Trainings, wie zum Beispiel OWASP-Top-10-Trainings zurückzugreifen, um einen Ausgangspunkt für Mitarbeitende zu schaffen. Danach müssen Ressourcen in Form von Zeit und Testsystemen zur Verfügung gestellt werden, um die Motivation mitzunehmen und zu fördern. Eine kleine Gruppe von Mitarbeitenden hat so die Möglichkeit, einen großen Impact zu erreichen und weiteres Wissen sowohl zu erarbeiten als auch ins Unternehmen zu tragen.
Die Erfahrungen der Kolleg:innen beim Lernen an simulierten- und Test-Umgebungen können ein direkter Input für Teams sein, sowohl in Form von konkreten Handlungsempfehlungen, die sich aus möglichen Schwachstellen ergeben als auch in Form von Wissen über Best Practices, welches in Institutionen wie täglichen Besprechungen, Communities of Practices und Reviews getragen werden kann.
Der Bezug von einer simulierten Umgebung hin zum echten Projekt ist nur begrenzt machbar. Die simulierten Umgebungen helfen in der Regel beim Wissensaufbau, woraufhin in konkreten Projekten nach genau diesen Schwachstellen gesucht werden kann.
Die Hauptmotivation, die das Hands-On-Hacking den eigenen Mitarbeitenden gibt, ist maßgeblich durch Erfolg und Feedback bestimmt, der geteilt werden kann.
Eine reine IT-Sicherheitsschulung einmal im Jahr für 4 Stunden wird oft eher als lästig empfunden und bietet wenig Ansatzpunkte, die unternehmensinterne Sicherheit wirklich zu verbessern. Schulungen werden oft durch bestimmte Richtlinien und Zertifizierungen vorausgesetzt, bieten aber in der Form nur maximal das Erfüllen der Sorgfaltspflicht. Ziel sollte es sein, Räume zu schaffen, in denen IT-Sicherheitswissen aktiv entwickelt und angewendet werden kann, damit ein Mehrwert erzeugt wird und Unternehmen sich künftig potenziellen Risiken besser entgegenstellen können.
Jeder, der seine IT-Infrastruktur schützen will, muss sowohl die Schwachstellen vor Ort als auch die potenziellen Angreifer kennen. Abwehrstrategien können deshalb nur dann wirksam sein, wenn man die Bedrohungen realistisch einschätzen kann und die Methoden und Vorgehensweisen der Angreifer kennt.
Eine gute Möglichkeit ist, eigene Mitarbeitende als „gute“ Hacker an der eigenen Anwendung oder dem eigenen System auszubilden. Gerade in Teams macht das legale Hacken viel Spaß und weckt schnell sportlichen Ehrgeiz. Ziel dabei ist, die Messlatte so hochzulegen, dass Angriffe unökonomisch werden, weil Kriminelle zu viel Geld einsetzen müssten, um die Sicherheitsbarrieren zu überwinden.
Dieser Artikel erschien zuerst im Magazin "Computer Weekly". Wir freuen uns über Ihr Feedback und das Teilen des Artikels.
