Die Fähigkeit, die Zukunft vorherzusagen, beschäftigt und fasziniert die Menschheit seit langer, langer Zeit. Die Vorstellung, zu wissen was in der Zukunft passieren wird, begeistert uns und verleiht unserer Fantasie Flügel. Was wäre wenn wir die Lottozahlen von kommender Woche kennen würden, zum Beispiel? Ein substantieller Teil des Zeitreise-Themas, das oftmals in Fantasieliteratur behandelt wird, widmet sich der Idee die Zukunft zu kennen und – unter Umständen – mit diesem Wissen zu verändern.

Einer der vielen nützlichen Aspekte, die das Kennen der Zukunft mit sich bringen würde, ist das Umschiffen von Risiken auf eine sehr souveräne und wohlorganisierte Art und Weise. Wer gewusst hätte, dass das Schweizer Bahnsystem rund um den Bahnhof Bern dieses Jahr mit vielen substantiellen Problemen zu kämpfen haben wird und wann diese auftreten würden, der hätte unter Umständen viel Zeit und noch mehr Nerven gespart. Und dennoch: Bilder von vollen Bahnperrons sind uns in guter Erinnerung. Solche Ereignisse erwarten uns unvermittelt, unvorhergesehen.

Dieses Beispiel zeigt aber auch auf, warum Vorhersagen im Bereich der Informationssicherheit grosse Beliebtheit geniessen und daher auch mit schöner Regelmässigkeit von Blogs und Magazinen erstellt und propagiert werden. Unsere eigene Forschungsabteilung unter der Führung von Marc Ruef wird in der kommenden Woche ihre eigenen Vorhersagen veröffentlichen, die über die letzten Wochen und Monate entwickelt wurden. Aber ja, natürlich ist die Informationssicherheits-Community daran interessiert, die Zukunft zu kennen. Eine der Kernaufgaben eines CISOs ist es, aufkeimende Risiken und Bedrohungen zu erkennen und zu adressieren. Bevorzugterweise, bevor sie zu einem Problem werden. Eine anspruchsvolle Aufgabe.

Vorhersagen: Caveat Emptor

Unter der etablierten Prämisse, dass das Adressieren zukünftiger Herausforderungen zu den vielen Verantwortlichkeiten unseres Berufsstandes zählt, ist es nachvollziehbar, warum soviele Prognosen angestellt werden. Wir sollten uns aber auch darauf fokussieren, wie es zu diesen jeweiligen Annahmen kommt.

In vielerlei Hinsicht ähnlich wie ein Wetterbericht können Prognosen und Vorhersagen im Informatonssicherheits-Bereich auf einer Skala von wissenschaftlich bis zu Muotathaler Wetterschmöcker eingeordnet werden. Leider ist es nicht selten, dass grössere Fachpublikationen sehr Buzzfeed-eske Listicles veröffentlich, in denen alte Buzzwords mit einem neuen Anstrich als die Herausforderungen des kommenden Kalenderjahres verkauft werden.

Als Beispiel agieren kann hier zum Beispiel die jüngst veröffentlichte Liste CISO Resolutions for 2019 von Dark Reading. Um komplett fair zu sein: Es handelt sich hier mehr um “gute Vorsätze” als um effektive Vorhersagen, in letzter Konsequenz ist die Absicht hier aber identisch.

Eingehende Betrachtung von Vorhersagen und “Vorsätzen”

Es wäre nur zu einfach, diese sechs Punkte des Artikels einfach für irrelevant zu erklären. Kritiker, so stellt es sich heraus, haben einen vergleichweise einfachen Job. In diesem Sinne soll an dieser Stelle ein konstruktiverer Ansatz zur Anwendung kommen: Eine kritisch-konstruktive Einschätzung, ob diese Vorsätze einer Führungskraft im kommenden Jahr effektiv helfen würden.

• Communicate risk more clearly: Der erste Vorsatz rät CISOs “Risiken klarer zu kommunizieren”. Während dieser Rat natürlich nicht kategorisch falsch ist, ist er ein wenig zu einem Shibboleth der Industrie verkommen. Konstant wird wiederholt, dass das Verständnis von Risiken und deren Kommunikation von kritischer Wichtigkeit ist. Die Herausforderung liegt heute aber weniger in der Wahrnehmung von Risiken, sondern in der uniformen und formalisierten Einschätzung selbiger. Somit sollte die Empfehlung eher lauten, dass sich Verantwortliche mit Frameworks wie FAIR auseinandersetzen, um ein homogeneres und potenziell kohärenteres Risikomanagement zu ermöglichen.
• Build a bigger, better team: Als Nächstes folgt der Ratschlag, ein “grösseres, besseres Team zu bauen”. Im Hinblick auf die ungebrochene Kraft der Digitalisierungswelle, die derzeit durch nahezu alle Industrien prescht, wirkt dies logisch. Allerdings ist der Ratschlag Teams zu vergrössern oftmals als relativ unwichtig zu betrachten. Viel höher auf der Prioritätenliste sollte es stehen, existente Mitarbeiter in flinkere und leistungsfähigere Teams zu organisieren. Ein Team rasch zu vergrössern, dem eine gewisse Maturität noch fehlt ist ein risikobehaftetes Vorgehen, das zur fehlerhaften Kommunikation innerhalb des Teams und des Unternehmens führen kann und sollte daher mit Vorsicht genossen werden. Ein “besseres” Team zu bauen ist ein guter Vorsatz, ein “grösseres” Team dagegen meistens kaum.
• Contain Containers: Die Nutzung von Containertechnologie wie Docker und OpenStack im rapide wachsenden DevOps Bereich steigt markant an. Dementsprechend ist es kaum verwunderlich, dass der Wunsch nach Sicherheitsstrategien im Umgang mit diesen Technologien im Speziellen hier Beachtung findet. Dennoch: Es lohnt sich einen Schritt zurück zu machen und den Blickpunkt ein wenig zu verändern. Wenn eine Organisation Mühe bekundet, grundlegende Sicherheitsmechanismen für neue Technologien zeitgerecht aufzubauen und zu etablieren, ist dies unter Umständen ein Indikator für ein übergeordnetes Problem, in dessen Rahmen das Deployment von neuen Technologien ohne saubere Prozesse im Hintergrund übereilt vorangetrieben wird. Während Docker, OpenStack und Konsorten sicherlich Aufmerksamkeit verdienen, sollte ein CISO sich primär auf das ganzheitliche Bild konzentrieren und sicherstellen dass Sicherheit integriert, nicht supplementiert wird.
• Understand API Risk Exposure: Auch wenn ein Zwischenfall des US Postal Service vor nicht allzu langer Zeit rund 60 Millionen Kunden betroffen hat, gelten die Bedenken des vorhergehenden Punktes (Container-Sicherheit) hier in weiten Teilen gleichermassen. Das Applizieren von grundlegenden Sicherheitsanforderungen gegenüber eine API im speziellen sollte an sich nicht notwendig sein, weist aber darauf hin, dass ein ganzheitlicher Lösungsansatz im Rahmen eines Software Development Lifecycle, der durch die gesamte Organisation genutzt und gelebt wird, nicht existiert oder zumindest nicht ausreichend wirksam ist. Viel wichtiger ist hier aber: Wer die Sicherheitsefforts seiner Organisation nach aktuellen Titelseiten von Zeitungen ausrichtet, spielt ein gefährliches Spiel und vernachlässigt oftmals die individuellen Bedürfnisse und Risiken, die sein eigenes Umfeld betreffen.
• Upping their GDPR Game: Natürlich spielen aktuelle Themen oftmals doch noch eine Rolle, im Speziellen dann, wenn sie direkt an geltende Gesetzgebungen gebunden sind. Somit ist es schwierig, diese Empfehlung nicht zumindest zu Teilen gutzuheissen. Und tatsächlich haben, so eine Studie von Dimensional Data lediglich 20% der befragten Unternehmen weltweit bereits einen Stand erreicht, bei dem sie der Meinung sind, dass der DSGVO ausreichend Rechnung getragen wird. Weitere 53% befinden sich gemäss eigenen Aussagen noch in der Umsetzungsphase. Wenn der Vorsatz hier lautet, dass CISOs nicht nur die regulatorischen Aspekte beachten, sondern auch die Privatsphäre und den Datenschutz ihrer Kunden in den Vordergrund rücken sollen, dann ist dieser Ratschlag sicherlich als valide zu betrachten.
• Securing Supply Chains: Ebenfalls hier, wie im vorhergehenden Punkt auch, ist die Aktualität sicherlich der Grund, warum sich das Thema relevant und wichtig anfühlt. Aber auch hier muss gesagt werden: Dieser Aspekt gehört seit Jahren auf den Radar eines CISOs. Trotz der breiten Vielfalt an verschiedenen Aspekten, die der Begriff “Supply Chain” mit sich bringt, ist die Herausforderung kaum neu, auch wenn die – nach wie vor fragwürdige – Presseberichterstattung zu Hardware-Implantaten sicherlich Zunder für die Debatte geboten hat. Die meisten Organisation kämpfen aber noch mit weitaus weniger opulenten Problemen, wie zum Beispiel der Nutzung von 3rd Party Softwarekomponenten und -bibliotheken. Somit ist dieser Vorsatz sicherlich nicht falsch, gehört aber tragischerweise eher in die Liste des Jahres 2012, als in die von 2019.

Was können wir von den Vorhersagen anderer lernen?

Es ist durchaus offensichtlich, dass es viel Diskussionsstoff gibt, sogar bei diesen ziemlich generischen, breit gehaltenen Vorhersagen für das kommende Jahr. Um eine Wertschöpfung aus derartigen Aussagen Dritter zu generieren, braucht es eine Reflektion und eine Anpassung an das individuelle Umfeld, in der sich der Leser in seiner Funktion befindet. Allgemeine Phrasendrescherei, die den Fokus auf eine spezifische Technologie zu forcieren versucht, sollte vermieden und gemieden werden. Aber mit diesen Gedanken im Hinterkopf kann es durchaus ein guter Startpunkt sein, die omnipräsenten Vorhersagen als Grundlage für die Strategie und die Aktionspläne des kommenden Jahres 2019 zu nutzen.

Über den Autor

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

• https://en.wikipedia.org/wiki/Factor_analysis_of_information_risk
• https://www.darkreading.com/perimeter/6-ciso-resolutions-for-2019/d/d-id/1333402
• https://www.techrepublic.com/article/only-20-of-companies-believe-theyre-actually-gdpr-compliant/
• https://www.theinquirer.net/inquirer/news/3066805/usps-data-breach-api-flaw