Erfolg ist nicht gleich Erfolg. Die einen sprechen von Erfolg, wenn sie das erste Mal einen Achttausender bestiegen haben, für andere ist es ein Erfolg den Hubschrauber nun auch allein fliegen zu dürfen, für andere wiederum ist es ein Erfolg, wenn ihr Produkt den Prinzipen der Kreislaufwirtschaft folgt und für andere ist es ein Erfolg, wenn der Gewinn gesteigert wurde.

Was alle Beispiele vergleichbar macht, sie geschehen nicht über Nacht. Alle Erfolge kommen erst nach vorangegangen Arbeiten, gefällten Entscheiden und der notwendigen Zeit zustande. Misserfolge und Rückschlage gehören ebenso zum Weg.

Vor der Besteigung des Achttausenders wurden viele andere Gipfel bezwungen und eine akribische Vorbereitung zur Ersteigung des Achttausenders geplant und umgesetzt. Bevor der Helikopter gesteuert werden darf, benötigt es Wissen in Thermik, Meteorologie, Funkgrundlagen, selbstverständlich Flugstunden und das Bestehen der Prüfung. Um die Prinzipien der Kreislaufwirtschaft einhalten zu können bedingt es ein transparentes Wissen über die verwendeten Materialien, welche Firmen in der gesamten Supply Chain die Vorgaben erfüllen und wie dies aufrechterhalten werden kann. Damit eine Unternehmung eine Gewinnsteigerung verbuchen kann benötigt es Veränderungen. Ob nun neue Dienstleistungen, Effizienzsteigerung, neue Absatzkanäle, Ausgabenminimierung, neue Produkte etc. Um Entscheidungen fällen zu können, braucht es das Verständnis des Bestehenden und wie mit gezielten Optimierungen ein Mehrwert realisiert werden kann.

Unterschiedliche Blickwinkel

Immer wieder anspruchsvolle Herausforderungen anzugehen, Neues zu etablieren oder unbekannte Pfade zu beschreiten, macht Spass. Um dies in einem geschäftlichen Rahmen umsetzten zu können, braucht es nebst dem Fakten basierten Handwerk, wie der Analyse von Datensätzen und der Interpretation der erlangten Erkenntnisse sowie deren Auswirkungen auf die zukünftige Entwicklung, noch mehr. Es benötigt auch immer den persönlichen Austausch mit Sparringspartnern, unabhängig der Industrie, in der sie sich bewegen. Die zusätzliche Vernetzung über die eigenen bekannten Grenzen hinweg ist ein wichtiger Baustein.

Eines der Gefässe welches zu empfehlen ist, ist das Swiss Economic Forum (SEF). Eine Wirtschaftskonferenz mit Entscheidungsträgern aus der gesamten Wirtschaftslandschaft. Wohin bewegt sich die Wirtschaft, welche Trends werden verfolgt, welche Herausforderungen bewegen meine Gesprächspartner, sich weiter zu Vernetzen und das Pflegen bestehender Bekanntschaften. Jahr für Jahr spannend und Horizont erweiternd. Es geht nicht um das vertiefte Fachgespräch zu einem Spezialgebiet, sondern um den Austausch mit Gleichgesinnten in anderen Firmen und mit dementsprechend zu lösenden und anstehenden unterschiedlichen Herausforderungen. Wie korrigieren sie dies oder jenes und welche Stolpersteine kennen sie bereits welche wir direkt angehen können. Umgekehrt ist das Thema Cybersecurity in aller Munde und um über Stolpersteine diesbezüglich zu sprechen sind wir nachweislich und eindeutig qualifiziert.

Interne Veränderung

Der Stabsübergabe CEO Position an Herrn Tomaso Vasella im Oktober 2021 gingen monatelange Vorbereitungen, Abklärungen und Diskussionen voran. Veränderungen haben immer etwas Beängstigendes und gleichzeitig etwas Befreiendes an sich. In der neuen Kapazität als Verwaltungsratspräsident ist die tägliche Routine eine neue. Es ist überraschend wie die Veränderung den Blickwinkel auf einige geschäftliche Bereiche und Spannungsfelder verändert hat. Diskussionen innerhalb der Firma, zu aktuellen Themen, sind durch den neuen und zusätzlichen Betrachtungswinkel sehr belebend und zielführend.

So war es auch sehr interessant zu erleben, wie sich die Gespräche mit neuen Kontakten aber auch alten Bekannten am diesjährigen SEF in Interlaken, durch den neuen Blickwinkel, unterschiedlich entwickelten. Einmal mehr hat es sich gezeigt, dass es eine ganzheitliche Betrachtung aus diversen unterschiedlichen Blickpunkten benötigt um Herausforderungen und allfällige Lösungswege besser erkennen und verstehen zu können.

Betrachtung und Zeitreise

Es wird immer kriminelle Akteure in unserer Gesellschaft geben, das kann nicht geändert werden. Das Verständnis des Usecases und der Prozesse und Schritte, welche ein Angreifer umzusetzen hat, um erfolgreich sein zu können, ermöglicht es den Verteidigern erst diese zu verhindern, zu verlangsam oder die Schuldigen aufzuspüren.

Ein Bankräuber im Wilden Westen hatte das Problem, sich persönlich in Gefahr zu begeben, nur so viel Gold, Wertgegenstände etc. mitnehmen zu können wie er nach Gewicht und Volumen auf den Satteltaschen seines Pferdes unterbringen konnte und sich nur so viel Zeit zu nehmen, bis die Gesetzeshüter in Schussdistanz waren. Dafür hatte er nach getaner Arbeit seine Beute. Eine mögliche und simple Gegenmassnahme zur Vereitelung eines Bankraubs im Wilden Westen war dementsprechend, die Polizeistation so nahe wie möglich an der Bank zu positionieren, um die Zeitspanne zwischen Einbruch und dem Eintreffen der Polizisten zu verringern.

Ein heutiger Angreifer der lukrative Firmendaten entwenden möchte hat ebenso Probleme. Die grosse Änderung, gegenüber dem Wilden Westen, liegt in der Entkoppelung der persönlichen Exponiertheit beim Angreifen sowie der Möglichkeit dasselbe gleichzeitig bei unterschiedlichen Firmen weltweit umzusetzen. Er muss dafür erst herausfinden welche der Unmengen an Daten der Firmen wertvoll sind und wie er die entsprechende Datenmenge ungesehen an der Netzüberwachung vorbeibringt. Selbst nach der Exfiltration der begehrten Daten hat er noch keinen finanziellen Ertrag. Das Diebesgut ist anschliessend zu veräussern und der erstandene Erlös in echtes, verfügbares Geld umzuwandeln. Eine der zielgerichteten Gegenmassnahmen zur Vereitelung der Datendiebstahls ist dementsprechend die Einschränkung und Überwachung des Zugriffes auf die Datensätze. Automatisierte Erkennung von Datenmengen und Benutzerinteraktionen, gegenüber Benchmarks, können den Abfluss von Daten verhindern.

Die Angreifer, sowohl im Wilden Westen als auch heute und in Zukunft, passen ihr Vorgehen, Ihre Hilfsmittel und Ihre Prozesse neuen Gegenmassnahmen und Gegebenheiten umgehend an. Die Beute ist zu verlockend. Ebenso werden die Verteidiger ihre Massnahmen optimieren und anpassen. Ein altbekanntes Spiel: Katz und Maus. Ein Mehr an Wissen über die jeweils andere Seite und die Einbeziehung unterschiedlicher Elemente sowie Betrachtungswinkel bringen dieser Partei einen Vorteil.

Grundlagen werden nicht eingehalten

Die Vernetzung der Welt ist in vollem Gange und kann in vielen Bereichen erhebliche direkte Kosteneinsparungen und reale Effizienzsteigerungen erbringen. Schlagwort Digitalisierung. Wenn Firmen, Institutionen oder staatliche Prozesse durch gezielte Investitionen langanhaltende Kosteneinsparungen realisieren können, so ist das sehr lukrativ und prioritär zu behandeln. Das bringt zurecht viele neue Produkte, Dienstleistungserbringer und Initiativen. Das Wort Cybersecurity wird dabei sehr oft verwendet, um die entsprechende Lösung in einem goldenen Licht erscheinen zu lassen. Zurecht geht die Digitalisierung mit der Cybersecurity Hand in Hand, denn eine unsichere vernetzte Lösung birgt ein immenses Schadenspotential.

Daher ein kleiner Gedankengang. Bei der Entwicklung einer Lösung sind viele Fragen zu beantworten. Im Hinblick auf eine sichere Umsetzung ebenso. Stellen wir zu einem neuen System rudimentäre Fragen:

• wie wird das Benutzermanagement umgesetzt
• wie werden die Credentials aufbewahrt
• welche Daten werden gespeichert
• werden diese Daten mit unterschiedlichen Attributen versehen
• werden Daten lokal gespeichert
• werden Daten signiert
• werden lokale Daten von extern abgerufen
• werden Daten an einen externen Zielpunkt übermittelt
• werden spezifische Daten unterschiedlich verarbeitet
• werden Plausibilitätschecks zur Daten Korrektheit durchgeführt
• etc.

So trivial sich diese kleine Auswahl an Fragen anhört, so oft können diese nicht von Beginn definiert und beantwortet werden. Wir gehen gar nicht auf die nicht trivialen Fragen ein, wenn schon bei der Basis Unklarheiten vorhanden sind. Time to market über alles. So werden in der Entwicklung Abkürzungen eingeschlagen, welche auf die eigentliche Funktionalität des Produktes keinen Einfluss haben, auf die Angreifbarkeit jedoch schon. Ein gefundenes Fressen für einen Angreifer. Wird die Lösung zudem in ein grosses Verbundnetz von Systemen mitintegriert so wird der Impakt einer Kompromittierung umso erheblicher. Diese können weitreichende Folgen auf andere Bereiche als der eigentlichen Lösung haben. Von bereits bestehenden Lösungen, die nicht mit einer globalen Vernetzung in Gedanken oder mit dem Cybersecurity Schlagwort entwickelt wurden, haben wir noch gar nicht gesprochen.

Kaum ein Tag vergeht, ohne Bekanntmachung der weltweiten Presse bezüglich der nicht gegebenen Sicherheit respektive der Verwundbarkeit vernetzter Systeme. Einfacher ausgedrückt, über die Cybersicherheit und erfolgreicher Cyberangriffe. Oder noch einfacher und im Kontext dieses Artikels, es wird über die heutigen erfolgreichen Bankräuber des Wilden Westens berichtet. Derzeit sehr prominent, der Cyberwar mit Bezug zum Ukraine Krieg. Die Informationslage ist unübersichtlich und kann zu Propaganda Zwecken leicht missbraucht werden. Dafür rücken Informationen über Ransomware Angriffe oder andere erfolgreiche Cyberattacken auf Firmen, Institutionen, Behörden etc. in den Hintergrund und werden nicht prominent gemeldet.

Fazit

Die Angreifbarkeit wird nicht kleiner, sondern wird zukünftig eindeutig zunehmen. Darauf muss sich unsere Gesellschaft einstellen.

Eine Unzahl an Möglichkeiten und Opportunitäten. Aus bekannten Unzulänglichkeiten kann gelernt und Verbesserungen vorangetrieben werden. Wir verschaffen uns damit die Zeit, auf aktuell noch unbekannte Fehlerquellen, nach ihrem Auffinden, adäquat einzugehen. Es macht keinen Sinn alles auf einmal lösen zu wollen. Die damit einhergehend Überforderung bringt ein unweigerliches Scheitern mit sich. Die Fokussierung auf bestehende wichtige Bereiche und kritische Infrastrukturen wie Strom-, Wasser-, Medizin-, und Lebensmittelversorgung etc. ist ein erster Schritt zur Sicherstellung der Weiterführung unseres sehr sorgenfreien Lebens. Dies gibt der Menschheit die Möglichkeit die Herausforderungen Schritt für Schritt anzugehen.

Ein kleiner Gedankeneinschub. Mir kommt eine Instanz eines erfolgreichen Redteam Kundenprojektes in den Sinn. Die Daten Exfiltration aus dem als hochsicher definierten Netzwerk des Kunden, bewerkstelligten wir mittels einer überwachten, restriktiven und legitimen Verbindung, durch das Transponieren der Daten in Musik ähnliches. Es gibt immer einen Weg.

Die anstehende Vernetzung aller Dinge bedingt einen iterativen Prozess der Entwicklung und wird mit vielen Rückschlägen sowie Fehlern gepflastert sein. Der interdisziplinarischer Ansatz ist der erfolgreiche Weg für die Zukunft.

Über den Autor

Simon Zumstein arbeitet seit Beginn der 1990er Jahre im IT-Bereich, wobei er als Engineer, Projektleiter, Security Consultant und CIO tätig war. Ganzheitliches Risikomanagement mit Einbezug der betriebswirtschaftlichen Aspekte und der Darstellbarkeit gegenüber den Entscheidungsträgern sind sein Fachgebiet.

Links

• https://vuldb.com/de/
• https://www.swisseconomic.ch/