Einst als Ritter in digitaler Rüstung verehrt, finden sich Chief Information Security Officers (CISOs) heute in einem Sumpf von ständig zunehmenden Sicherheitsverletzungen wieder. Von bekannten Unternehmen bis hin zu Startups sind Datenschutzverletzungen alltäglich geworden, fast schon ein Ritual. Ist die digitale Bastion gefallen oder haben es die Hüter unseres Informationsreichs versäumt, sich anzupassen? Auf der Global Cybersecurity Conference 2023 in Zürich wurden Gedanken ausgetauscht, Bedenken geäussert und ein Weg nach vorne für die Ritter in Rüstung diskutiert.
Drei gewaltige Stürme verdunkeln den Horizont und stellen den Mut von uns sogenannten Beschützern auf die Probe.
- Erstens, die asymmetrische digitale Kriegsführung, mit der wir uns auseinandersetzen müssen. In der traditionellen Kriegsführung kannten Sie Ihre Gegner. In der heutigen digitalen Kriegsführung gibt es jedoch Nationalstaaten und abtrünnige Akteure mit Ressourcen, die oft die von ganzen Unternehmen in den Schatten stellen. CISOs nehmen im Grunde ein Messer mit in eine Schiesserei. Sie verteidigen sich nicht mehr gegen Skript-Kiddies im Keller, sondern gegen hochentwickelte Gegner, die die digitalen Welten als das nächste Schlachtfeld betrachten.
- Zweitens haben die nichtlinearen digitalen globalen Veränderungen die vorhersehbare Entwicklung über den Haufen geworfen. Unsere digitale Landschaft entwickelt sich nicht reibungslos, sondern springt und hüpft, so dass Sicherheitsrahmenwerke oft schon kurz nach ihrer Implementierung veraltet sind. Gerade wenn CISOs denken, dass sie eine technologische Welle in den Griff bekommen haben, bricht eine andere herein, eine stärker als die andere.
- Und schliesslich überschwemmen uns die exponentiellen gesetzlichen Cyber-Anforderungen wie ein Tsunami. In dem gut gemeinten, aber oft schlecht informierten Versuch, die Cyberabwehr zu stärken, überschwemmen die Gesetzgeber die Unternehmen mit unzähligen Vorschriften. GDPR, CCPA und ihre internationalen Geschwister meinen es gut, aber oft finden sich CISOs in einem labyrinthischen rechtlichen Labyrinth wieder, das sie von ihrer eigentlichen Aufgabe ablenkt – der Sicherung der digitalen Festung.
Viele CISOs blieben in ihren Silos verloren und bastelten sich einen Flickenteppich der Sicherheit, der zwar an einigen Stellen beeindruckend, an anderen aber gefährlich ausgefranst war. Sie bewaffneten sich mit den neuesten Tools, Technologien und Schlagwörtern und übersahen dabei oft den Wald vor lauter Bäumen. Sie schwärmten von der neuesten Firewall, Endpunktsicherheit oder KI-Lösung mit maschinellem Lernen, übersahen dabei aber oft grundlegende Probleme wie menschliches Versagen, Insider-Bedrohungen oder grundlegende Cybersicherheitshygiene. Kein Wunder also, dass es zu gigantischen Sicherheitsverletzungen gekommen ist, bei denen Millionen, wenn nicht gar Milliarden von persönlichen Daten betroffen waren. Der Equifax-Verletzungsfall von 2017, die Microsoft-Zertifizierungsvorfälle, der MGM-Verletzungsfall vom letzten Monat oder die zahllosen nicht gemeldeten Unfälle, über die nur Insider flüstern würden – sie alle erinnern uns eindringlich an das Versagen des Status quo.
Das zweischneidige Schwert der KI
In einer Landschaft voller Cyber-Bedrohungen erweist sich die künstliche Intelligenz (KI) als der provokanteste Joker. Hier liegt eine gewisse Ironie in der Luft: KI kann die eigentliche Kraft sein, die Sicherheitslösungen antreibt, aber sie ist auch die Munition im Arsenal raffinierter Cyber-Angreifer. Hochentwickelte Algorithmen, die Cyber-Bedrohungen in Millisekunden vorhersagen und abwehren können, sind dieselben Algorithmen, die als Waffe eingesetzt werden, um neue, unvorhergesehene Methoden des Eindringens zu entwickeln. Wir sind in einem digitalen Wettrüsten gefangen. In dem Masse, in dem KI-gesteuerte Sicherheitstools immer geschickter werden, wächst auch die Zahl der KI-gestützten Schadprogramme, die herkömmliche Abwehrmechanismen überlisten können. Während wir uns über das Potenzial der KI als Retter im Bereich der Cybersicherheit wundern, müssen wir vor ihrer heimtückischen dunklen Seite wachsam bleiben. CISOs stehen vor einer gewaltigen Herausforderung: Wie können Sie eine Waffe führen, wenn Ihr Gegner Zugang zur gleichen Feuerkraft hat? Die Antwort liegt nicht nur in der Technologie, sondern auch in der Strategie. KI darf nicht nur ein Werkzeug sein, sie muss ein Verbündeter sein, ein integraler Bestandteil des sich entwickelnden Verteidigungskonzepts. Andernfalls könnten CISOs feststellen, dass sie von genau der Technologie überlistet werden, von der sie gehofft haben, dass sie ihre Rettung ist.
Jenseits der Burggräben: Die Zero-Trust-Doktrin anwenden
In den Annalen der Cybersicherheit ragt das Konzept von Zero Trust heraus wie das glänzende Schwert eines erfahrenen Ritters. Verwurzelt in der Philosophie „vertraue nie, überprüfe immer“, stellt es die uralte Vorstellung von einer digitalen Festung in Frage. Einst bauten unsere digitalen Ritter, die CISOs, hohe Mauern und tiefe Gräben in dem Glauben, dass Bedrohungen hauptsächlich ausserhalb der Burg existierten. Aber leider hat sich die Welt verändert. Verräter lauern im Innern und externe Feinde haben die Kunst der Tarnung beherrscht. Zero Trust sagt uns, dass das Konzept eines inneren Heiligtums, das frei von Bedrohungen ist, nur ein Märchen ist. Jetzt müssen unsere Ritter zu wachsamen Wächtern werden, die jedes Individuum, sei es ein vertrautes Gesicht oder ein Fremder, jedes Mal unter die Lupe nehmen, wenn es Einlass begehrt. Die Tore des Königreichs sind zahlreich und der Verkehr ist unaufhörlich, aber mit Zero Trust wird jeder Durchgang zu einem Kontrollpunkt und jede Anfrage zu einer Gelegenheit, sie zu überprüfen. Es geht nicht um Misstrauen, sondern um unerbittliche Wachsamkeit. Die Tage des blinden Vertrauens sind vorbei; das Zeitalter der ständigen Überprüfung ist angebrochen. Und in diesem Zeitalter besteht die Rolle des CISO nicht nur darin, zu verteidigen, sondern ständig zu hinterfragen und zu überprüfen.
Nennen wir es, wie es ist: Anstelle von „Chief Information Security Officer“ ist vielleicht „Chief INsecurity Officer“ treffender.
Das ist nicht nur ein freches Wortspiel, sondern spiegelt die Realität wider. Kein Unternehmen kann heute behaupten, 100% sicher zu sein. Die Zielpfosten haben sich verschoben. Es geht nicht mehr nur um Verteidigung, es geht um Widerstandsfähigkeit. Resilienz – die Fähigkeit, widrige Umstände zu antizipieren, ihnen zu widerstehen, sich von ihnen zu erholen und sich an sie anzupassen – ist das, was die moderne digitale Landschaft verlangt. Cyber-Bedrohungen sind zu einer unvermeidlichen Tatsache geworden, nicht zu einer Möglichkeit. CISOs, oder vielleicht jetzt Chief Resilience Officers (CROs), müssen ihren Schwerpunkt von „Schutz“ auf „Anpassung und Wiederherstellung“ verlagern. Der dogmatische Glaube, dass wir Sicherheitsverletzungen vollständig verhindern können, ist antiquiert. Wir werden sehen, ob die Keynotes der Global Cybersecurity Conference im nächsten Jahr, bei der „Cloud meets A.I.“ das Thema sein wird, diesen Paradigmenwechsel reflektieren werden.
Denn es ist an der Zeit, dass die CISO-Gemeinschaft sich der unbequemen Wahrheit stellt. Prävention ist zwar lobenswert, aber eine ausschliessliche Konzentration darauf ist kurzsichtig. Investitionen in die Widerstandsfähigkeit, die Reaktionsfähigkeit auf Vorfälle und Wiederherstellungsstrategien sollten genauso viel, wenn nicht sogar mehr, Aufmerksamkeit erhalten.
An die Ritter des Cyber-Reiches: Die Verantwortung liegt bei Ihnen: Es ist an der Zeit, Ihre Schwerter der Widerstandsfähigkeit zu schärfen und sich anzupassen, damit Sie nicht nur ein Flüstern in den Legenden der digitalen Verteidigung sind.
BIO: Dimitri van Zantvliet ist der Cybersecurity-Direktor und CISO der Niederländischen Eisenbahnen (NS). Er ist außerdem Co-Vorsitzender des niederländischen und europäischen Rail ISAC und Rail CISO Forum, Cyber-Kolumnist und regelmässiger Redner auf internationalen Konferenzen.
Dimitris Leidenschaft für Technologie, Innovation, Cybersicherheit und Datenschutz umfasst drei Jahrzehnte Erfahrung in leitenden Positionen (z.B. CIO, CTO und CISO) bei multinationalen Unternehmen, in der Kommunalverwaltung, im niederländischen Olympischen Komitee und (seit 2021) bei der niederländischen Bahn. Dimitri hat einen internationalen Master-Abschluss in Betriebswirtschaft und Cyber-Zertifikate wie CISSP, CRISC, CISA, CISM, CDPSE, CIPP/E, CIPM und FIP.
