Ihre Türklingel läutet. Was ist Ihre erste Reaktion? Öffnen Sie einfach die Tür und gewähren dem Störenfried direkten Zugang zu Ihrer Wohnung, ob Sie ihn nun kennen oder nicht? Oder verfügen Sie über eine Ring- oder Nest-Kamera, um erst einmal zu sehen, um wen es sich da handelt? Die heute gängige Cybersicherheitssoftware funktioniert auf der Grundlage, zunächst einmal die Identität aller „Besucher“ oder „Pakete“ zu überprüfen, bevor ihnen Eingang gewährt wird. Dieser Ansatz funktioniert in den meisten Fällen, ist aber alles andere als narrensicher.
Die derzeitigen auf Erkennung basierenden Cyber-Security-Systeme werden entweder als Software bereitgestellt, die von internen Sicherheitsteams verwendet wird, oder von Unternehmen als Dienstleistung eingekauft, die sich Sicherheit zum Selbermachen nicht leisten können. Forschungsunternehmen schätzen die Größe des Marktes heute auf etwa 200 Milliarden Dollar, die bis zum Ende des Jahrzehnts auf bis zu 500 Milliarden Dollar ansteigen werden.
Warum wächst der Markt so schnell? Zum Teil, weil die Bedrohungslage weiter zunimmt. Nach Angaben von DataProt werden jeden Tag 560.000 neue Schadprogramme entdeckt. Hinzu kommt die aufkommende Bedrohung durch künstliche Intelligenz, die von Hackern als Waffe eingesetzt wird, um den Umfang und den Einfallsreichtum von Angriffen zu erhöhen. Und dann sind da noch die Kosten, die den Unternehmen entstehen, wenn sie sich nicht entsprechend schützen. Es ist unmöglich, die Kosten erfolgreicher Angriffe auf die Cybersicherheit genau zu beziffern, auch weil die Unternehmen sie nur ungern offenlegen; aber die Schätzungen sind hoch.
Drittgrößte Volkswirtschaft
Cybersecurity Ventures berechnete die weltweiten Kosten von Ransomware und anderen Angriffen im Jahr 2023 auf 8 Billionen Dollar, was fast einer Milliarde Dollar pro Stunde entspricht. Diese Zahl wird bis zur Mitte des Jahrzehnts voraussichtlich auf 10 Billionen Dollar ansteigen. Wären die Hacker der Welt ein Staat, so stünden sie hinter den USA und China an dritter Stelle.
Vor diesem Hintergrund erscheinen die Ausgaben für die Verteidigung bescheiden, allerdings auch nur dann, wenn sie tatsächlich funktioniert. Das phänomenale Ausmaß der weltweiten Kriminalität lässt vermuten, dass dies nicht immer der Fall ist.
Alle auf Erkennung basierenden Verteidigungsmethoden gründen auf der Voraussetzung, sich von der Unbedenklichkeit dessen zu überzeugen, das da anklopft. Handelt es sich nicht um einen bereits bekannten Missetäter, dann gibt es zwei Handlungsalternativen: Einlass gewähren und das Beste hoffen, oder Fernhalten, bis Sicherheit dahingehend besteht, dass kein Schaden droht.
Die zweite Möglichkeit klingt vernünftiger, aber wenn die Entscheidung allein bei den Sicherheitsteams läge, dann wäre alles ständig abgeriegelt. Das ist zwar gut für die Sicherheit, aber nicht so wirklich effizient im Hinblick auf die Unternehmensprozesse. Schätzungen beziffern die Produktivitätskosten, die durch überzogene Sicherheitsvorkehrungen entstehen, auf mehr als 20 Minuten pro Woche für jeden Mitarbeiter – hochgerechnet 182 verlorene Tage pro Jahr für ein Unternehmen mit 250 Mitarbeitern. CISOs berichten von zahlreichen Beschwerden von Anwendern, dass Sicherheitsverfahren die Produktivität beeinträchtigen und die Innovation hemmen.
Bei einem erfolgreichen Angriff leidet die Produktivität ein zweites Mal. Die Aufräumarbeiten können sich auf die gesamte Belegschaft auswirken, wenn einzelne Geräte überprüft, Software-Agenten aktualisiert oder neue Sicherheitsrichtlinien eingeführt werden müssen.
Langjährige Schläfer
Und dann sind da noch die Cybersicherheitsteams selbst. Die unermüdlichen Anstrengungen bei der Reaktion auf Bedrohungswarnungen und die langwierige Arbeit bei der Beseitigung von Sicherheitslücken werden als Hauptfaktoren für die Abwanderung von Fachleuten aus einem Sektor genannt, der bereits unter einem enormen Fachkräftemangel leidet.
Ein weiteres Problem bei der Erkennung von Bedrohungen besteht darin, dass scheinbar gutartige Entitäten ihre Absichten nicht sofort offenlegen, sondern unter Umständen über Monate oder Jahre in den Systemen schlummern, bevor sie ihre Nutzlast ausliefern. Als das Webhosting-Unternehmen GoDaddy im Dezember 2022 Berichte von Kunden erhielt, dass ihre Websites mit Ransomware-Forderungen angegriffen wurden, befand sich der bösartige Code bereits seit Jahren in den Systemen des Unternehmens.
Dieses Phänomen wird als Verweilzeit bezeichnet, d. h. die Zeit, die ein Eindringling unentdeckt in Systemen verbringt. Die durchschnittliche Verweildauer in der Praxis beträgt 21 Tage. Mit einer guten Überwachung und Analyse der Kommunikation können einige dieser Eindringlinge gefunden werden, bevor sie sich an die Arbeit machen. Viele andere jedoch nicht.
Die Unvollkommenheit der Verteidigung ist ein inhärentes Moment der Cybersicherheit. Wie eine Binsenweisheit besagt, müssen die Hacker nur einmal Erfolg haben; das Sicherheitsteam muss jedoch immer zu 100 % richtig liegen. Dennoch fühlen sich Kunden von Security-Dienstleistern unter Umständen übervorteilt, wenn diese Gebühren für eine schnelle Reaktion auf Sicherheitsvorfälle fordern.
„Falls die Erkennung nicht funktioniert, drängen viele Sicherheitsanbieter auf den Abschluss eines Incident-Response-Retainers“, erklärt Jared Winn, VP für Technologie und Infrastruktur bei Greater Sum Ventures. „Aber wie lässt sich rechtfertigen, mehr Geld von einem Kunden zu verlangen, der zuvor nicht ausreichend geschützt wurde?“
Die Kapsel als Alternative
Selbst wenn es zu akzeptieren gilt, dass der Cybersecurity-Krieg in Summe nicht zu gewinnen ist, ist es noch immer ratsam, alles Mögliche zu tun, um die Verluste zu reduzieren. Die Idee, alles Verdächtige von vornherein zu blockieren, bis es irgendwann hinreichend geprüft wurde, wirkt sich negativ auf die Produktivität aus und funktioniert am Ende nicht wirklich. Wie wäre es, das Modell einfach umzudrehen, so dass niemand mehr vor der Tür warten müsste?
Auf den ersten Blick mag sich dieses Konzept töricht anhören, aber was wäre, wenn jeder Eindringling einfach mit einer Kapsel versehen würde, aus der heraus selbst eine eingeschmuggelte Waffe keinen Schaden anrichten könnte?
Es ist zunächst entgegen der Vorstellungskraft, aber der beste Weg, das Netz zu schützen, könnte möglicherweise darin bestehen, alles zuzulassen und abzuwarten. In einer virtualisierten Umgebung könnte dies auf sichere Weise geschehen, ohne die Zugriffsmöglichkeiten der Benutzer einzuschränken und ihre Produktivität zu beeinträchtigen. In diesem Modell könnte die Netzwerkumgebung alles in der Kapsel befindliche lesen, aber es könnte nicht in sie hineingeschrieben werden. Natürlich würde eingehender Code noch immer auf Anzeichen von schädlichem Verhalten analysiert werden. Wird Malware entdeckt, kann sie beendet werden, ohne dass sie sich weiter verbreiten konnte.
Es ist an der Zeit, dass CISOs und Sicherheitsteams umdenken und sich fragen, wonach sie bei einer Cybersicherheitslösung wirklich suchen: nach einem System, das Risiken aufspürt, oder nach einer Lösung, die sich auf die Schadensverhütung konzentriert. In der Cybersicherheitsdebatte geht es zu sehr um ersteres – getrieben von höheren und schnelleren Erkennungsraten.
Neue Technologien wie „ZeroDwell Containment“ versprechen einen gänzlich anderen Ansatz, der eben letzteres ermöglicht. Es liegt in dem Ermessen der CISOs, sich damit zu beschäftigen, oder auf den eingefahrenen Wegen weiterzumachen.
Tim Bados ist Executive VP of Cybersecurity Services bei Xcitium