Die Meinung

Lass’ dich hacken und sprich darüber

Aus Sicht einer einzelnen Firma scheint es nicht sinnvoll, sicherheitsrelevante Informationen mit der Konkurrenz zu teilen. Doch aus einer gesamtwirtschaftlichen Perspektive ist information sharing wünschenswert.

Nicolas Zahn
Drucken
Teilen

Meldungen über Sicherheitslücken in IT-Systemen, Internet of Things-Geräten und Datendiebstähle häufen sich. Das ist angesichts immer mehr miteinander verbundenen Geräten, komplexerer Software sowie einer privaten und staatlichen Datensammelwut nicht weiter erstaunlich.

Erstaunlich ist eher, dass die Meldungen oft ohne grossen Nachhall bleiben. Natürlich, eine IT-Sicherheitspanne ist nie eine tolle Schlagzeile, doch allzu oft heisst es nach kurzer Zeit wieder: back to business as usual.

Nicolas Zahn

Nicolas Zahn arbeitet als Business Consultant für die Schweizer IT-Beratung Elca. Zuvor war er für die Credit Suisse tätig. Er ist spezialisiert auf die Schnittstelle zwischen Politik und Technologie und hat sich unter anderem in Singapur und Estland mit der digitalen Transformation des öffentlichen Sektors beschäftigt. Seit seinem Studium derInternationalen Beziehungen befasst er sich ausserdem mit geopolitischen und regulatorischen Entwicklungen. Zahn ist Mitglied der Think-Tanks foraus und reatch sowie der Operation Libero.
Nicolas Zahn arbeitet als Business Consultant für die Schweizer IT-Beratung Elca. Zuvor war er für die Credit Suisse tätig. Er ist spezialisiert auf die Schnittstelle zwischen Politik und Technologie und hat sich unter anderem in Singapur und Estland mit der digitalen Transformation des öffentlichen Sektors beschäftigt. Seit seinem Studium der
Internationalen Beziehungen befasst er sich ausserdem mit geopolitischen und regulatorischen Entwicklungen. Zahn ist Mitglied der Think-Tanks foraus und reatch sowie der Operation Libero.

Allerdings könnte sich dieser Zustand bald ändern: Erstens gibt es ein gestiegenes Bewusstsein für die Bedeutung von Cybersecurity bei Kundinnen und Kunden. Zweitens wächst das Verständnis auf Stufe Geschäftsleitung, dass es sich bei Cybersecurity um ein Business-Thema und nicht eine Teilaufgabe der IT-Abteilung handelt. Drittens existieren schärfere Regulierungen wie die europäische DSGVO, welche empfindliche Bussen in Aussicht stellen.

Firmen müssen sich also vermehrt mit der Thematik auseinandersetzen und ihre Systeme und Produkte sicherer gestalten, um die negativen Konsequenzen von Cyberrisiken in den Griff zu bekommen. Dabei setzen sie als Teil des Risikomanagements zunehmend auf Trainings der Angestellten und spezialisierte Versicherungspolicen. Sie verzichten allerdings oft auf zwei Geheimwaffen: Information sharing und Sicherheitsforscher.

Let’s talk about hacks

Wenn eine Firma überhaupt feststellt, dass ihre IT-Systeme Sicherheitslücken aufweisen und diese auch ausgenutzt werden, behält sie diese Information gerne für sich. Die Folge: andere Firmen, die vielleicht die gleichen Systeme einsetzen, müssen selbst herausfinden, dass sie ebenfalls angreifbar sind.

Aus Sicht der einzelnen Firma scheint es auf den ersten Blick nicht sinnvoll, sicherheitsrelevante Informationen mit der Konkurrenz zu teilen. Doch aus einer gesamtwirtschaftlichen Perspektive wäre information sharing wünschenswert. Eine einmal entdeckte Sicherheitslücke könnte schnell bei allen betroffenen Firmen geschlossen werden und man könnte sich innerhalb einer Industrie über best practices austauschen. Dies würde die Resilienz der gesamten Wirtschaft gegenüber Cyberrisiken erhöhen, was wiederum allen Firmen und Kundinnen entgegenkommt.

Das Potenzial von information sharing scheint auch zunehmend erkannt zu werden. Staaten versuchen über Melde- und Informationsplattformen, wie in der Schweiz über Melani, bessere Rahmenbedingungen zu schaffen. Seit Anfang 2020 ist die Anlaufstelle für Cybervorfälle verfügbar, wie
Florian Schütz, der «Mr. Cyber» des Bundes, in einem Interview bekannt machte, in dem er auch eine Debatte über eventuelle Meldepflichten ankündigt.

Zusätzlich entstehen industriespezifische Initiativen, um die unterschiedlichen Bedürfnisse verschiedener Wirtschaftssektoren besser abzudecken. Beispielsweise hat die SIX für den Schweizer Finanzsektor vor rund anderthalb Jahren den «Cyber Security Hub» gegründet um Informationen und Know-How über Cyberrisiken zu Sammeln und teilnehmenden Firmen zur Verfügung zu stellen.

Umarme den Hacker!

Bei der zweiten Geheimwaffe tun sich die Firmen jedoch schwerer. Im Kampf gegen Sicherheitslücken in IT-Systemen könnten sie nämlich das Potenzial von White Hat Hackern nutzen. Diese Sicherheitsforscher, die sogenanntes ethical hacking betreiben, versuchen Sicherheitslücken in Hard- und Software aufzuspüren.

Im Gegensatz zu den Black Hat Hackern nutzen sie dieses Wissen nicht zu ihrem persönlichen Vorteil oder um Schaden anzurichten, sondern um die betroffenen Systeme zu verbessern. Ihre Erkenntnisse teilen sie vertraulich mit den betroffenen Firmen, bevor sie sie eventuell nach einer «Schonfrist» veröffentlichen. Dieses Vorgehen bietet Firmen die Möglichkeit, die Sicherheitslücken zu schliessen und gibt den Sicherheitsforschern zugleich ein Druckmittel in die Hand, um Verbesserungen an den betroffenen Systemen durchzusetzen.

Mit ethical hacking lässt sich auch Geld verdienen, indem zum Beispiel im Auftrag einer Firma versucht wird, diese zu hacken (penetration testing) oder durch die Teilnahme an sogenannten bug bounties, in welchen eine Firma ihre Hard- oder Software auf Fehler untersuchen lässt und man für gefundene Fehler bezahlt wird. Darüber hinaus gibt es eine riesige Community an Freiwilligen, die sich in ihrer Freizeit durch Quellcode und Platinendesigns kämpfen, um neue Sicherheitslücken zu entdecken.

Der Informationsfluss stockt

Doch es hapert beim Wissenstransfer von den Sicherheitsforschern zu den Firmen: Einerseits haben nicht alle Unternehmen Prozesse, um mit den von Sicherheitsforschern gemeldeten Informationen umzugehen. Wer muss darüber informiert werden? Wie prüfen wir die Glaubwürdigkeit der Nachricht, etc.?

Andererseits reagieren Firmen teilweise genervt und greifen zu einer «Shoot the messenger»-Reaktion, statt die Hinweise entgegenzunehmen und Fehler auszubessern. Ein Fehler oder Problem in unseren Systemen? Unmöglich! Und warum schnüffeln Sie überhaupt in unseren Systemen herum?

Dieses Verhalten geht möglicherweise auf die Anfänge der IT-Revolution zurück, wo auf Hacker und Sicherheitsforscher mit oft drakonischer Gesetzgebung reagiert wurde. Doch es liegt in der Natur der Sache, dass man zur Verbesserung der Sicherheit kontinuierlich nach Schwachstellen suchen muss. Tun es nicht die «Guten», werden es die «Bösen» auf jeden Fall tun.

Die Ressourcen nutzen

Es ist deshalb auch die Verantwortung der Politik, für rechtliche Rahmenbedingungen zu sorgen, die das Potenzial von Sicherheitsforschern nicht zu stark einschränken – siehe dazu auch die Debatte um den deutschen «Hackerparagrafen».

Wenn also Cyberrisiken zunehmen und Firmen unter stärkeren Druck kommen, darauf zu reagieren, sind sie gut beraten, sich nicht wie bis anhin gegen information sharing zu sträuben und die Anstrengungen von Sicherheitsforschern zu ignorieren. Denn auf das Potenzial dieser beiden Ressourcen zu verzichten, werden sie sich längerfristig nicht leisten können.