Cyberrisiken: Strategien gegen Risiken

etwas Bellestristik

Das Risiko der unsichtbaren offenen Tür

Gaunerzinken. Die Haustür steht offen, das Licht ist aus, und der Sportwagen stehen nicht in der Garage. Man muss kein Superschurke à la Lord Voldemort oder Darth Vader sein, um hier die perfekten Bedingungen für ein Verbrechen , einen Einbruch zu erkennen. Ein bisschen Neugier, der Reiz, etwas Schabernack zu treiben – es reicht, ohne viel zu riskieren, durch die Tür zu schlüpfen und sich umzusehen. Vielleicht, aber nur vielleicht, kann man ja etwas mitnehmen.

Dasselbe Szenario gilt auch für die digitale Welt, nur dass hier die offene Haustür für eine potenzielle Schwachstelle steht. Während wir die physisch offene Haustür noch schnell erkennen und darauf reagieren können – oder zumindest vom guten Nachbarn darauf aufmerksam gemacht werden – passiert dies in der digitalen Welt alles unsichtbar und unbemerkt. Niemand macht uns auf unsere offenen Türen aufmerksam, und die Gefahr wird erst dann richtig sichtbar, wenn sich das System nicht mehr so verhält wie erwartet, Daten verloren gehen, wir keinen Zugriff mehr auf unsere eigenen Systeme haben  oder im schlimmsten Fall erpresst werden. Zu spät, Shit happens!!

Die Frage, die im Raum steht: Wie kann ich mich davor schützen und sicherstellen, dass keine „offene Tür“ in meiner IT-Infrastruktur existiert? Und sollte ich doch etwas übersehen haben, wie kann ich das Risiko minimieren, nicht doch mit heruntergelassener Hose von einem Gangster in meinem Wohnzimmer erwischt zu werden?

Die Möglichkeiten zur Risikovermeidung sind denkbar einfach, die Anwendung jedoch komplex. Grundsätzlich gibt es vier Möglichkeiten, dem Risiko zu begegnen:

Antworten auf Risiken

1. Vermeiden

   Risiken vermeiden, indem man sein Verhalten ändert oder bestimmte Aktivitäten komplett aufgibt. Im übertragenen Sinn: Wenn ich mein Haus ohne Türen und Fenster baue, gehe ich kein Risiko ein, etwas offen zu lassen. Wenn ich auf digitale Geräte verzichte – kein Handy, kein PC – kann ich nicht gehackt werden. Immer noch der einfachste und komfortabelste Weg, digital sicher zu bleiben. Doch seien wir mal ehrlich: Wer kann es sich in unserer vernetzten Welt, ohne abgehängt zu werden noch, leisten, auf diese Weise zu leben? Für die meisten von uns keine praktikable Lösung.

2. Mindern

   Der wahrscheinlich erste Schritt, wenn ich mich mit einer potenziellen Gefahr konfrontiert sehe, ist es, diese Gefahr aktiv zu verringern. Bei einem Haus und der Wahrscheinlichkeit eines Einbruchs würde man Maßnahmen wie Alarmanlagen, Zäune und automatisch schließende Türen ergreifen. In der IT-Sicherheit wird dies jedoch schnell komplexer. Hier kommen Firewalls, VPNs, Sicherheitsupdates und Zero-Trust-Modelle ins Spiel. Keine Schande, doch als Alltags-User sehen sich viele vermutlich schnell von den Begrifflichkeiten überfordert. Dazu kommt, dass all diese Komponenten aufeinander abgestimmt sein müssen und ein ganzheitliches Konzept erforderlich ist. Die Angriffsfläche wächst mit jeder weiteren Tür, mit jedem weiteren Fenster, im übertragen Sinne mit jedem weiteren PC, jedem weiteren Handy.

3. Akzeptieren

   Ja, manchmal ist es sinnvoll, ein Risiko bewusst einzugehen und die Konsequenzen zu akzeptieren, besonders wenn der Schaden im schlimmsten Fall überschaubar bleibt. Wenn das Risiko eines Einbruchs nur mit dem Verlust eines gut gefüllten Kühlschranks, etwas Käse, Wurst, Bananen und dem saftigen Krapfen, auf den man sich schon den ganzen Tag gefreut hat, einhergeht, ist dies unangenehm, aber in keinem Fall katastrophal. Für das Geld einer Alarmanlage könnte ich im Worst Case vermutlich etliche Male im Restaurant essen gehen. In der IT sollte man jedoch bedenken, dass das Risiko, vertrauliche Daten wie Passwörter, Kundeninformationen, Bilanzzahlen usw. zu verlieren, vermutlich weit größer ist als der Verlust eines Kühlschrankinhalts und des beiseitegelegten Feiertagskrapfens.

4. Übertragen

   Das Risiko auf eine andere Partei verlagern. Dieses Geschäftsmodell nutzen vor allem Versicherungen schon seit Jahren. Allerdings stellt sich in unserem Fall die Frage, ob jemand eine Einbruch- und Diebstahlversicherung für ein Haus ohne abschließbare Türen verkauft. Als Geschäftsmann würde ich mich vor derartigen unvorsichtigen Kunden hüten. In der IT gilt dasselbe: Wenn die Sicherheitsvorkehrungen unzureichend sind, wird es schwierig, jemanden zu finden, der das Risiko versichert. Nicht umsonst wurden deshalb für besonders kritische und wichtige Bereiche des Lebens notwendige Zertifizierungen wie ISO 27001 und NIST2 eingeführt, die belegen, dass ein Unternehmen gewisse Sicherheitsanforderungen erfüllt.
   
   

Vier Möglichkeiten. Nun, was tun?

Eine Risiko-Strategie

Die vier Möglichkeiten, auf Risiken zu reagieren, sind an sich denkbar einfach. Allerdings lassen sich diese Möglichkeiten nur in den seltensten Fällen einzeln anwenden. Um eine passende Strategie für die eigenen Risiken zu entwickeln, müssen in erster Linie alle potenziellen Risiken gesichtet und dann anhand der Eintrittswahrscheinlichkeit sowie des Schadenspotenzials bewertet werden.

RISIKO = Eintrittswahrscheinlichkeit x Auswirkung (Schadenspotenzial)

Im nächsten Schritt gilt es, eine ganzheitliche Strategie zu erarbeiten und die Entscheidung zu treffen, ob die Risiken intern oder extern behandelt werden sollen.

Fazit:

Der erste Schritt, um Risiken zu minimieren, ist die Auseinandersetzung mit den eigenen IT-Risiken und potenziellen Gefahren. Wer sich mit seinen Risiken und den potenziellen Schäden auseinandersetzt und immer noch ruhig schlafen kann, ist auf dem richtigen Weg. Andernfalls sollten die Optionen der Vermeidung, Minderung und Übertragung neu überdacht und angepasst werden.

Andernfalls sollten die Optionen der Vermeidung, Minderung und Übertragung neu überdacht und angepasst werden oder gegebenenfalls Experten zur Rate gezogen werden. Vergesst nicht, eure Haustür abzuschließen.