Kommentar: Der menschliche Faktor in der IT-Security

Dass das menschliche Element eine große Rolle in der Security spielt, ist seit Längerem bekannt. Spätestens seit sich Phishing und Social Engineering als Haupteinfallstore für Angriffe herumgesprochen haben, wissen wir, dass rein technische Lösungen nicht nur keine hundertprozentige Sicherheit herstellen können – denn eine solche ist ja prinzipiell nicht zu erreichen –, sondern häufig noch nicht einmal die Hauptknackpunkte adressieren.

Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und Über-Cyber-Schreiben: Im Hauptberuf CTO bei der intcube GmbH, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Ereignisse und allgemeingültige Wahrheiten der Informationssicherheit aus.

Trotzdem überraschte es im Jahr 2020 immer noch, als einer der wichtigsten „Influencer“ der Branche, der bekannte Microsoft-Client-Security-Experte mit dem pseudonymen Twitter-Account SwiftOnSecurity mit über 300 000 Followern am 12. August über seinen Job als Securityexperte in einem Großunternehmen schrieb (siehe Abbildung), dieser „Mist“ sei „über alle Erwartung hinaus verdammt schwer“ – und keine einzige der Herausforderungen technischer Natur.

Bedeutet das nun, dass technische Expertise nicht mehr benötigt wird? Dass Securitytools modernen Angreifern nichts mehr entgegensetzen können? Keineswegs! Vielmehr ist es so, dass zumindest Netzwerkgeräte, Betriebssysteme und Securitytools heute so weit ausgereift sind, dass mit ihnen sehr viel Prävention und Detektion möglich wäre – wenn man denn wollte oder könnte. Etwas anders sieht es aus bei Anwendungssoftware, Webanwendungen, Apps und dergleichen, wo die Produktion noch weniger ausgereift ist und das Sicherheitsniveau dementsprechend noch viel stärker schwankt.

Wer schludert hier und warum?

Warum „will“ „man“ also keine ausreichende Security herstellen? Anders gefragt: Was sind diese angeblich verdammt schweren nicht technischen Herausforderungen, die dazu führen, dass wir die immer mehr unser Leben bestimmende IT in weiten Teilen verletzlich lassen? Dafür lassen sich mehrere Klassen von Problemen anführen:

Erstens: It’s the economy, stupid. Und zwar in doppeltem Sinn: Nicht nur, dass es sich für Täter unterschiedlicher Couleur immer mehr lohnt, IT-Systeme anzugreifen, da diese immer größere Werte enthalten oder kontrollieren. Die Schnelligkeit des Marktes und Innovationsdruck führen gleichzeitig dazu, dass Security nachrangig, wenn nicht gleich als „nice to have“ behandelt wird.

Zweitens: Irren ist menschlich, ob beim Programmieren, Installieren, Konfigurieren oder beim Nutzen von IT. Und Computersysteme sind komplex. Das kann nicht ohne Weiteres gut gehen. Ein genügend motivierter und ausgestatteter Angreifer wird immer eine Lücke zwischen Sicherheitsanspruch und -wirklichkeit finden – womit wir wieder bei der Ökonomie wären.

Drittens: Irren ist menschlich. Ach so, hatten wir bereits. Aber es gibt eine weitere Ebene: Wir Menschen haben in der Evolution vieles gelernt, was uns das Überleben bis heute überhaupt ermöglicht hat. Aber zwei Dinge waren nicht dabei: der sinnvolle Umgang mit uns völlig unbekannten Risikotypen (siehe Corona) und die realistische Einschätzung der Größe von Risiken. Wir sind darauf getrimmt, alles zu tun, koste es, was es wolle, dem Säbelzahntiger zu entkommen, aber nicht darauf, eine rationale Entscheidung zwischen Weiterfressen, Kopf in den Sand und Weglaufen zu treffen. Der Klimawandel lässt grüßen. Und Computer zählen zum ersten Mal in der Geschichte mit, wie oft wir uns verschätzen. Na gut, zum zweiten Mal, wenn wir Versicherungen gelten lassen.

Viele Akteure – viele Interessen

Viertens, und darauf bezieht sich auch SwiftOnSecurity, ist der Mensch ein politisches Tier. Nicht immer geht es bei „Security“-Projekten wirklich (nur) darum, etwas sicherer zu bekommen. Die unterschiedlichen Akteure in einem Projekt, als da wären Geschäfts- oder Behördenleitung, IT, IT-Sicherheitsorganisation (falls vorhanden), alle möglichen Fachbereiche, Entwickler, Dienstleister, Regulierer, externe Partner und sonstige interessierte Parteien, haben allesamt unterschiedliche Interessen. Nicht selten geht es, wie in anderen Daseinssphären auch, um Machterhalt oder -ausbau, um Anerkennung, um Karrieren und manchmal auch direkt um Geld. Und es lohnt sich, diese Spielregeln zu kennen beziehungsweise kennenzulernen, will man in diesem Bereich etwas bewegen.

Sonst könnte es sein, dass es gerade für Neulinge schwer zu verstehen ist, warum scheinbar unnötige Produkte mit Tamtam eingeführt werden (hi, Web Application Firewall!), während wichtige vorhandene Tools nicht genutzt werden (hey, Festplattenverschlüsselung und Logging!), warum man sich sklavisch an Standards hält, die nicht mehr dem Stand der Technik entsprechen (hallo, regelmäßiger Passwortwechsel!), und warum Pentestberichte in der Schublade verstauben, während immer neue Buzzwords das Reporting an die Geschäftsführung zieren.

Die menschliche Faulheit, oft angeführt als Hauptgrund für Unbeweglichkeit und Versäumnisse, stellt eher ein Pseudoproblem dar. Sie ist nach meiner Erfahrung höchstens ein Symptom, wenn nicht gar nur ein Deckmantel, für Blockaden, die an anderer Stelle und aus anderen Gründen bestehen. Tipp für ein Experiment: Das nächste Mal, wenn Ihnen Trägheit und Lethargie begegnen (ob bei sich selbst oder bei anderen, ob im beruflichen Kontext oder nicht), probieren Sie doch einmal, sich dafür zu interessieren – im warm-freundlichen, nicht inquisitorischen Sinn –, wofür diese scheinbare Energielosigkeit gut ist, welches Gut durch sie geschützt wird. Ich hoffe, Ihr (nicht nur IT-)System wird es Ihnen danken. :-)

Diese Kolumne ist erstmals in iX 9/2020 erschienen.

(ur)