Kommentar: Angriffe lassen sich nicht vermeiden – übernehmt die Verantwortung!
Shit happens, ebenso wie Sicherheitsvorfälle. Die Frage kann also nur sein, wie damit umzugehen ist – vorher wie nachher.
- David Fuhr
Wäre am 6. Oktober eine Erschütterung durch die höheren Etagen der Security-Zunft gegangen, es wäre angemessen gewesen. Die Verurteilung von Joe Sullivan, einst Mitschöpfer der Cyberstrafverfolgung beim US-amerikanischen Justizministerium und später mächtiger Sicherheitschef von Facebook und Cloudflare, ist durchaus geeignet, die persönliche juristische Sicherheit auf dem Posten eines C(I)SO (Chief (Information) Security Officer) auf den Prüfstand zu stellen.
Der Vorwurf stammt aus seiner Zeit als Sicherheitschef des Fahren-as-a-Service-Anbieters Uber. 2016 hatte er dort Hacker überredet, einen Angriff gegen Zahlung von 100.000 US-Dollar unter den Tisch zu kehren, indem der Breach kurzerhand nachträglich ins Bug-Bounty-Programm hineindefiniert wurde. Da die Verbraucherschutzbehörde Federal Trade Commision (FTC) Uber bereits wegen früherer Datenschutzverstöße auf dem Kieker hatte, wurde diese Verschleierung als Justizbehinderung gewertet sowie als Begünstigung im Sinn von Vertuschung einer Straftat.
Exemplarisch
Andererseits ist es inzwischen (leider) völlig üblich, Lösegelder zu zahlen, um eine Veröffentlichung zu verhindern, und auch Bug Bounties werden bekanntermaßen immer wieder dafür missbraucht, Vorfälle umzudeuten. Wozu also dieses Exempel, das die amerikanische Justiz an einem der Ihren statuieren will? Und noch grundlegender die Frage: Was ist die unveräußerliche Verantwortung einer CISO oder eines IT-SiBe (IT-Sicherheitsbeauftragten)?
Eines ist klar: Hundertprozentige Security gibt es nicht. Daher macht es keinen Sinn, die Verantwortlichen daran zu messen, ob Vorfälle geschehen. Vielmehr werden klassischerweise zwei Kategorien herangezogen, um die Angemessenheit der Aufgabenerfüllung zu bewerten: Stand der Technik und Due Diligence.
Wir stehen auf Technik
Stand der Technik beschreibt so schwammig-konkret wie möglich, WAS umzusetzen ist. Zwar kann mir niemand so leicht einen Strick daraus drehen, den einen Single-Sign-on-Anbieter gegenüber dem anderen bevorzugt zu haben oder dieses Backup-Produkt statt jenem. Wenn ich allerdings im Jahr 2022 meine, ohne Virenschutz oder Logging auskommen zu können, sollte ich zumindest sehr gute Argumente haben, wenn etwas schiefgeht.
Dieses Rette-meinen-Arsch-Bullshit-Bingo geht bisweilen so weit, dass große Organisationen zig Securitytechnologien im Einsatz haben, nur um sich keinerlei Blöße beim munteren "Hättet Ihr nur XY gemacht" zu geben. Es ist noch kein:e CISO dafür gefeuert worden, IBM / FireEye / Big 3 / Big 4 / Big 4711 beauftragt zu haben, lautete früher ein Bonmot unserer Branche. Heute gilt eher: Erst wenn du den Gartner Hype Cycle einmal rauf- und runtergekauft hast, sind du und dein Job auf der sicheren Seite.
Du und deine Diligenz
Doch jedes noch so löbliche WAS kann lausig umgesetzt sein. Due Diligence beschreibt, WIE die Entscheidungsbefugten verfahren sollen. Und heißt auf gut Deutsch: Gib dir halbwegs Mühe! Das Securityteam soll angemessene Sorgfaltspflicht walten lassen, wie sie von vernunftbegabten Wesen im Allgemeinen erwartet werden kann. Das klingt schon nach Mittelmaß und ist tatsächlich zunächst auch nur eine Absicherung nach unten. Vor allem kommt es aber darauf an, meine Sorgfalt im Notfall beweisen zu können. Wer schreibt, bleibt.
Innerhalb dieser Leitplanken bleiben jede Menge Entscheidungen zu treffen – in dynamischen Grauzonen, mit unvollständiger Information und oftmals unter Zeitdruck. Was kann also als Nordstern dienen, an dem wir unsere Handlungen ethisch ausrichten können? Dafür lohnt es sich tatsächlich einmal, der FDP und vor allem Finanzminister Lindner zuzuhören, auch wenn diese über ganz andere Sachverhalte sprechen: Wenn das Hauptziel der Sicherheitsverantwortlichen Schuldenreduktion wäre, würde das Ganze in die richtige Richtung gehen. Niemand kann vorhersagen, welche Schwachstelle uns nächstes Jahr das Genick brechen wird. Aber wenn wir über Jahre hinweg immer weiter technische Altlasten sammeln, steigt die Chance, dass dies bald geschieht. Und wenn die Datenschützer einen schon (in der Regel zu Recht) in der Mangel haben, muss ich doch als CISO alles tun, um das verlorene Vertrauen wiederherzustellen.
Vorsicht Nachsicht!
Es geht also um nichts weniger als eine persönliche Compliance, die mehr ist als Checklistenporno und Security-Theater. Wenn es einiger spektakulärer Verurteilungen auf der anderen Seite des Großen Teichs bedarf, damit sich das (auch bei uns) herumspricht, ist das traurig, aber vermutlich notwendig. Wichtiger ist jedoch ein Kulturwandel in Richtung Offenheit und Nachhaltigkeit, der heute bereits weitläufig zu beobachten ist, aber auf den oberen Rängen noch langsam ankommen muss.
(imp)