Zukunftsberuf: CybermanagerIn


Autor: Karlheinz Strasser

Die Digitalisierung aller Lebensbereiche schreitet mit atemberaubender Geschwindig-keit voran. Die Detektion und Abwehr einer schier unüberschaubaren Flut von hunderten Millionen Schadprogrammen beschäftigt tagtäglich die Sicherheitsindustrie und staatliche Akteure mit der Betreibung von Attribution und der Anpassung von Intrusion Sets. Die Aufklärung von Angriffen wird mit Gegenangriffen und maßgeschneiderten Operationen vorangetrieben. Ausgeklügelte Suchmaschinen wie Censys, Shodan oder Intelligence X unterstützen die Guten und die Bösen im Auffinden immer neuer Lücken. Im stressigen Alltag eines Unternehmens muss sich jemand um die Schließung dieser Einfallstore kümmern – der/die CybermanagerIn.

Die Rolle, aus einem ganzheitlichen, interdisziplinären Blickwinkel die praktische Umsetzung attributionsgetriebener Erkenntnisse in Sicherheits- und Risikostrategien und deren operative wirtschaftliche Umsetzung im täglichen Betrieb zwischen allen Beteiligten zu koordinieren, ist eine große Herausforderung. Die Kunst, Cyber-Sicherheitsmaßnahmen gegen Hacker, Sicherheitsbudgets, Risikobewertung und Risikoappetit verantwortlicher Manager im jeweiligen betriebs- und volkswirtschaftlichen Handlungskontext zu optimieren, um ein Unternehmen resilient zu machen, muss ebenso wie das richtige Hacken lange trainiert werden.

Richtige Hacker sehen ihr Handwerk als Kunstform und die Informations- und Kommunikationstechnik als Instrument ihrer Kunstfertigkeit. Aus dieser Kunst entstanden viele moderne Betriebssysteme und Programmiersprachen. In Hacking-Wettbewerben wird die Öffentlichkeit zwar dazu ermuntert, Mensch-Maschine- und Maschine-Maschine-Systeme aller Art zu knacken und Verschlüsselungen zu brechen, die Früchte dieser Erkenntnisse bleiben im Unternehmensalltag mangels intensiver Beschäftigung mit diesen Entwicklungen weitgehend unberücksichtigt.

Das bezahlte Hacking von Systemen bringt zwar bessere und stärkere Sicherheitstechniken, aber wo bleibt der Nutzen, wenn diese Erkenntnisse nicht in den Umsetzungsalltag von Betrieben einfließen. Viele Klein- und Mittelbetriebe, welche das Rückgrat unserer Wirtschaft bilden, leben (noch) in einer Welt, in der herkömmlich ausgebildete Systemadministratoren und Software-Entwickler hauptsächlich mit modularen Programmbausteinen und Klassenbibliotheken arbeiten, deren Inhalte oft ungeprüft übernommen werden. Als arbeitsteilige Spezialisten bekommen sie nicht die Zeit, sich ganzheitlich mit dem soziotechnischen System „Unternehmen“ zu beschäftigen. Das begünstigt und beschleunigt die Entstehung und Verbreitung von weiteren Sicherheitslücken.
Die Entdeckung dieser Sicherheitslücken darf jedoch keinesfalls jenen überlassen werden, die echten Schaden anrichten wollen.

Die kommerzielle Wirtschaft sucht vermehrt nach IT-Kräften, welche funktionale Codes am Fließband produzieren und weniger nach Leuten, die elegant, sicherheitsbewusst und über den Tellerrand hinausblickend programmieren können und demgemäß auch teurer sind. Oft wird ganzheitlich denkendes, erfahrenes IT-Personal als lästig und innovationshemmend empfunden und rasch durch billigere Arbeitskräfte ersetzt, welche die Strategien von Marketing- und Geschäftsverantwortlichen unkommentiert umsetzen.
Schließlich soll mit dem Einsatz von Softwareprodukten möglichst schnell ein großer Gewinn erzielt werden. Im Zeitalter billiger Massenspeicher und schneller Prozessoren wird der mittlerweile größte Kostenfaktor – das Personal – nicht mehr für zeitintensive, schlaue und das Gesamtsystem beachtende Programmierleistungen eingesetzt. Die Wechselwirkungen zwischen Softwarequalitätsmerkmalen wie Korrektheit, Robustheit, Lesbarkeit, Effizienz, Lebenszeit, Sicherheit und deren Auswirkung in unterschiedlichen Anwendungskontexten werden zu wenig beachtet. Vielmehr wird der Schwerpunkt nur mehr auf unmittelbare Kosten und Zeitgrößen gelenkt. Langfristige Folge- und Wartungskosten bleiben oft unbeachtet.

Die Annahme, wenn etwas passiert, wird es die Cyberversicherung schon richten, ist sehr trügerisch. Die Schäden aus Betriebsstillstand und Verlust von Reputation wird keine Versicherung ausgleichen, schon gar nicht, wenn fahrlässig gehandelt wurde. Die Strafen von Verwaltungsbehörden werden Versicherungen von vorneherein ausschließen.

Die rein an wirtschaftlichen Gewinnen ausgerichtete kurzfristige Denkweise in vielen Unternehmen öffnet Hackern viele Türen, um von gestressten IT-Personal schnell entwickelten, speicherintensiven Programmcode, schlecht konfigurierte Systeme und ungepatchte Softwarefehler auszunutzen.

Unterstützt wird dieser Trend durch am Markt frei erhältliche Tools, welche teilweise auch von der Sicherheitsindustrie im Rahmen ihrer Untersuchungen eingesetzt werden. Sie bilden den Ausgangspunkt für immer ausgefeiltere Angriffe. Ob Remote Access Trojaner, Backdoors, Dropper, Webshells, Credential Stealer, HUC Packet Transmitter oder Lateral Movement Frameworks – sie werden immer wieder in mehr oder weniger durch kunstfertige Abänderung abgewandelter Form eingesetzt, um zum einen Attribution zu verhindern und falsche Fährten zu legen, aber vor allem, um schnelles Geld zu machen.

Netzwerk-Monitoring und Firewalls können zwar einiges aufdecken bzw. verhindern, jedoch nur wenn IT-MitarbeiterInnen gut ausgebildet und erfahren genug sind, die Parametrierung, Beobachtung und Auswertung dieser Systeme aus einer ganzheitlichen Betrachtung heraus vorzunehmen bzw. die richtigen Maßnahmen zu ergreifen, um die fortschreitende Infektion der Informations- und Kommunikationssysteme zu verhindern.
Mit ArbeitnehmerInnen, welche in erster Linie zum gewinnbringenden, schnellen Codieren ohne ausreichendes Risiko- und Sicherheitsbewusstsein, Architektur-, Netzwerk-, Hardware- und soziotechnischem Systemwissen geschult sind, wird das kaum gelingen.

Um einen Angriff erkennen zu können, muss das IT-Personal wenigsten in der Lage sein, Angriffsmuster in Log-Dateien, Netzwerkpaketen oder Programmspeichern zu erkennen bzw. diese richtig zu interpretieren. Und zwar in einer Art und Weise, die situationsadäquat ist und entsprechende Kosten-/Nutzen- sowie Risikoüberlegungen berücksichtigt.

Maßgeschneiderte, präventive Ansätze können einen Großteil der Angriffe abschwächen bzw. verhindern. Jemand in der Rolle des/der „CybermanagerIn“ muss sich um die Koordination dieser Maßnahmen permanent annehmen, um sie qualitativ wirksam und kosteneffizient umzusetzen:

  • Einsatz von ganzheitlich ausgebildetem und motivierten IT-Schlüssel-Personal, welches Angriffe im Unternehmensnetzwerk rechtzeitig erkennen, einordnen, abwehren bzw. Antivirus-, Intrusion-Detection- und Monitoring-Systeme richtig administrieren kann.
  • Begleitende Beratung des Top-Management in der Definition von Arbeits- und Entwicklungsvereinbarungen für das Mitarbeitergespräch mit Führungskräften, damit diese Cyber-Sicherheit in ihrem Bereich als strategisches Ziel definieren und diesen Spirit auch an alle MitarbeiterInnen in Form einer Leitlinie weitergeben und in der täglichen Praxis auch vorleben.

Weitere Aufgaben im Fokus des/der CybermanagerIn sind:

  • Awareness-Schulungen zum Thema Sicherheit für alle MitarbeiterInnen
  • Einführung und Überwachung einer strengen Passwort-, Update-, Backup- und Restore-Politik
  • Veranlassung der Installation und Weiterentwicklung eines effektiven Antiphishing- und DDOS-Abwehrsystems
  • Schaffung von klaren Benutzerrichtlinien und eines motivierenden Anreizsystems zur Handhabung und Meldung von „verdächtigen“ Vorgängen (E-Mails, ungewöhnliche Dateinnamen, schnell schrumpfender Speicherplatz, verschwundene Dateien, verdächtige Inhalte, unerklärlich hohe Auslastung der Prozessoraktivität usw.)
  • Erkennen und Ausräumen „schlummernder“ Unzufriedenheit beim Schlüsselpersonal mit hohen Zugriffsberechtigungen
  • Einführung eines zeitnahen Sicherheits- und Berechtigungsprozessmanagement im Rahmen von Personalein- und -austrittsprozessen bzw. Wechsel von MitarbeiterInnen in andere Funktionen
  • Fokussierung auf die Sicherheit und Berechtigungsinhalte der Dienstleister- und Lieferantenzugänge zu sensiblen System-Bereichen und Informationen (Cloudbetreiber, IT-Dienstleister, externe Webentwickler, Service-Provider, Zulieferer usw.)
  • Veranlassung der permanenten Anpassung der Netzwerksegmentierung gemäß aktueller interner und externer Schwachstellenanalysen
  • Förderung des Einsatzes adäquater Schutzmechanismen gemäß Informationsklassifizierung (Schutz der „Kronjuwelen“) und entsprechende Verschlüsselung der Transportwege und sensibler Dateibestände
  • Strenge Überwachung der Web- und Proxyserver
  • Einführung periodischer Risiko-Managementreports zur Sicherheitslage im Unternehmen
  • Aufbau und regelmäßige Wartung entsprechender Incident-Management-Prozesse
  • Nach Möglichkeit Veranlassung von Whitelisting von Anwendungen
  • Anweisung zur strengen Handhabung von Makroausführungen (Office usw.)
  • Überwachung und Update mobiler Geräte (z.B. Smartphones) durch Mobile-Device-Management-Systeme
  • Einsatz hardwareverschlüsselter, sich bei Brute-Force-Attacken selbst zerstörender externer Speichermedien bei Datentransport außer Haus
  • Einrichtung eines abhörsicheren Besprechungsraumes für sensible Besprechungen ohne herumstehende Sprachassistenten und neugierigen Mikrofone
  • Entwicklung eines digitalen Personenschutzes für Top-Manager und Vielreisende
  • Abschluss von Cyber-Versicherungen für noch nicht abgedeckte Restrisiken

Die genannten Maßnahmen sind nur eine kleine Auswahl möglicher Aufgabenfelder, die abhängig von Branche, Unternehmensgröße, Unternehmenszweck und externen wettbewerbspolitischen Begehrlichkeiten umgesetzt werden sollten. Ob sie in der Realität gelebt werden, oder nur am Papier existieren, ist maßgeblich von der Qualifikation und Motivation der beteiligten MitarbeiterInnen abhängig.

Es ist notwendig, dass alle für Kern-Betriebsprozesse verantwortliche ManagerInnen sich regelmäßig mit dem/der CybermanagerIn abstimmen und Erfahrungen austauschen.