Ich arbeite bereits seit 15 Jahren in der Cybersicherheitsbranche. In dieser Zeit – und zusammen mit anderen Informationssicherheitsveteranen – habe ich den Hype um die zunehmende FUD-Strategie (Fear, Uncertainty and Doubt) aus erster Hand miterlebt. Und ja, ich muss zugeben, es hat funktioniert. Die Neuromarketing-Wissenschaft hat hier einen Volltreffer gelandet, denn Furcht und Angst haben tatsächlich dazu beigetragen, Sicherheitsprodukte zu verkaufen. Wie jedes starke Medikament hatte allerdings auch das FUD-Konzept gleich mehrere Nebenwirkungen.
Wir als Industrie können uns vor FUD nicht verstecken, da wir davon abhängig sind. Für uns zeigt sich FUD in einigen unserer Kunden, die nach Beweisen verlangen, dass das, was wir ihnen vorstellen, nicht nur eine weitere potenzielle Lücke ist, sondern eine echte Gefahr darstellt. Leider ist ein schlimmes Ereignis der beste Beweis für die Authentizität einer Gefahr. Und aus genau diesem Grund sind auch die Medien von FUD abhängig. Je mehr Geld verloren wird, desto besser die Story.
Jetzt kommen die Aufsichtsbehörden ins Spiel, mit ihrer Tendenz, zu übertreiben und strikte Compliance-Anforderungen und Geldbußen zu verhängen. Dadurch befinden sich Sicherheitsforscher, Produktentwickler, Vermarkter, Medien und Aufsichtsbehörden in einer strategischen Falle, die in der Spieltheorie „Gefangenendilemma“ genannt wird: eine Situation, in der alle Spieler nicht optimale Strategien benutzen müssen, da sie sonst verlieren würden. Im Fall der Informationssicherheitsindustrie führt diese nicht optimale Strategie zu weiterem FUD.
Wir können uns aus dieser Falle nur befreien, wenn wir eins verstehen: Die Zukunft kann nicht auf dieser Basis aus Angst erbaut werden.
Diese Zukunft liegt nicht in der Ferne, sondern ist bereits da. Roboter fahren bereits LKW und schleichen über den Mars. Sie schreiben Musik und neue Rezepte. Diese Zukunft ist in vielen Punkten nicht annähernd perfekt, einschließlich die der Cybersicherheit; aber wir sind hier, um sie zu stärken und nicht zu verhindern.
Eugene Kaspersky erkläre kürzlich, dass er glaubt, dass „das Konzept von Cybersicherheit bald veraltet sein wird und es durch Cyberimmunität ersetzt werden wird.“ Das kann sich bizarr anhören, aber die Bedeutung ist viel tiefgründiger und es lohnt sich, sie zu erklären. Lassen Sie mich ein wenig genauer auf das Konzept der Cyberimmunität eingehen.
Cyberimmunität ist genau der richtige Begriff, um unsere Sicht auf eine sicherere Zukunft zu erklären. Im wahren Leben ist das Immunsystem eines Unternehmens niemals perfekt und Viren und andere bösartige mikrobiologische Objekte finden immer einen Weg, es auszutricksen oder es sogar anzugreifen. Jedoch haben Immunsysteme etwas Wichtiges gemein: Sie lernen und passen sich an. Sie können durch Impfungen zu möglichen Gefahren „geschult“ werden. In Zeiten einer Gefahr können wir es mit fertigen Antikörpern unterstützen.
In der Cybersicherheit hatten wir es meistens mit diesem Fall zu tun. Wenn die IT-Systeme unserer Kunden Infektionen erlagen, mussten wir mit Lösungen bereitstehen. Aber dann begann die Abhängigkeit von FUD und Sicherheitsanbieter baten vorbereitete Lösungen für Krankheiten, die wirklich weh taten. Diese „Superpower“ erwies sich für den Informationssicherheitssektor als süchtig machend. Wir waren der Ansicht, dass es Zeit für starke Antibiotika war, denn, glauben Sie uns, das Problem war wirklich ernst. Aber starke Antibiotika machen nur Sinn, wenn die Infektion fortgeschritten ist, und da sind wir uns alle einig, dass dies das ungünstigste Szenario ist. In unserer Cybersicherheits-Metapher wäre es besser gewesen, hätte das Immunsystem die Infektion vor ihrem Ausbreiten gestoppt.
Heute sind IT-Systeme sehr uneinheitlich und können nicht außerhalb des menschlichen Kontextes betrachtet werden; die, die die Geräte ausführen, und die, die mit den Geräten interagieren. Die Nachfrage an „Erziehung des Immunsystems“ wurde so hoch, dass wir tatsächlich einen Trend in Richtung der Priorisierung von Dienstleistungen sehen, die über dem eigentlich benutzten Produkt selbst steht. (Das „Produkt“ ist heutzutage in vielen Fällen eine angepasste Lösung, eine, die an die Besonderheiten des IT-Systems, zu dem es passen soll, angepasst ist.)
Ein Verständnis dieser Sicht kam nicht von heute auf morgen. Und wie bei Impfungen ist sie kein einmaliger Ansatz, sondern eher eine Reihe von Impfversuchen, die alle dasselbe Ziel haben: stärkere Cyberimmunität für eine sicherere Zukunft.
In erster Linie kann eine sicherere Zukunft auf einer sicheren Basis erbaut werden. Wir glauben, dass dies möglich ist, wenn alle Systeme von Anfang an die Sicherheit berücksichtigen. Reale Anwendungen in der Telekommunikations- und Automobilindustrie testen bereits unseren visionären Ansatz. Für Fahrzeughersteller, die hohen Wert auf Sicherheit legen, ist unser Leitspruch zum „Bauen einer sichereren Zukunft“ besonders wichtig. In der Automobilwelt bedeutet Sicherheit buchstäblich körperliche Sicherheit.
Wie bei biologischen Impfungen erwarten wir vom Cyberimmunitätskonzept, dass es auf Skepsis stößt. Die erste Frage, die ich erwarte, ist: „Können wir der Impfung und ihrem Händler wirklich vertrauen?“ Ein Vertrauen in die Cybersicherheit ist von großer Bedeutung und wir glauben, dass unser Wort allein nicht ausreicht. Wenn Kunden eines Cybersicherheitsunternehmens die Sicherheit und Integrität von Software sehen möchten, haben sie ihr gutes Recht dazu (was den Quellcode angeht). Wir stellen ihn zur Verfügung, und alles, was der Kunde braucht, ist ein wenig Aufmerksamkeit und einen PC, um das alles zu analysieren. Dafür muss ein PC in einem sicheren Zustand sein, damit Beobachter den Code nicht selbst manipulieren können. So wie Sie möglicherweise mehrere Ärzte zu Rate ziehen möchten, macht auch ein Blick durch einen Drittanbieter hier Sinn. Bei IT-Lösungen kann dieser Blick von außen ein Vertreter einer Big Four-Prüfungsgesellschaft sein, der erklären kann, was diese Bits und Bytes wirklich für Ihr Unternehmen bedeuten.
Eine weitere wichtige Komponente ist die Fähigkeit des Immunsystems, sich Angriffen zu widersetzen. Cybersicherheitssoftware ist noch immer Software und kann selbst Schwachstellen haben. Am besten werden diese Schwachstellen entdeckt, wenn sie durch White-Hat-Hacker aufgedeckt werden; das sind die, die Schwachstellen finden und Händler darüber informieren. Die Idee hinter einem Preis für das Finden eines Bugs in Software wurde zuerst 1983 eingeführt und ist absolut brillant, da dadurch die finanziellen Anreize für Black-Hat-Hacker reduziert werden (die gefundene Schwachstellen durchstöbern oder sie an sie an andere Cyberkriminelle verkaufen). White-Hat-Hacker verlangen jedoch von den von ihnen untersuchten Unternehmen, dass diese sie nicht verraten und verfolgen.
Bei Nachfrage besteht auch Angebot. Daher haben wir kürzlich Vorschläge für Vereinbarungen zwischen Forschern und Unternehmen gesehen, die diese versuchen können, zu hacken, ohne dass sie eines Verbrechens beschuldigt werden, solange sie den Regeln folgen. Ich glaube, dass ein Weg in diese Richtung ein Schritt in eine sicherere Zukunft ist, mit weniger Panikmache als in der Vergangenheit, aber diese Reise wird ihre Zeit brauchen.