Die Wahrscheinlichkeitsrechnung der IT-Sicherheit

IT-Sicherheit wird auch heute noch oft mit dem eindimensionalen Schutz von Endpunkten und Endgeräten gleichgesetzt. Da Malware das Endgerät sowohl als Ziel und als Einfallstor nutzt, müssen Schutzmaßnahmen dort greifen – so lautet die Argumentation der Verfechter. Die Wahrscheinlichkeitsberechnung der IT-Sicherheit belegt jedoch, dass sich die Effizienz des Schutzschirms durch die Kombination unterschiedlicher Security-Maßnahmen deutlich steigern lässt.

Wenn ein Schutzmechanismus 99,9 Prozent aller Attacken erkennt und verhindert, bedeutet das, dass nach wie vor eine aus tausend Bedrohungen durch das Schutzaster rutschten kann. Diese Rechnung wird lediglich beispielhaft angeführt, denn es soll nicht der Eindruck entstehen, dass es sich dabei um effektiven Schutz handelt. Kombiniert man aber verschiedene, spezialisierte Abwehrmechanismen an verschiedenen Punkten einer Transaktion, lässt sich die Effizienz der Sicherheit erhöhen. Jede Schutzmaßnahme spielt dabei ihre eigenen Stärken zur Erkennung und Abwehr von Angriffen aus.

Die Wahrscheinlichkeitsberechnung zeigt, dass sich verschiedene Schutzschirme in ihrer Wirksamkeit nicht nur aufaddieren, sondern vervielfältigen. Zwei Kontrollmechanismen mit der gleichen Effizienz von 1 in 1000 reduzieren den Erfolg eines erfolgreichen Angriffs auf eine Wahrscheinlichkeit von 1 in einer Million. Um diese Multiplikation der Effizienz zu erzielen kommt es darauf an, unterschiedliche Technologien für die IT-Sicherheit einzusetzen, um darüber verschiedene Angriffsarten abzudecken. Dazu sollte beispielsweise die Untersuchung von SSL-Traffic auf Malware und Zero-Day-Attacken ebenso zählen, wie das Durchleuchten von Angriffsflächen, die ein Unternehmen durch seine Infrastruktur im Internet exponiert hat.

Kombinierter statt isolierter Schutz

Folgende Kategorisierung hilft Unternehmen beim Erstellen ihrer Sicherheitsstrategie durch eine Risikobewertung. Sie sollten Technologien unterscheiden, die für den Schutz und Vorbeugung vor Angriffen oder deren Erkennung stehen. Schutzstrategien für den Endpunkt gehen oftmals damit einher, eine bekannte Bedrohung durch Malwarefilter über dieErkennung bekannter Muster abzuwehren. Möchte man darüber hinaus unbekannte Angriffsarten erkennen, muss man auf Verhaltensanalyse setzen und darin nach Mustern im Vorgehen der Angriffe suchen und nicht mehr nach einer spezifischen Malware-Art. In einem nächsten Schritt könnte dazu nicht nur die eingehende Kommunikation auf Malware-Muster und Verhaltensweisen untersucht werden, sondern ebenso der outbound-Datenverkehr, um damit beispielsweise Command & Control-Traffic oder das Abfließen vertraulicher Informationen zu verhindern. So lassen sich je nach Sicherheitsbedürfnis eines Unternehmens nach und nach verschiedene Schichten an Abwehrmechanismen auffahren in Richtung einer Multilayered-Sicherheitsstrategie.

Neben dem Schutz vor und der Erkennung von Malware geht eine dritte Kategorie weit über die genannten klassischen Abwehrmechanismen hinaus. Der dritte Weg lässt sich aufbauend auf dem berühmten chinesischen Militär-Strategen und General Sun Tzu formulieren. Er war der Ansicht war, dass der größte Sieg derjenige ist, der keinen Kampf erfordert. Auf die IT-Sicherheit übertragen bedeutet das, dass sich Angriffe dadurch vermeiden lassen, dass man Malware-Akteuren gar nicht erst eine Angriffsfläche bieten sollte. Diese Vermeidungsstrategie wird heute noch viel zu selten im Zuge der Risikominimierung von Unternehmen eingesetzt. Im Gegenteil sind sich Unternehmen ihrer Angriffsflächen vielfach gar nicht bewusst.

Die Vorgehensweisen zur Ebenen-artigen Risikominimierung lassen sich wie folgt zusammenfassen: Der erste Weg möchte den eingehenden Angriff abwehren, der zweite versucht Bedrohungen auf Basis von Verhaltensanalyse zu entdecken und unschädlich zu machen und der dritte möchte Angriffe von vorneherein verhindern. Diese drei Methoden zusammengenommen bauen eine starke Abwehr auf und minimieren die Wahrscheinlichkeit eines erfolgreichen Cyber-Angriffs.

Zero Trust reduziert die Angriffsfläche

Unternehmen sind also gefordert, je nach ihrer Risikobereitschaft Abwehrmechanismen aufzufahren. Mit der simplen Logik von Wahrscheinlichkeitsberechnungen können sie ihr Schutzniveau so verargumentieren, dass es auf Basis von klaren Prinzipien leicht verstanden werden kann. Um auch die mögliche Angriffsfläche zu minimieren, eignet sich der Aufbau einer auf dem Zero Trust basierenden Sicherheitsstrategie. Wenn jeder Mitarbeiter oder auch Drittparteien das Unternehmensnetz mit vollem Zugriff auf alle Dateien und Anwendungen betreten darf und auf diese Weise Einblick in die gesamte Struktur des Netzwerkes hat, dann ergibt sich daraus eine deutlich erhöhte Angriffsfläche. Es reicht lediglich ein gehackter Mitarbeiter-Account, um großen Schaden im gesamten Netzwerk anzurichten. Besonders die Homeoffice-Situation führt zu einer hohen Zahl an Angriffen, da Mitarbeiter zuhause weniger aufmerksam sind und gleichzeitig ihre Arbeitsgeräte weniger geschützt sind. Konfigurationsfehler oder mögliche Schwachstellen in VPN-Hardware, die zusätzlich offen über das Internet erreichbar sind, lädt Angreifer zum Eindringen und zu lateraler Bewegung im Netzwerk ein.

Hier kommt Zero-Trust Network Access ins Spiel als Alternative für die Absicherung des Fernzugriffs. Durch ein Cloud-basiertes Modell wird der Anwender auf Basis von Autorisierung und Authentifizierung auf dem direkten Weg mit seiner Anwendung verbunden – ohne eben das gesamte Netzwerk für den Zugriff zu öffnen. Jeder Mitarbeiter kann durch die Berücksichtigung des Konzepts des Least Privilege nur auf die Daten zugreifen, die er für seine Arbeit wirklich benötigt, so dass dem Bestreben mach dem Minimalprinzip der Zugriffsberechtigungen gerecht wird. Da für diese Art der Zugangsberechtigungen auf Applikationsebene kein Netzwerkzugang mehr benötigt wird, lassen sich traditionelle Angriffsvektoren ausschalten.

ZTNA legt die Grundlage für ein umfassendes neues Connectivity- und Sicherheitskonzept, dass durch die Kombination von Identifikationstechnologie und Kontrollmechanismen aus der Cloud entsteht. Als positiver Nebeneffekt steigt auf diese Weise die Geschwindigkeit der Anbindung von Remote-Mitarbeitern deutlich, weil das Rechenzentrum als Security-Flaschenhals wegfällt und zusätzlich sinken die Kosten, da auf MPLS-Bandbreite verzichtet werden kann. Stattdessen dient der lokale Internet-Übergang als Weg zur Cloud, die die Policies der Zugriffsberechtigungen brokert und Sicherheits-Hardware obsolet macht.

Oberstes Ziel: Vermeidung von Angriffsflächen

An Multi-Layer-Security führt kaum ein Weg vorbei, wenn ein Unternehmen seine im Internet exponierte Angriffsfläche reduzieren möchte. Wenn die Infrastruktur nicht mehr im Internet für Angreifer sichtbar ist, können auch keine Attacken mehr gestartet werden. Besonders die Zunahme von Fernarbeit – und damit von Mitarbeitern, die von verschiedenen Standorten mit manchmal unzureichend gesicherten Geräten auf die Unternehmensdaten zugreifen möchten – spricht für die Transformation der Sicherheitsinfrastruktur. Durch ZTNA als Bestandteil einer Multilayer Sicherheitsstrategie lässt sich die Wahrscheinlichkeit eines erfolgreichen Angriffs noch einmal deutlich reduzieren.