Cyber Security ist Katz und Maus in digital

Cyber Security – Alles was du zu(deine)m Schutz im Digitalraum wissen musst

Dieser Beitrag ist Teil meiner Reihe zum Thema Cybersicherheit. Alles auf einen Blick zum Thema Cybersecurity findest du hier. Außerdem habe ich Artikel geschrieben zu den Theman: Security Awareness, Social Engineering, Internetrecherche, IT Security Lösungen und IT-Sicherheit allgemein, Informationssicherheit, Internetkriminalität und Cybercrime, Phishing und spezifischen Schutzwerkzeugen wie zum Beispiel VeraCrypt und Keepass. Mehr zum jeweiligen Artikel findest du beim Klick auf das jeweilige Wort. (Alle Schlagworte ohne Link darüber werden noch veröffentlicht und hier aktualisiert verlinkt) Viel Spaß mit diesem Artikel!

Cyber Security ist für deinen Ausflug in die weiten des Cyberspace ungefähr das, was Kleidung, die eigenen vier Wände und Schlösser in der echten Welt sind:

Cyber Security ist alles, was du brauchst, um den Launen der Natur dieser Dimension nicht schutzlos ausgesetzt zu sein.

Sie ist, richtig eingestellt, im virtuellen Alltag unsichtbar. Und bis etwas schiefgeht, bekommst du so oder so nichts davon mit.

Doch wie so oft gilt: Du merkst erst dann was dir fehlt, wenn es zu spät ist. Und dann umso schmerzhafter.

Nirgendwo sonst gilt das so intensiv wie im Bereich der Cyber Security:

Die Kosten mangelnder Cyber Security sind horrend
Q: https://de.statista.com/infografik/16825/geschaetzte-hoehe-des-durch-cyberattacken-entgangenen-umsatzes/

Ungesicherter Cyberspace ist ein Schlaraffenland für Kriminelle und sonstige Angreifer. Schätzungen zufolge sind mehr als 20 % aller Dateien im Netz ungeschützt. (Während zeitgleich der größte Schaden bei Angriffen durch den Verlust sensibler Informationen entsteht)

Cybercrime ist lukrativer als der weltweite Drogenhandel, und zwar um ein Vielfaches. (Was klar ist, denn bei skalierten Unternehmen skaliert sich der Schaden ebenfalls)

Weitere “Horrorstatistiken” wie diese finden sich hier zusammengestellt.

Kurzum: Wer nicht ausreichend auf seine Sicherheit im virtuellen Raum achtet, hat nur eine Alternative: Diesen zu verlassen. (Was, Digitalisierung Ahoj, seit langer Zeit keine Option mehr ist)

Aus diesen und weiteren Gründen schauen wir uns in diesem Artikel die wirkungsvollsten Mechanismen, besten Quellen und die Zukunft der Cyber Security an.

Konkret erfährst du in diesem „Rundum“-Artikel zum Thema Cyber Security:

  • Was ist Cyber Security?
  • Wie funktioniert Cyber Security nachhaltig?
  • Kann man Cyber Security messen?
  • Welche Voraussetzungen braucht Cyber Security?
  • Welche Gesetze gelten rund um diese?
  • Welche konkreten Maßnahmen kann man ergreifen um im Cyberraum sicher zu sein?
  • Was hat es mit dem NIST-Framework auf sich?
  • Wo geht die Zukunft der Cyber Security hin?
  • Vieles mehr…

Angeschnallt, die Fahrt geht los:

 

Was versteht man unter Cyber Security?

Fangen wir von vorn an: Was ist Cyber Security?

Ausführlicher habe ich diese Frage bereits in meiner Übersichtsseite zum Thema Cybersecurity beantwortet, doch eine einfache Definition zur Orientierung kann sein:

Cyber Security umfasst alle Maßnahmen um sicher in der digitalen Welt agieren zu können. (sicher zum Beispiel vor Datenverlusten oder Angriffen)

Es ist also ein wenig wie ein Picknickkorb, in welchem alle wichtigen Dinge eingepackt sind, damit das Picknick ein voller Erfolg wird.

Grundlagen der Cyber Security sind vor allem Informatik und Psychologie.

Ersteres, weil die digitale Welt aus Daten, Informationen besteht und Informatik daher Ihre “Naturgesetze” bestimmt.

Und zweiteres, weil der Cyberraum letzten Endes von Menschen bevölkert wird und sich daher um den Menschen dreht.

Es gibt natürlich noch viele weitere beteiligte Disziplinen wie Mathematik, Webdesign, künstliche Intelligenz etc. Aber diese beiden sind der Kern des ganzen.

 

Wie funktioniert Cyber Security?

Will man Cyber Security angemessen erklären, muss man zunächst die Mechanismen und den “Tanz” von Angreifer und Verteidiger erklären.

Dieser funktioniert im Kern genau wie das endlose Wettrüsten von Dieb und Detektiv in der echten Welt: Der Dieb versucht immer neue Methoden, setzt immer neue Techniken und Geräte ein, um den Detektiv zu überlisten. Und der Detektiv rüstet seinerseits immer weiter auf und bildet sich konstant weiter aus.

Im Wesentlichen ist Cybercrime- und Security genau dieser endlose Kreislauf aus Schwert und Schild, Kanone und Mauer.

Mit einem gewichtigen Unterschied: Im virtuellen Raum gibt es keine Identitäten, keine Möglichkeiten Angreifer zu identifizieren, besteht keine Notwendigkeit, tatsächlich den eigenen Computer zu verlassen. Ein Aggressor kann dich hacken und deine digitale Identität zum Pokerspielen auf den Philippinen nutzen, während er selbst in einem Bergcafé in Grönland sitzt.

Cybercrime ist theoretisch das perfekte Verbrechen. Es gibt keine Zeugen, keine Verletzten und keine Spuren. Alles ist verschlüsselt und verschleiert. Zumindest im Schlimmstfall. Oft sind die Angreifer nicht gut genug, um wirklich spurlos zu bleiben. Doch das ändert nichts an der Dimension dieser Gefahr: Gegen Cyberkriminalität helfen keine Türen und keine Schlösser. Du kannst eine Attacke weder spüren noch hören.

Cyberkriminalität ist die “dunkle” Seite der Digitalisierung: von überall aus einsetzbar, ohne große Teams und Organisationen effektiv und mit Skaleneffekten in jede mögliche Richtung.

Digital ist es egal, ob du 10 oder 10.000 Kunden hast. Und für Angreifer ist es egal, ob sie 10 oder 10.000 Datensätze erbeuten.

Deswegen ist Cyber Security von solch enormer Bedeutung. Sie ist wie ein Lichtschalter für deine digitalen Aktivitäten. Egal ob privat oder beruflich. Wenn du gehackt bist, kannst du virtuell prinzipiell ausgeschaltet werden und bist auf die Gnade / Langeweile deines Angreifers angewiesen.

Kein schöner Gedanke, oder?

 

Welche Herausforderungen tun sich im Zusammenhang mit Cyber Security auf?

Cyber Security ist, wie oben angesprochen, ein wirklich umfangreiches und komplexes Thema. Daraus entsteht bereits die erste Hürde: Zu überblicken, was wichtig ist und wie man es einsetzen kann.

Doch es gibt noch einige weitere Hürden / Herausforderungen:

  • Die Frage der Angemessenheit: Sollte ich als Privatperson meine Daten mit einem militärischen Verschlüsselungsstandard sichern, oder reicht da auch weniger?
  • Die Frage des richtigen Starts: Welche der zahlreichen Maßnahmen sollte die erste, zweite und dritte sein, um mich angemessen abzusichern?
  • Die Frage des Zeitpunktes: Welche Lösungen brauche ich heute und welche morgen? Und welche brauche ich gar nicht mehr, weil sie Schnee von gestern sind?
  • Die Frage der richtigen Wahl: Welches Programm, welchen Anbieter sollte ich wofür nehmen? Und wann reicht dessen Service nicht mehr aus?

Wie gesagt, das sind nur einige der Herausforderungen wirklich wasserdichter Cybersicherheit. Doch diese zeigen gut, warum zumindest ein solides Grundverständnis unersetzlich ist.

 

Kann man Cyber Security messen?

Eine Frage kommt immer wieder im Bereich der digitalen Sicherheit auf:

Gibt es einen objektiven “cyber security index”? Also eine Möglichkeit die eigene Firmensicherheit ungetrübt zu messen? Und wenn, gibt es diesen auch noch länderübergreifend? Gar weltweit?

Die Kurzantwort: Ja und nein. Ja, es gibt einen “offiziellen” Cyber Security Index der internationalen Telekommunikations-Union (ITU), der Agentur für Informations- und Kommunikationstechnologien der vereinten Nationen. Dieser wurde zuletzt 2018 veröffentlicht und sieht “von oben” betrachtet so aus:

Einer der vielen global Cyber Security Indizes
Quelle: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF-E.pdf

Etwas weiter aufgeschlüsselt sieht dieser Index so aus:

Cyber Security Index II
Quelle: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF-E.pdf

Insofern: Grob, ja.

 

Aber auch zeitgleich nein. Warum? Weil es mindestens so viele “objektive Indizes” gibt, wie es Cyber Security-Firmen auf der Welt gibt. Denn jede Firma möchte natürlich besser als die anderen nachweisen und dem Kunden Vormessen können, dass seine Leistung die beste ist.

Solche Indizes können zum Beispiel so aussehen.

Heißt: Es gibt Möglichkeiten, gute wie weniger gute, objektive wie subjektive, Cyber Security zu messen. Doch welche davon besser als andere sind, in welchem Maßstab etc. ist eine andere Frage, welche sich nahezu nicht pauschal beantworten lässt.

 

Welche Voraussetzungen braucht Cyber Security?

Um Cyber Security richtig einsetzen zu können, braucht man gewisse grundlegende Informationen. Man sollte vor einer Cyber Security-Strategie zum  Beispiel

  • sein System kennen
  • seine Anforderungen kennen
  • sein Budget kennen
  • den Rahmen der Umsetzung grob verstehen und vorgeben können.

 

Warum ist Cyber Security wichtig?

Nachdem wir die Grundlagen erörtert haben, noch eine kleine Geschichte zur Verdeutlichung der Wichtigkeit von Cybersicherheit in zwei Bildern:

Q: https://www.gutjahr.biz/2013/05/identity-theft/
Q: https://www.gutjahr.biz/2013/05/identity-theft/

 

Weitere Angriffsszenarien etc. findest du auf meiner Hub-Seite zum Thema Cybersecurity.

 

Welche Gesetze gelten für Cyber Security in Deutschland?

Abseits der offensichtlichen Bedrohungslage und permanenter Angriffsflächen ungeschützter Systeme kann auch der gesetzliche Druck bestehen, die eigenen Systeme zu sichern.

Vor allem bei systemkritischen Infrastruktur-Betreibern ist dies der Fall.

Cyber Security Gesetze
Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Schutz-Kritischer-Infrastrukturen-ITSig-u-UP-KRITIS.pdf?__blob=publicationFile&v=7

In den meisten Fällen gelten das IT-Sicherheitsgesetz bzw. die NIS-Richtlinie. (NIS steht dabei für Netz und Informations-Sicherheit)

 

Mehr dazu findest du auf den offiziellen Seiten der Bundesregierung dazu:

 

Cyber Security, Team und Management

Cyber Security ist vor allem auf Team- und Management-Level extrem wichtig. Warum? Weil nur mit einer offenen, vertrauensvollen Struktur und Kultur destruktive Szenarien vermieden werden können. Wie zum Beispiel:

  1. Das Ausspielen des / der Teams gegeneinander (weil diese keine Informationen miteinander teilen, weil sie zerstritten sind oder dergleichen)
  2. Das Ausnutzen von Informationslücken zwischen den Teams (Weil das eine Team das andere nicht informiert über Fortschritte, Planung etc.)
  3. Das Missbrauchen von strengen Hierarchien (indem die nicht hinterfragte Hörigkeit nach “Oben” dazu führt, dass sensible Daten in die Hände von Angreifern gelangen)

Es gibt noch Dutzende, wenn nicht hunderte weitere Angriffsszenarien wie diese. Und alle basieren auf Firmenkultur- bzw. Struktur.

Deswegen sind Team und Management welche diese vorlebt so wichtig.

Mehr dazu findest du auf meiner Seite zu Security Awareness.

 

Angriffsziel Deutschland: Cyber Security für den Mittelstand

Was uns direkt zum nächsten Punkt bringt: Da wir in Deutschland sehr viele Hidden Champions, Weltmarktführer in spezifischen Nischen und technisch exzellente Mittelstandsfirmen haben, bieten sich für Angreifer hier sehr lukrative Ziele.

Da diese Firmen wie gesagt oftmals technisch sehr fit und Angriffe gegen unsichere Mitarbeiter viel einfacher sind, attackieren Aggressoren dementsprechend auch eher den Menschen hinter dem Bildschirm.

Mehr dazu inklusive konkreten Schutz-Strategien findest du auch auf meiner Seite zur Security Awareness.

 

Cyber Security Maßnahmen

Nachdem wir jetzt die verschiedenen Blickwinkel rund um die Grundlagen der Cybersicherheit kennen, kommen wir zur konkreten Umsetzung.

Welche Cyber Security Maßnahmen bringen den meisten “Bang per Buck”, den größten Effekt pro eingesetzter Ressource?

Im Wesentlichen lassen sich Cyber Security Maßnahmen grob kategorisieren in:

  1. Strategie: Ein individuelles, einsatz- geprüftes Cyber Security Konzept.
  2. Taktik: Permanent verbesserte Cyber Security Awareness, also das Sicherheitsbewusstsein aller beteiligter Personen
  3. Backup: Dem Cyber Security Notfallplan, für den Fall eines Angriffs und
  4. Rahmen: Der Kenntnis des Cyber Security NIST-Frameworks als Grundlage und Ergänzung dieser Pfeiler.

Schauen wir uns die wichtigsten Cyber Security Maßnahmen nachfolgend etwas genauer an:

 

Cyber Security Awareness: Sicherheitsbewusstsein als beste Waffe gegen jede Attacke

Wie bereits mehrfach angesprochen, ist Security Awareness eine der wichtigsten Verteidigungsstrategien gegen jeden digitalen Angriff. Denn diese ist die direkte Antwort auf das größte Einfallstor von Cyber-Kriminellen.

Deswegen sollte Cyber Security Awareness immer ganz oben auf jeder Maßnahmen-Liste stehen.

Mehr zur Cyber Security Awareness findest du hier.

 

Der Cyber Security Notfallplan:

Oftmals wird hier an die BSI-Seite bzw. die Seite der Allianz für Cybersicherheit mit Ihren hilfreichen Dokumenten verwiesen:

Mit diesen Grundlagen kommt man schon sehr weit. Doch wie sieht ein eigener Cyber Security Notfallplan aus? Exemplarisch zum Beispiel so: https://konbriefing.com/de-files/it-notfallplan/IT-Notfallplan-0.2.pdf

Der Cyber Security Notfallplan hilft wenn alles sonst zu spät ist

 

Was ist das Cyber Security NIST Framework? – Und warum ist es so wichtig?

Vom Notfallplan zu einem der wichtigsten Dokumente der gesamten Cybersicherheit: Dem Cyber Security NIST Framework.

Was ist das Cyber Security NIST Framework, was tut es und warum ist es so wichtig?

Das “Framework for Improving Critical Infrastructure Cybersecurity” des National Institute of Standards and Technology – oder kurz “NIST Framework” ist so etwas wie die Leitplanke der Cybersicherheit.

Warum? Weil es keine so kompakte, so wohl gewählte Alternative zu diesem gibt.

Es ist insgesamt 48 Seiten lang, wobei die ersten und letzten 4 Seiten Intro und Begriffserklärungen sind.

Es ist allein schon für seinen Kern wichtig:

Cyber Security NIST Framework Core
Q: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

Zusätzlich gibt es in diesem Struktur-Dokument Hinweise zur Implementierung, Koordination, Kommunikation mit relevanten Stakeholdern und vielem mehr.

Risk Management mit dem NIST Framework
Q: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

 

Mehr “Bang per Buck” gibt es in kaum einem anderen Werk in diesem Bereich.

Meiner Meinung nach ist das Cyber Security NIST Framework eines der Grundlagenwerke eines jeden Experten in diesem Bereich.

Zu finden ist die stets aktuelle Version des NIST Frameworks hier: https://www.nist.gov/cyberframework/framework

 

Die Zukunft der Cyber Security

Wir haben jetzt also die Grundlagen, Dringlichkeit und Maßnahmen rund um das Thema Cyber Security näher beleuchtet.

Bleibt nur noch ein wichtiger Punkt: Die Zukunft dieses komplexen Feldes.

Und die bleibt spannend!

In absehbarer Zeit gibt es drei zentrale Trends, welche sich massiv und grundlegend auf die Cyber Security auswirken werden:

Die Zukunft der Cyber Security

Cyber Security Trend #1: Stärkerer Einsatz künstlicher Intelligenz

“Künstliche Intelligenz (KI) ist die letzte Erfindung, welche die Menschheit machen muss. Ab dann übernimmt den Rest die KI selbst.”

So oder so ähnlich geht die aktuelle Diskussion rund um dieses gigantische Gebiet in Kurzform.

Die Idee dahinter, wieder in kurz, geht ungefähr so: Künstliche Intelligenz kann automatisiert schneller und besser im Digitalraum navigieren, als es ein Mensch je könnte.

Heißt: Alles von Innovation über Testing und Kundenmanagement bis hin zur Auslieferung übernimmt zum Großteil die KI.

Abgesehen davon, dass wir uns aktuell mit Höchstgeschwindigkeit in genau diese Richtung entwickeln, birgt diese “erweiterte Virtualisierung” noch weitere, eklatante Herausforderungen:

Wenn sich alles schneller und besser automatisieren lässt, gilt dies auch für Cyberattacken? Und, hoffentlich auch für Cyber Security?

Die Kurzantwort: Wahrscheinlich. Sehr wahrscheinlich. Viele Cybersecurity-Experten sehen ein großes Automatisierungspotenzial sowohl in den Anwendungen, als auch in Ihren Aufgabenbereichen.

Vielleicht haben wir also bald virtuelle Assistenten, die miteinander sprechen. Und die Sicherheit erledigen diese direkt von selbst in diesem Schritt mit.

Das kann in vielen verschiedenen Teilbereichen geschehen, aber auch “am Stück”.

Zum Beispiel in Form von “AI Sandboxes”, wie ich in einem Artikel 2019 bereits geschrieben habe. Mehr zu KI + Cyber Security an anderer Stelle.

 

Cyber Security Trend #2: (Stärkerer) Einsatz von Quantencomputern

Quantencomputer arbeiten grundlegend anders als “herkömmliche” Computer.

Aus diesem Grund müssen Systeme auch fundamental anders gesichert werden.

Und da selbst in Deutschland so langsam die Quanten-Welle losrollt, wird das auch keine Jahrzehnte mehr dauern.

Heißt: In Quanten-”harten” Systemen wird in absehbarer Zeit mehr und mehr Fokus und Geld liegen. (müssen)+

Hier wird vor allem die sogenannte “Post-Quanten-Kryptografie” immer stärker zum Tragen kommen.

 

Cyber Security Trend #3: Immer perfidere und ausgeklügeltere Social Engineering-Strategien

Der letzte große, absehbare Trend in der Cyber Security sind immer komplexere Angriffe gegen die Anwender. Diese Attacken werden immer

  • Individueller
  • Präziser
  • Kontextsensitiver und
  • Datenunterfütterter

Es wird also immer herausfordernder für User zum Beispiel Spam- und Phishingmails effektiv zu erkennen und zu filtern.

Auch hier werden mehr und mehr technische Hilfen auf den Markt kommen. Doch am sichersten bleibt nach wie vor eines: das Grundverständnis der relevanten Angriffspunkte.

Wie eine solche fortgeschrittene Attacke begonnen werden kann und welche Daten dabei herausgefunden werden können, zeige ich in meiner Mikro-Schulung zum Thema:

Coming soon. Wenn du up to date bleiben möchtest, trage dich in meinen Newsletter ein.

 

Das soll es hierzu erstmal gewesen sein, ich hoffe dieser Artikel konnte etwas Licht ins Dunkel bringen.

Mehr von mir zum Thema findest du auf meiner Cybersecurity Übersichtsseite oder direkt bei meinen Angeboten.

 

Viel Erfolg und stay safe!