Ein Plädoyer im Lichte der menschlichen Biologie

Die Möglichkeiten klassischer Schutzmaßnahmen sind weitgehend ausgeschöpft – lediglich auf neue Technologie zu setzen, hilft nicht weiter. IT- und Informations-Sicherheit sollten vollkommen neu und ganzheitlich gedacht, Organisationen fit und widerstandsfähig gemacht werden, um auch unter größtem Stress noch zu funktionieren, sich anschließend schnell erholen und neu ausrichten zu können. Anregungen liefert uns unter anderem die Neurowissenschaften und die Biologie.

In Höchstgeschwindigkeit entstehen derzeit neue Geschäftsmodelle und Wertschöpfungsketten; die Art zu arbeiten verändert sich drastisch. Auch für die IT-Sicherheit bedeutet das radikale, disruptive Veränderungen – ein Mehr an Unberechenbarkeit und Unsicherheit ist die Folge. Denn egal, ob Blue-Teams gegen Red-Teams antreten, starke Verschlüsselungen von heute schon "morgen" zu knacken sind oder die aktuellen Buzzword-Favoriten AI / KI / ML durchs Dorf getrieben werden: Letztendlich basieren die Schutzmechanismen der IT auf den Grundlagen der 50er-Jahre – prinzipiell nichts Neues, aber heute noch immer als Maß der Dinge vermittelt.

Doch auf uns alle kommen Entwicklungen zu, die nicht absehbar und nicht berechenbar sind und die mit dem Altbekannten brechen. Die neuen Herausforderungen, vor der auch die IT-Sicherheit steht, heißen Komplexität und Geschwindigkeit. Start-ups und jungen kreativen Geistern sind die Regeln von vorgestern nämlich egal: Sie entwickeln vollkommen neue Möglichkeiten. Und das geschieht in einem wesentlich höheren Tempo, als es Unternehmen in ihre IT integrieren könnten. Eine Klassifizierung der Schutzbedarfe anhand von Regelwerk-Kaskaden des Gesetzgebers und/oder Branchenstandards wird häufig vor der Veränderungsgeschwindigkeit kapitulieren müssen.

[vimeo:657728112]

Neue Unsicherheit

Überall zeigen sich auf Gipfeln, Konferenzen oder Meetings daher Verunsicherungen, Unberechenbarkeiten, Verluste der Planbarkeit und in den schlimmsten Fällen Verharren in Bewegungslosigkeit. Überall wird über IT 4.0 geredet, neue Technologie vorgestellt, werden neue bahnbrechende Möglichkeiten skizziert. Und doch merkt man die völlig unterschiedlichen Verständnislevel des Gesagten in den meisten Diskussionen: Gesetze, die lediglich bis an Landesgrenzen reichen, haben Datenpakete noch nie interessiert, und der Grundsatz "Function first" ist in der heutigen Entwicklung wichtiger denn je.

Der Einsatz neuer Technologie bedeutet gleichzeitig auch neue Angriffsmuster, neue Gefährdungen, neue Ängste, neue Bedrohungen. Für alle (vorausbedachten) Eventualitäten bietet der Markt zwar eine Vielzahl findiger Einzellösungen, Schutz- oder Abwehrmechanismen an. Doch der Praxisschock erfolgt dann später im eigenen Hause: etwa in Form von nicht zusammenpassenden Schnittstellen der notwendigen IT und "Operational Technology" (OT) oder dem Aufeinanderprallen diverser inkompatibler interner und externer Regelwerke.

IT und somit auch IT-Sicherheit sind selbstverständlich prozessorientiert. Aber ist es der richtige Weg, zu jedem neuen Verfahren in der IT auch sofort eine "neue IT-Security" erfinden und vor allem auch einkaufen zu müssen? Als hätte man IT-Sicherheit schon ganzheitlich betrachtet, wenn man immer alle neuesten "Solutions" erwirbt.

Ganzheitlichkeit ist gefordert

In der gelebten Praxis arbeiten die Beschäftigten der IT-Security mehr oder minder alle in ihren mehr oder minder kleinen Silos vor sich hin und betreiben Flickwerk anhand des "State of the Art" der aktuellen technischen Tendenzen oder der neuesten Buzzwords, die ein gutes Gefühl verleihen, auf der sicheren Seite zu stehen.

Mit viel Glück hat ein Unternehmen dutzende fachlich versierte Angestellte, die im Schadensfall versuchen, Probleme zu identifizieren und zu beheben. Und ein Kommunikationsverantwortlicher darf über Themen, die er nicht kennt und versteht, eine Pressemitteilung verfassen. In der Regel geht diese Art des Krisenmanagements dann schief.
Die thematische Trennung zwischen den Disziplinen und Abteilungen oder auch die völlig sinnfreie Trennung von physischer Security und IT-Security ist hochgradig kontraproduktiv. Und wo steht bitte schön eigentlich die Informations-Sicherheit, die sich nicht auf Systeme, sondern auf Inhalte fokussiert?

Der Knackpunkt ist der fehlende Blick für das Ganze – das Zusammenspiel von Menschen, Organisation und Technik, die Abhängigkeiten voneinander, die fehlende Brückenbildung von Verständnis, Komplexität und Operationalität. Bezogen auf die analoge Welt sind derzeitige Maßnahmen zur IT-Sicherheit nichts anderes als Ellbogenschoner beim Skating, Helme zum Rafting oder die Kurzhaarfrisur beim Kampfsport.

Dabei gibt es nur ein einziges Buzzword, das sinnvoll als Führungsbild für ein ganzheitliches Sicherheitsverständnis herhalten kann und darf: Resilienz – die Widerstandsfähigkeit einer Organisation, sich im Sturm der Ereignisse zu biegen, aber nicht zu brechen.

Akzeptanz des Unvermeidbaren

Ein Gedanke muss endlich alltagstauglich werden: "Es gibt keine Sicherheit! Es gibt nur eine vage Skalierung der Unsicherheit – aber wir sind vorbereitet." Denn die Erfahrung zeigt: Alles was passieren kann, wird auch passieren. Die Frage ist nicht wieso oder wie kann man es verhindern – sondern wann und wo passiert es und was machen wir dann?! Wer hatte beispielsweise vor 2018 Angriffe auf Prozessorebene à la Meltdown & Spectre auf dem Zettel, geschweige denn den Hauch einer Ahnung davon, wie man sie abwehren könnte?

Die entscheidende Frage ist also: Wie kann ich mit Unbekanntem und Unvorhergesehenem umgehen?! Ein Blick auf die Prinzipien der Natur mag bei der Entwicklung entsprechender Konzepte hilfreich sein – darin liegt ein unglaubliches Potenzial, das wir für die Denkweise zur IT-Sicherheit nutzen können.

Prinzip "Überleben"

Um ins Kleine zu gelangen, muss zuerst der Blick aufs Ganze erfolgen: Ausgangspunkt ist das "Big Picture", das Gesamtsystem, der Organismus. Über tausende Jahre hinweg hat sich der Mensch evolutionär entwickelt und an die jeweiligen Erfordernisse immer neu angepasst.

Aufgabe des sich anpassenden Gehirns war es, die Langsamkeit der evolutionären Möglichkeiten der Natur auszugleichen, indem der Organismus "Mensch" sich Behelfslösungen erstellen konnte, um in den noch so unwirtlichsten Situationen das Einzige zu tun, was im Sinne der Natur liegt: überleben. "Funktionieren und Überleben" sollte auch bei Unternehmen und Organisationen entscheidend sein!

Wir haben mit dem menschlichen Organismus ein alleingestelltes komplexes Ökosystem – mit Schnittstellen nach außen, mit notwendigen "Lieferketten", Abfallproduktion, Energieverlusten, Wirkungsgrad, Materialfehlern, Fremdeinwirkungen, Fremdmotivation, Zielorientierung und so weiter und so fort. Das klingt bekannt und ähnelt auch tatsächlich den Themen in einem Land, einem Unternehmen, einem Fachbereich oder eben der IT-Sicherheit. Und eines ist gewiss: Die Natur beschäftigt sich schon deutlich länger mit genau diesen Themen, als wir das tun.

Den Organismus ausbalancieren

Der menschliche Organismus ist ein hochentwickeltes und komplexes Konstrukt. Allein unser Immunsystem ist für sich genommen schon hochkomplex in seiner Wirkungsweise: Da werden eine Vielzahl von Botenstoffen durch unser System geschleust, die alle möglichen weiteren Stoffe und filigrane Wirkmechanismen steuern – getragen von "Funktionsverantwortlichen" innerhalb unseres abgeschlossenen Systems.

Zeitgleich priorisiert und verteilt unsere interne Ressourcenverwaltung die notwendige Energie; im Notfall werden bestimmte Systeme sogar radikal abgeschaltet. Fortwährend laufen Alarmsignale an unser Gehirn, das quasi unseren internen Vorstand darstellt – und der entscheidet dann. In einem Unternehmen ist es nicht anders.

Doch wer hat in seinem IT-Sicherheitskonzept die Mitarbeiter seines Unternehmens schon einmal als Botschafter solcher Lösungen betrachtet? Wer betrachtet ernsthaft (!) den Ausfall von Mitarbeitern? Wer betrachtet digitale Systeme unter einem gemeinsamen Konzept von Ursache und Wirkung?

Intrusion-Detection und Incident-Management in der Biologie

Der menschliche Organismus ist auf unterschiedliche Art und Weise in der Lage, mit Erregern von außen umzugehen: Er kann diverse Übeltäter vom restlichen Organismus abkapseln, sie in einen "geschützten Bereich" verfrachten. Dort kümmern sich explizit bereitgestellte Ressourcen um die Eindringlinge, während der restliche Organismus weiterhin ungestört funktioniert.

Bei einem gefährlicheren Erreger kann es sein, dass die "Quarantäne" nicht 100%ig funktioniert: Unsere ersten Schutzfunktionen sind durchbrochen und unser Körper fährt dann alle Möglichkeiten auf, um das richtige Vorgehen zu ergründen. Je höher der Anteil von Ressourcen und Zeit wird, desto weniger Energie wird den allgemeinen Funktionen zugewiesen. Ab einem gewissen Schwellenwert agiert der betroffene Organismus nur noch zur Gefahrenabwehr und dem Erhalt überlebensnotwendiger Funktionen.

Zur "proaktiven" Gefahrenabwehr betreibt unser Organismus zudem intern ein ständiges Fuzzing – quasi eine niemals endende Freund-Feind-Erkennung, einfach um dauerhaft einen gewissen Vorlauf zu haben, bevor ein Erreger wirklich zum Angriff übergeht.

Wenn die Natur hierfür einen Weg gefunden hat, warum nicht auch wir in der IT-Sicherheit? Wir reden über Dinge, die da kommen werden, aber agieren in puncto Sicherheit anhand altgedienter Denkweisen und hinken somit letztlich doch nur "reaktiv" hinterher. Was wir heute mit Methoden wie BCM oder auch ITSCM ansatzweise abbilden, ist genau, was unser körpereigenes System bereits gelernt hat: Funktionieren ist Überleben.

Jedes System reagiert anders

Dabei sind längst nicht alle Menschen gleich: Wir erleben zum Beispiel Unverträglichkeiten gegenüber Behandlungen und Transplantaten, die bei Patient A wirken, aber bei Patient B versagen. In der Medizin haben wir uns damit arrangiert und akzeptieren, dass Organismen individuell und unterschiedlich reagieren. Warum tun wir uns so schwer damit, zu akzeptieren, dass die gleichfalls komplexen IT-Landschaften verschiedener Organisationen ebenfalls divers reagieren?
Lernen, anpassen, korrigieren – immer wieder

Unsere Haut ist – wie der Perimeterschutz der IT – darauf getrimmt, nur die Dinge durchzulassen, die "erlaubt" sind. Notwendiges bekommt eine Klassifizierung und darf passieren. Unsere menschlichen I/O-Operatoren selektieren dabei schneller als jeder Computer und agieren dennoch auf der Basis von Annahmen. Es gibt schnelle und langsame Reaktionsmuster – was uns Menschen aber eint: Wir sind lernfähig, vor allem beim Lernen aus Fehlern. Und Fehler müssen ebenso auch beim Denken zur IT-Sicherheit – ja, generell zur Sicherheit – einkalkuliert werden!

Unsere körpereigenen neuronalen Befähigungen trainieren sich fortwährend, programmieren sich um und sind wandlungsfähig. Der menschliche Organismus erfindet sich allerdings nicht ständig komplett neu, sondern erweitert sich nur um neue Möglichkeiten, neue Funktionen. Wie stellt die Natur uns auf neue Bedingungen ein? Wie ändert sich Kommunikation über die I/O-Kanäle? Wie laufen die Notfallpläne ab, wenn der Organismus irgendwo einen Defekt hat?

Der menschliche Organismus kämpft ums Überleben in Form der Funktionsfähigkeit – Fehler passieren, falsche und richtige Entscheidungen werden getroffen. Das Wichtige: Alle Entscheidungen erfolgen innerhalb eines "Big Picture". Die Ressourcenverwaltung und die Auswertung der beständig einlaufenden Messwerte sind dabei die Königsdisziplin.

Fazit und Ausblick

Es ist wie mit allem – es gibt nicht die eine Lösung. Hier soll auch kein neuer, in Beton gegossener Grundsatz für die IT-Sicherheit entstehen!

Aber: Wir brauchen ein neues Denken in der IT-Sicherheit und müssen uns mit neuen Konzepten beschäftigen – weg vom reaktiven Unverständnis, weg vom Verständnis-Verlust der Mitarbeiter, weg vom fehlenden Verständnis der Entscheidungsträger, hin zu einem umfassend agierenden Unternehmen. Dabei geht es um ein Unternehmen, in dem IT-Sicherheit als synergieschöpfendes Element eine der wichtigsten Rollen spielt, um die eigentliche Funktion des Unternehmens zu erhalten und zu gewährleisten, auch wenn Unvorhergesehenes passiert.

Dabei geht es um Interdisziplinarität und um Ansätze, die in Teilen revolutionär sein werden. Vielleicht brauchen wir auch eine "Start-up-Mentalität" für die gesamte Denkweise der Security? Auf jeden Fall können wir in Sachen Sicherheit, Krisen- und Ressourcenmanagement einiges von der Natur lernen.

[Der Beitrag ist zunächst in der Zeitschrift <kes> erschienen; eine Veröffentlichung auf RiskNET erfolgt mit freundlicher Erlaubnis des Autors]