Thought Leadership
Man kann nicht allem vorbeugen. Was tun wir, um wichtige Dinge vor fremdem Zugriff zu schützen? Nun, wir bringen sie an einen sicheren Ort und verschlie-ßen die Tür. Ein Dieb jedoch kann das Schloss mit einem Dietrich leicht kna-cken. Also verwenden wir statt des Schlosses etwas, das nicht so leicht zu kna-cken ist. Das funktioniert – bis der Dieb mit Werkzeugen anrückt und gleich die ganze Tür abnimmt.
Wir haben genug und setzen die vermeintlich sicherste Variante ein: einen schweren Stahlsafe mit Bodenverankerung. Der Dieb rückt mit Bohrwerkzeu-gen an und so ist es nur eine Frage der Zeit, bis wir erneut das Nachsehen haben.
Dasselbe gilt, wenn wir Hacker und andere Kriminelle davon abhalten wollen, in unsere Computersysteme einzudringen. Bei der Black-Hat-Konferenz 2008 eskalierte der Kampf Präventionsmaßnahmen vs. Angriffsmethoden wegen der Veröffentlichung von Methoden, mit denen sich selbst Microsofts aktuellste Schutzmechanismen umgehen lassen. Wie gesagt: Man kann einfach nicht allem vorbeugen.
Lösungswege suchen
Was also können wir tun, um negative Folgen in Grenzen zu halten (und gleich-zeitig Risiken steuern zu können)?
Wir können untersuchen, wie wir erkennen und reagieren, wenn unsere Prä-ventionsmaßnahmen versagen. Verstehen Sie mich nicht falsch: Dies soll kein Aufruf dazu sein, auf Präventionsmaßnahmen gänzlich zu verzichten, denn diese haben durchaus ihre Berechtigung. Wir müssen aber auch einsehen, dass wir den Kampf nur durch kontinuierliche Eskalation nicht gewinnen kön-nen. Durch eine größere Zahl von Präventionseinrichtungen können wir unser allgemeines Risiko langfristig nicht reduzieren. Kurzfristig mag dies funktionie-ren, jedoch nur solange, bis jemand eine neue Angriffsmethode oder eine neue verwundbare Stelle findet.
Fast alle Unternehmen setzen in vielen Bereichen bereits auf die richtige Reak-tion als Maßnahme der Risikosteuerung. Denken Sie nur an Katastrophenplä-ne, Pläne zur Weiterführung der Geschäftsaktivitäten in Krisenfällen, Backup-Lösungen usw. All diese Sicherheitsmaßnahmen wurden entwickelt, damit Un-ternehmen auf Ereignisse reagieren können, die sich einfach nicht verhindern lassen. Wir können uns nicht vor Orkanen, Wirbelstürmen und Erdbeben schützen, also sorgen wir mit Plänen und Ressourcen vor, die es uns ermögli-chen, auf derartige Ereignisse zu reagieren und negative Folgen für unser Ge-schäft einzugrenzen.
Unangemessene Reaktionen vermeiden
Dasselbe Prinzip lässt sich auch auf andere Szenarien umlegen. So können wir beispielsweise einen mit Malware infizierten Desktop an dem Traffic erkennen, den er ins Netzwerk sendet. Sobald wir herausfinden, dass ein Desktop uner-wünschten Traffic aussendet, können wir ihn aus dem Netzwerk nehmen und ein Reparaturteam losschicken. (Stellen Sie sich ein Team in schwarzen Over-alls vor, das in ein Büro stürmt – „Treten Sie von diesem Computer zurück und lassen Sie die Mouse, wo ich sie sehen kann!“) Auf ähnliche Weise können wir auch andere Arten von Angriffen erkennen und dementsprechend reagieren. Einen gefährdeten Webserver können wir identifizieren, indem wir ihn auf unau-torisierte Änderungen hin überprüfen. Wenn wir Änderungen an den Dateien feststellen, können wir diese durch die richtigen Dateien ersetzen oder den Server vom Netz nehmen, um ihn wieder neu zu laden.
Natürlich muss die Reaktion dem Risiko entsprechen, das ein solches Ereignis für das Unternehmen darstellt (auf keinen Fall die Folgen negativer Publicity außer Acht lassen!) und es sollte auf jeden Fall vermieden werden, durch eine unangemessene Reaktion noch mehr Schaden zu verursachen, als durch das Ausbleiben einer Reaktion entstanden wäre. Denn auch in diesem Fall (und wie eigentlich immer) können wir das Risiko besser steuern, wenn wir uns vor Augen führen, welche Auswirkungen bestimmte Ereignisse auf unser Geschäft haben können. Wenn wir wissen, ab welchem Zeitpunkt negative Folgen für unser Unternehmen auftreten und wie diese unser Geschäft beeinflussen, dann können wir für jedes Ereignis entsprechende Reaktionspläne entwickeln. Zu-dem können wir abwägen, ob für spezifische Risiken Präventionsmaßnahmen oder Reaktionspläne grundsätzlich die bessere Lösung darstellen (denn selbst-verständlich gibt es Risiken, denen mit Präventionsmaßnahmen immer noch am besten entgegengewirkt werden kann).
Das Fazit
Bauen Sie beim Risikomanagement nicht ausschließlich auf Prävention. Das Risiko zu erkennen und dementsprechend zu reagieren ist für manche Risiko-typen ebenfalls ein adäquates Mittel. Zudem ist diese Vorgehensweise in man-chen Fällen weitaus kosteneffizienter als die Installation des besten, aktuellsten Präventionstools.
Eric Maiwald ist VP und Service Director des Security and Risk Management Strategies Team der Burton Group. Er präsentiert seine Erkenntnisse auf der Burton Group Catalyst Conference Europe, die vom 20.-23. Oktober 2008 in Prag stattfindet.
