Wenn es darum geht, eine Cybersicherheitsstrategie für das eigene Unternehmen zu konzipieren, lohnt sich ein Blick auf diejenigen, die besonders viel zu verlieren haben.
Vor kurzem erschien einer der wenigen öffentlichen Auftritte von Dario Amodei im Rahmen eines Podcasts. Amodei ist CEO und Mitbegründer von Anthropic, einem der Entwickler sogenannter KI Foundation-Modelle, die jüngst mit Claude 2 hohe Wellen in der Branche geschlagen haben. Man kann mit Fug und Recht behaupten, dass die Cybersicherheit seines Unternehmens einen besonderen Stellenwert in seinen unternehmensstrategischen Entscheidungen einnimmt und ihm mit Sicherheit die ein oder andere schlaflose Nacht bereitet hat.
Das ist kaum verwunderlich, bedenkt man die Tatsache, dass der überwältigende Teil des monetären Werts von Anthropic in ihren KI-Modellen verortet ist. Die geopolitischen Begehrlichkeiten, die sich um die KI-Spitzenforschung ranken, lassen auch vermuten, dass viele Nationalstaaten ein unwiderstehliches Interesse an seinen Daten haben und diese mit größtem Aufwand zu erbeuten versuchen. Bisher jedoch ohne Erfolg. Wie kann das sein?
Amodei gibt im besagten Podcast seltene Einblicke in die Cybersicherheitsstrategie von Anthropic. Natürlich hält er sich mit dem Ausplaudern konkreter Details zurück, um Angreifer weder zu herauszufordern noch zu inspirieren, die vorgehaltenen Sicherheitsmaßnahmen auf die Probe zu stellen. Und doch bleibt eine seiner Aussagen prägnant im Gedächtnis fachkundiger Zuhörer: „Eines unserer Ziele ist es, dass es teurer ist Anthropic anzugreifen, als sein eigenes KI-Modell zu trainieren.“
Dieses Statement eignet sich geradewegs dazu, es einzurahmen und als inspirierendes Zitat ins CISO-Büro zu hängen.
Die hohe Kunst der Umsetzung eines solchen Security-Mantras besteht darin, jeden investierten Euro in seiner Schutzwirkung zu multiplizieren. Einige Techniken eignen sich besonders gut als Security-Multiplikator.
Lückenlose Zugangskontrolle und 24/7 Sichtbarkeit
Wie schon gesagt geizt Amodei mit Details, nennt aber eine kompromisslose Kompartmentalisierung der wertvollen Forschungsergebnisse als Erfolgsgeheimnis. Nicht jeder in der Firma muss auf alles zugreifen können oder alle Betriebsgeheimnisse kennen. Wenn nur eine Handvoll Mitarbeiter das Geheimrezept kennen, ist ein Datenleck sehr viel einfacher zu verhindern, als wenn jeder Mitarbeiter Kenntnis davon hat.
Die gleiche Logik kann auf jede Unternehmensgröße und jeden Informationswert übertragen werden. Zugriff auf bestimmte Daten sollten nur bestimmte Mitarbeiter haben – nämlich diejenigen, die sie für ihr Tagesgeschäft auch wirklich benötigen.
Um dies zu gewährleisten, sollte man als primären Baustein seiner Cybersicherheitsstrategie in ein System investieren, dass auf die Verwaltung und Kontrolle digitaler Identitäten spezialisiert ist und diese in Echtzeit überwachen kann. Somit reduziert man nicht nur unberechtigte Zugriffe innerhalb der eigenen Belegschaft, sondern kann auch böswillige Eindringlinge sofort Identifizieren und an lateralen Bewegungen im Firmennetz hindern.
Verbindet man diese technischen Maßnahmen mit regelmäßigen Mitarbeiterschulungen zur IT-Sicherheit, verschließt man damit bereits den überwältigenden Anteil der von Hackern meistgenutzten Einfallstore. Was übrig bleibt sind die richtig schwer zu knackenden Nüsse, wie das Ausnutzen von Zero-Day-Exploits, die nur sehr selten und für kurze Zeit bestehen. Alternativ kann man auch alle Register ziehen und hochkomplexer Social-Engineering Techniken einsetzen, für die meist nur Geheimdienste fähig sind beziehungsweise die entsprechenden Mittel und die nötige Zeit zur Vorbereitung haben.
Cybersecurity-Basics einzuhalten ist günstiger als sie zu überwinden
Wenn ein CISO die Cybersecurity-Basics mit durchdachten und großflächig wirksamen Sicherheitstools abdeckt, macht man einen Angriff aufs eigene Unternehmen unprofitabel. Jeder intelligent in Cybersicherheit investierte Euro kostet den Angreifer ein Vielfaches an Zeit und Geld, diese knacken zu wollen. Diese Aussicht zwingt sie so gut wie immer zur Aufgabe ihres Unterfangens. Und das muss das Ziel sein.