Wenn Echtzeit bedeutet: In einer Sekunde bist du tot

Um es gleich vorwegzusagen: Es gibt heute nur zwei Arten von Unternehmen – diejenigen, die wissen, dass sie gehackt worden sind, und diejenigen, die es noch nicht wissen. Dazwischen ist nichts. Das gilt auch für alle anderen Organisationen und jeden Privatkunden. Denn die zunehmende Komplexität unserer Systeme macht es Angreifern sehr leicht. Zumal die allermeisten Opfer noch nicht einmal ihre elementarsten Hausaufgaben machen. Deshalb basieren etwa 95 Prozent aller heute erfolgreichen Angriffe darauf, dass Softwareupdates nicht oder zu spät eingespielt werden oder ein System schlecht konfiguriert ist.

So viel zum Lagebild. Und dabei geht es nicht nur um das Betriebssystem, sondern in Firmen mitunter um mehrere Hundert Programme, die aktuell gehalten und gepflegt werden müssen. Blieben uns nach Bekanntwerden einer Schwachstelle vor einigen Jahren noch Monate, um ein Update aufzuspielen, reden wir heute von wenigen Stunden. Länger brauchen Hacker heute nicht mehr, um die Schwachstelle zu identifizieren und ein passendes Angriffswerkzeug zu programmieren. Und wenn die Entwicklung so weitergeht, werden wir in den nächsten fünf Jahren erleben, dass zeitgleich mit der Veröffentlichung auch voll automatisiert die Angriffe stattfinden. Spätestens dann heißt es: "Willkommen in der Echtzeit! In einer Sekunde bist du tot."

Echtzeit heißt Automatisierung
Statistisch nachweisbar passieren mehr Softwareausfälle dadurch, dass KEINE Updates eingespielt worden sind, als umgekehrt. Diese Entwicklung macht eins deutlich: Ich muss meinen Schutzschild, den ich über mein Unternehmen gespannt habe, permanent anpassen. Objektive Sicherheit ist immer nur eine Momentaufnahme, als Status quo nie nachhaltig. Betriebssysteme, Mitarbeiteranwendungen und Kundendaten brauchen ständigen Schutz. Der fängt bei der Erkennung eines Angriffs an. Deshalb investieren wir im Security-Kontext sehr viel in Automatisierung.

Ich muss eine Analytik haben, die Sensor­daten in Echtzeit auswertet, und verfüge so über eine Reaktionsfähigkeit, die mir hilft, die Sensordaten durch Analytik in eine Reaktion umzuwandeln. Sofort. Ein sehr gutes Beispiel dafür sind sogenannte Advanced Persistant Threats. Also neue, unbekannte Angriffsmuster mit Schadsoftware. Sie zielen beispielsweise auf die Schwachstelle meines PDF-Readers, der nicht gepatcht ist. Das kann ich erkennen, indem ich ein Dokument quasi schon beim Transport in einem Computer virtuell öffne und sein Verhalten analysiere. Will es auf dem Betriebssystem Veränderungen vornehmen, dann ist es mutmaßlich böse, und ich würde es blockieren. Damit hätte ich in diesem Fall gewissermaßen die Schadwirkung schon in Echtzeit analysiert.

Aber: Die Analyse eines Dokuments bzw. von allem, was sich ein Anwender aus dem Internet runterlädt, dauert einige wenige Sekunden. Einen solchen Preis wollen wir als Nutzer aber in der Regel nicht zahlen. Deshalb lassen wir die Dokumente heute beim Adressaten ankommen und analysieren parallel. Folglich stelle ich möglicherweise erst Sekunden später eine Schadfunktion fest. Damit habe ich allerdings ihr Muster und kann alle nachfolgenden in Echtzeit blocken.

Aufgeben ist nie eine Option
Zu sagen, ich mache keine Digitalisierung mehr, weil die Angriffsfläche zu groß wird, kann keine Lösung sein. Digitalisierung intelligent gemacht heißt: Ich setze mich vorher mit den Risiken auseinander und überlege, wie ich was – dort, wo es Sinn macht – intelligent vernetzen kann. Wo muss ich vielleicht einen Schutzschild einbauen? Es gibt in Deutschland genug Kapital und Technologiewissen, um die Risiken von Cyberattacken nachhaltig runterzufahren. Doch dann muss man aber beides auch investieren. Wissen schadet am Ende nur dem, der zu wenig davon hat. Und das macht deutlich, dass diejenigen, die sich dieses Wissen nicht besorgen, auch schneller zu Opfern werden. Vor einer vermeintlichen Übermacht der Cyberkriminellen zu resignieren wäre definitiv falsch. Niemand sollte sich davon abschrecken lassen, dass ein hundertprozentiger Schutz unmöglich ist. Halten wir uns daran, was unzählige Start-ups – übrigens auch im Security-Umfeld – schon zum Erfolg geführt hat: Praktisch alles gilt nur so lange als unmöglich, bis einer kommt, der das nicht wusste. Und es einfach macht.