Wenn du Cyberangriffe auf deine Infrastruktur stoppen möchtest, dann ist das wie eine Sisyphusarbeit. Du hast dich dazu verdonnert einen riesigen Felsbrocken einen steilen Berg hinaufzurollen.
Aber so wie damals im alten Griechenland, wirst du diesen Gipfel aber niemals erklimmen…
Perfection kills Progress
Manchmal habe ich das Gefühl, als gäbe es in Cybersecurity Branche nur 0 und 1. Also faktisch, nicht binär. 😅 Die einen möchten nichts tun, oder fast nichts. Die anderen sind totalitär unterwegs und alles, was unterhalb des theoretischen Maximums liegt, ist nicht gut genug.
Wenn du Cyberangriffe wirklich stoppen möchtest, dann müsstest du dich komplett vom Internet abkapseln. Und selbst dann bliebe noch das Restrisiko eines physischen Angriffs vor Ort. Egal, wie du es drehst und wendest, es wird dir mit vertretbarem Aufwand nicht gelingen.
Ich bin Pragmatiker und mach nur so viel, wie nötig – wie schon damals in der Schule. 😬 Stell dir mal vor, du wärst wieder in der Schule und deine Hausaufgaben würden verschlüsselt werden. Würdest du 500.000 € bezahlen, um sie wiederzubekommen? Wohl kaum! Du legst vielleicht sogar noch 50 € drauf, um sicherzugehen, dass alles verschlüsselt bleibt. Dann hättest du für die nächsten zwei bis drei Wochen noch eine gute Ausrede gehabt. 😅
Wenn du Cyberangriffe aus finanzieller Sicht betrachtest, kannst du viel rationaler vorgehen. Frag dich mal: Was könnte ein Angreifer eigentlich holen?
ROI: Return of Invest
Egal, ob Profi-Hacker oder Script-Kiddie. Wie wir alle wollen sie mit ihrer Arbeit Geld verdienen. Aber nicht jeder hat das gleiche Geschäftsmodell. Die einen zocken tausende Privatpersonen mit Kleinstbeträgen ab, wie bei Kleinanzeigen-Scams oder Wertkarten-Betrug. Andere zielen auf kleine und große Firmen ab. Dort lohnt es sich auch, ein wenig mehr Zeit zu investieren.
Die große Frage ist immer: Was springt für die Angreifer dabei heraus?
Würdest du für eine 20€-Münze einen Tresor für 2.000€ anschaffen? Wohl kaum!
Viele Firmen haben eine 2000€-Münze und nur eine 20€-Kassette.
Du kannst das gleiche Prinzip auch nutzen, um die Aufwände für deine persönliche Cyber-Defense zu bemessen. Und mit Aufwand meine ich Zeit und Geld.
Wenn du ein Friseur mit zwei Angestellten bist, hast du natürlich andere finanzielle Mittel als ein mittelständisches Unternehmen oder ein Konzern. Das Investment von Cyberkriminellen, um dich erfolgreich anzugreifen, ist daher je nach Fall unterschiedlich hoch.
Je besser du abgesichert bist, umso besser müssen nicht nur die Fertigkeiten der Angreifer sein, sondern auch externe Ressourcen zugekauft werden, wie:
- Unveröffentlichte Schwachstellen
- Server-Infrastrukturen
- Externe Dienstleistungen
- usw.
Bist du ein Konzern, hast du aber Friseur-Defense: Geringer Invest / Großer Return
Bist du ein Friseur, hast du aber Konzern-Defense: Großer Invest / Geringer Return
Aber viele Firmen investieren in Technologien, die nicht den größten ROI für ihre Verteidigung bieten. Da werden teilweise Millionenbeträge in neue Shiny-Objects investiert, ohne dass das wirklich was bringt.
Priorisierung
Du solltest dafür wissen, wer dein König ist und wo deine Kronjuwelen liegen. Stell dir vor, du bist dein schlimmster Gegner und müsstest dich selbst vernichten. Wo würdest du ansetzen? Was tut dir am meisten weh, wenn du es nicht mehr hast?
Bei den meisten Firmen ist es der normale Office-Betrieb (E-Mail-Verkehr, Clients, Server) und natürlich auch der Business-Teil mit dem Geld verdient wird, wie Produktion, Informationen, Dienstleistungen etc.
Ich empfehle immer, nur einige wenige Maßnahmen umzusetzen, die aber dafür dann konsequent und beständig. Wenn du zum Beispiel Multi-Faktor-Authentifizierung einführst, aber bei vielen Accounts Ausnahmen setzen musst, weil es sonst zu aufwändig wäre oder die Anwendung das nicht unterstützt, und du später nach einer zweiten "besseren" Lösung suchst, dann betrügst du dich in Wahrheit nur selbst.
Ja, selbst bei wenigen Maßnahmen erreichst du selten die 100% Perfektion. Du könntest aber diese Ausnahmen zumindest von der restlichen Umgebung separieren und zusätzlich noch die Nutzung intensiv überwachen.
Wenn du aber zu viele Ausnahmen hast, dann hast du entweder nicht das richtige Tool gewählt, oder in der Firma die Priorität nicht klar kommuniziert.
Fazit
Auch kriminelle Hacker sind Ökonomen. Sie versuchen, mit möglichst wenig Aufwand möglichst viel Gewinn zu machen. Entweder durch hohe Schlagzahlen bei kleinen Fischen oder durch jahrelangen Aufwand bei einem einzelnen, fetten Wal.
Wenn deine Sicherheitsmaßnahmen höher sind als der Aufwand für Angreifer, dann stoppst du zwar keine Angriffe, aber die Chance, durchzukommen, wird verschwindend gering. 👍