​

Wenn sich die IT selbst prüft, ist das so, als wenn zwei Wölfe und ein Schaf darüber abstimmen, was es heute zu Mittag gibt. Das klingt zwar wie ein Vorwurf, ist es aber nicht.

Wenn wir mal unser Ego beiseite lassen und akzeptieren, dass jeder von uns Fehler macht, dann wird klar, warum es unabhängige Prüfinstitute gibt. Aus demselben Grund sind Penetrationstests, Security-Audits und Hacking-Simulationen (Red Teaming) auch so wichtig.

Wo endet die IT?

Die IT macht den Betrieb und die Security sichert ab.
Die IT setzt die Kennwörter zurück und die Security legt fest, wie komplex sie sein dürfen.

Die IT denkt in Services, Stabilität, Verfügbarkeit, Tickets, Changes, Lizenzen und Patch-Days.
Die Cybersecurity beschäftigt sich mit Themen wie Risiken, Angriffsvektoren, Eintrittswahrscheinlichkeiten und Notfallszenarien.

Es gibt aber auch Überschneidungen, wie bei der Architektur.
Die IT sorgt für Effizienz, Redundanz und Performance.
Die Cybersecurity für Berechtigungen, Härtung und Segmentierung.

Beides ist wichtig und unbedingt notwendig, aber vergleichen kann man sie nur selten. Übrigens ist das auch der Hauptgrund, warum ich den Begriff "IT-Security" mittlerweile vermeide. Haustiere sind ja auch nicht davon abhängig, dass man ein Haus hat. 😂

Wenn Kompetenz zur Betriebsblindheit wird

Wenn ich bei jemandem zu Gast bin, fallen mir auch Dinge auf, die der Gastgeber gar nicht mehr wahrnimmt. Das Bild hängt schief, die Stehlampe ist staubig und es hängen sogar noch Baustellen-Glühlampen, obwohl schon drei Jahre seit dem Einzug vergangen sind. Jaja, ich seh's schon … mich lädt niemand mehr so schnell ein. 😬

Das ist Betriebsblindheit. Wir nehmen Routinen und Mechanismen als selbstverständlich hin und hinterfragen sie gar nicht mehr. Vielleicht liegt es an schlechten Gewohnheiten oder an Altlasten, die man einfach akzeptiert.

Genauso geht's vielen IT-Abteilungen. Die selben Routinen, die selben Server, die selben Workarounds. Es ist fast so, als würde das Murmeltier jeden Tag grüßen – nur, dass sich nicht mal Bill Murray ändert.

So kommt es dann, dass die Admins immer noch Super-Admins sind, die Kennwörter noch seit der Installation der Anwendung nicht geändert wurden und noch veraltete Konfigurationsdateien im Einsatz sind, weil man das Projekt irgendwann angehen wollte, aber niemand so richtig die Muße dafür aufbringt.

Wenn der Security-Auditor dann vor der Tür steht, kriegen viele IT-Leiter Schnappatmung – außer, er wird aus dem IT-Budget finanziert. Dann kann es passieren, dass der strenge Report auch einfach in einer Schublade verschwindet und nicht mehr wieder auftaucht. Ich würde lügen, wenn ich sagen würde, dass mir das noch nie untergekommen wäre.

Externe Audits als Hebel

Niemand würde auf die Idee kommen, den CFO seinen eigenen Jahresabschluss prüfen zu lassen. Wenn das so wäre, dann wäre das Finanzamt arbeitslos und alle Staaten der Welt pleite. Die Glaubwürdigkeit entsteht erst dann, wenn jemand, der nicht Teil des Systems ist, draufschaut, und dem zu Prüfenden, auch keine Rechenschaft schuldig ist.

In der Cybersecurity ist es genauso.

Die IT hat mich nicht gehasst, sondern geliebt, denn ich war ihr Hebel. Ich habe ihre Glaubwürdigkeit nicht infrage gestellt, sondern ein Budget für ihre Projekte geschaffen, die ohne externen Input niemals genehmigt worden wären.

Die eine alte geschäftskritische Anwendung, die seit 15 Jahren niemand anfasst, weil sie zu heikel ist? Unsicher im Betrieb und ein tiefrotes Risiko für das Business!

Das Active Directory, das seit der Gründung nicht angefasst wurde und immer noch händisch gepflegt wird? Unsicher, weil nicht automatisierbar und auch ein tiefrotes Risiko!

Externe Audits bringen frische Perspektiven auf blinde Flecken und verbinden auch Abteilungen, wo die Fronten seit Jahren verhärtet waren. Sie schaffen für Transparenz und entlasten auch die IT.

Die Limitierung der Cybersecurity

Die Security kann aber nicht alles machen. Viele verirren sich im Tool-Dschungel und denken, dass sie noch diese drei Tools brauchen, um "sicher" zu sein.

Aber mal ehrlich: Technik allein reicht nicht. Der Spam-Filter kriegt nie alle Phishing-Mails, Anwender fallen auf gefälschte Login-Seiten herein und die Buchhaltung überweist weiterhin große Geldbeträge an ausländische Konten für ein "Geheimprojekt", von dem niemand erfahren darf.

Auch die beste Technik bringt nichts, wenn es keine Notfallkonzepte, Kommunikationspläne, Mitarbeiterschulungen und Rollenverteilungen gibt. Die einen sehen in Menschen das größte Einfallstor, ich sehe sie aber als die größten Beschützer.

Jeder Anwender ist sozusagen ein "Security Frontline Worker". Wenn etwas schiefläuft, merken das die Menschen als erstes. Nutze das!

Jemand ruft an, gibt sich als IT-Support an und stellt merkwürdige Fragen? Wenn du nicht alle Gespräche abhörst, transkribierst und auswertest, wirst du es nicht mitbekommen – außer ein Mitarbeiter meldet es.

Nachdem der E-Mail-Anhang angeklickt wurde, sehen alle Dateien so merkwürdig aus? Wenn der IT-Support die User nicht für jeden Fehler zur Sau macht, dann fragen sie auch nach, bevor auch die restlichen Dateien am File-Server und Backup-Server verschlüsselt wurden.

Der resiliente Einklang

Die IT braucht Struktur um zu glänzen, aber auch etwas, an dem sie sich reiben kann:

• Schaffe eine Kultur, in der IT und Security Partner sind, keine Gegenspieler.
• Plane Security-Überprüfungen regelmäßig ein, nicht erst wenn's brennt. Der Betrieb muss jeden Tag gewinnen. Angreifer nur einmal.
• Lege den Fokus auf Geschäftsrisiken, nicht auf fancy Tools. Technik unterstützt nur, ist aber nicht die Lösung.
• Nutze externe Audits als Fortbildung. Jede weitere Perspektive trainiert den Betrieb und erhöht den Reifegrad.
• Auch der Security-Betrieb (Blue Team) muss durch Angriffs-Simulationen (Red Team) überprüft werden. Nicht nur die IT darf zittern. 😅

Fazit

Eine gute Cybersecurity pisst der IT nicht an's Bein – sie deckt ihr den Rücken.

Wenn Betrieb und Security im Einklang sind, entsteht in kürzerer Zeit, ein noch härteres Schutzschild. Nur gemeinsam sind wir stark.