Die Zukunft von InfoSec

Im Laufe der Jahre hat sich eine Lücke zwischen der Anwendungssicherheit und der Unternehmensentwicklung aufgetan. Mit der Einführung von Agile und DevOps ist diese Kluft schmerzhaft deutlich geworden. Plötzlich wird die Geschäftsentwicklung durch erschöpfende Informationssicherheitsrichtlinien mit ihren Checklisten und Penetrationstests regelrecht behindert. Die Herausforderung für Unternehmen besteht nun darin, diese Kluft zu überbrücken.

Der Begriff "Risiko" hat eine überhöhte Bedeutung angenommen und wird oft als modisches Schlagwort verwendet, das nichts mehr mit tatsächlichen Bedrohungen zu tun hat. Wenn heutzutage eine neue Sicherheitslücke entdeckt wird, ist es fast schon normal geworden, eine regelrechte Marketingkampagne zu starten, mit schicken Namen und Logos, speziellen Websites und einer lauten Präsenz in den sozialen Medien. Das Risiko ist nicht länger ein Indikator für etwas Negatives, sondern ein Katalysator, um den Kunden "geldbringende Silberkugeln" aufzudrängen. Auf der anderen Seite der Risiko-Gleichung werden Hacker als "schlaue Jungs" mit Elite-Fähigkeiten angesehen, während die Realität ist, dass die meisten Einbrüche auf einfache Fehler und jahrzehntealte Probleme zurückzuführen sind. Die Lösungen der Tool-Anbieter bieten Produkte und Dienstleistungen an, die für die sich schnell verändernde Welt von heute nicht mehr geeignet sind. Die meisten dieser Dienste verlassen sich darauf, bekannte Angriffe zu stoppen oder zu identifizieren. In einer Welt, die sich praktisch im Sekundentakt verändert - und insbesondere in unserer Welt des Internet der Dinge, der mobilen Geräte und der Cloud-Lösungen - funktioniert der alte "Burg und Bogenschützen"-Ansatz zur Verteidigung nicht mehr. Viele erfolgreiche Einbrüche haben gezeigt, dass es nicht einmal fortgeschrittener Exploits bedurfte, um auf die richtige Spur zu kommen. Wenn es einem Angreifer gelingt, auf einen der Wartungs- oder Konfigurationsteile Ihres Systems zuzugreifen, ist das Spiel vorbei. Wenn ein Angreifer auf eine Skripting-Umgebung zugreifen kann, ist das Spiel vorbei. Wenn ein Angreifer einen Ihrer Mitarbeiter dazu verleiten kann, auf einen Link zu klicken und eine Website aufzurufen oder etwas zu installieren: Game Over.

In vielen Unternehmen klafft eine große Lücke zwischen den Sicherheitsabteilungen und den Abteilungen für Geschäftsentwicklung. Oft sind die internen Sicherheitsrichtlinien kaum mit dem Rest des Unternehmens abgestimmt und werden daher häufig umgangen oder ignoriert. Die natürliche Reaktion des Sicherheitsteams darauf ist, die Richtlinien noch härter durchzusetzen, was die Kluft nur noch vergrößert. Das Sicherheitsteam und das Entwicklungsteam scheinen auf zwei sehr unterschiedliche Arten an das Geschäft heranzugehen - das eine will mit Ziegelsteinen, Beton und Stahl bauen und das andere mit Lego und Meccano.  

Heute haben sowohl die InfoSec-Branche als auch die Kunden genug Geld und Aufmerksamkeit, um diese Situation zu ändern. Wir sollten also den aufgeschraubten, technologiegetriebenen Ansatz aufgeben und uns auf Talent und intelligentes Handeln konzentrieren. Wenn wir uns die Ursachen vieler Hacks ansehen, ist nicht die Technologie schuld, sondern Ego, Kultur, Fehlkommunikation und das Arbeitsumfeld. Solange Sicherheit als etwas betrachtet wird, das man hinzufügen oder anheuern muss, wird sie scheitern. Wir sollten Sicherheit wieder als ein Standardqualitätsmerkmal betrachten, für das jeder verantwortlich ist. Glücklicherweise ist diese Herausforderung leichter zu lösen, als es den Anschein hat. Der Schlüssel zum Erfolg liegt hier in der Aufteilung der Aufgaben des Sicherheitsbeauftragten in agilere Rollen mit unterschiedlichen Verantwortlichkeiten und Aufgaben.

Die Geschichte zeigt, dass Schnelligkeit immer über Gewissheit siegt. Selbst wenn Sie sich irren, obwohl Sie schnell sind, haben Sie immer noch mehr Zeit (und damit Chancen), Korrekturen vorzunehmen, und am Ende werden Sie gewinnen. Fließbänder, Workflow-Software, Lean, Agile, DevOps und alle anderen Ansätze zur Verbesserung der Geschwindigkeit haben sich gegenüber den alten Methoden durchgesetzt und werden dies auch in Zukunft tun. Die Lösung für den Kampf zwischen Sicherheit und Entwicklung besteht nicht darin, die Entwicklung zu verlangsamen oder ihr weitere Schlagbäume hinzuzufügen. Stattdessen muss die Sicherheit anfangen zu verstehen, wie die neue Welt funktioniert, und sie muss neue Wege finden, um die Situation wieder in den Griff zu bekommen. Letztendlich ist es effektiver, 80 % Sicherheit mit 100 % Anpassung zu erreichen, als zu versuchen, 100 % Sicherheit mit 0 % Anpassung zu erreichen, vor allem, wenn Sie genügend Möglichkeiten haben, Anpassungen vorzunehmen.

Bei der agilen Arbeitsweise ist der Product Owner die Person, die die Wünsche des Unternehmens und der Kunden in Arbeitsaufgaben (User Stories) für die Teams umsetzt. Die eigentlichen Wünsche und Anforderungen werden jedoch von den Stakeholdern geliefert. Daher ist es logisch, dass ein Sicherheitsbeauftragter anfängt, wie ein Sicherheits-Stakeholder zu handeln. Als Sicherheitsbeauftragter müssen Sie mit anderen Stakeholdern konkurrieren, wenn es um die Priorisierung von User Stories geht. Daher ist es wichtig, dass Sie in der Lage sind, Anforderungen in echten geschäftlichen Nutzen umzuwandeln und von einem reaktiven Ansatz zu einem proaktiven Ansatz zu wechseln. Als Sicherheitsverantwortlicher werden Sie jedoch wahrscheinlich nicht viele Begeisterungsstürme hervorrufen können. In der Tat werden die meisten Ihrer Anfragen nicht einmal zufriedenstellend sein. Am häufigsten werden Sie sich in der Reihe der Unzufriedenen wiederfinden - Dinge, die niemanden interessieren, bis sie nicht mehr da sind. Positiv zu vermerken ist jedoch, dass dies oft auch die Anforderungen sind, deren Wichtigkeit kaum umstritten ist.

In den meisten Unternehmen ist das Verhältnis zwischen sicherheitsbewussten und nicht sicherheitsbewussten Mitarbeitern völlig aus dem Ruder gelaufen. Die Sicherheitsteams sollten daher damit beginnen, als Unterstützer und Ausbilder zu fungieren. In dem Maße, in dem diese Teams innerhalb des Unternehmens sichtbarer werden und beginnen, sich an den Zielen des Unternehmens auszurichten, wird das Sicherheitsbewusstsein steigen. Jede einzelne Person im Unternehmen sollte ein grundlegendes Verständnis davon haben, was Sicherheit bedeutet, und das ist gar nicht so schwer zu erreichen. Agile und DevOps-Teams sollten über einschlägige Kenntnisse in den Bereichen Bedrohungsmodellierung, sichere Kodierung und Sicherheitstest-Tools verfügen und in den Grundlagen der Sicherheitsüberwachung und forensischen Untersuchung geschult werden. Die Mitarbeiter müssen auch darin geschult werden, wie sie sich verhalten sollen, wenn ein Problem auftritt - erstellen Sie ein gutes Programm zur Reaktion auf Vorfälle mit Flussdiagrammen, die jeder nutzen und anwenden kann. Sicherheitsexperten sollten die Teams aktiv anleiten und unterstützen und aktiv bei der Implementierung von Sicherheitskontrollen und -mechanismen helfen. Als Sicherheitsexperte sollten Sie sich auf die ordnungsgemäße Umsetzung von User Stories konzentrieren und nicht die User Story selbst diskutieren, da diese Aufgabe am besten dem Product Owner überlassen wird.  

Unternehmensteams sollten auch damit beginnen, standardmäßig eine Verteidigung zu implementieren und jede Situation so zu bewerten, als ob gerade ein Verstoß stattgefunden hätte. Gehen Sie davon aus, dass irgendwann etwas Schlimmes passieren wird, und überlegen Sie, wie Sie den Schaden von jedem Standpunkt aus minimieren können. Tun Sie dies auf allen Ebenen: Deaktivieren Sie lokale Administratorkonten, verwenden Sie Anwendungsschutz-Frameworks, implementieren Sie eine Schlüsselverwaltung, wenden Sie überall eine Netzwerksegmentierung an, verwenden Sie Codierungs-Frameworks, patchen Sie ständig, testen Sie alles, überwachen Sie alles und beginnen Sie mit der Analyse Ihres externen und internen Netzwerkverkehrs. Das ultimative Ziel ist es, es den Pen-Testern und Hackern so schwer wie möglich zu machen. Es sollte Wochen, Monate oder sogar Jahre dauern, bis sie etwas erreichen.

Die vielleicht interessanteste Rolle für Sicherheitsbeauftragte in agilen Welten ist die des Security Evangelist. Der Evangelist fungiert als Experte für alle Teams und verhält sich wie ein Team-Coach, so dass die Teams für Themen wie Best Practices, Vorschriften, Tools und Informationen sensibilisiert werden. Sie diskutieren sicherheits- und datenschutzrelevante Themen und erhöhen so das Bewusstsein und die Fähigkeiten in den Teams. Als Sicherheitsexperte sollten Sie für die Teams leicht erreichbar sein, also sorgen Sie dafür, dass Sie dort sind, wo Sie am meisten gebraucht werden. Stellen Sie sicher, dass Ihre Mitarbeiter wissen, wo Sie sich befinden, zeigen Sie sich bei Standups und nehmen Sie an Sprint-Retrospektiven teil, die Sicherheitsfunktionen beinhalten. Wenn eine physische Anwesenheit schwierig zu erreichen ist, sorgen Sie zumindest dafür, dass es eine Möglichkeit zur schnellen Ferninteraktion gibt. Seien Sie auf Kommunikationskanälen wie Slack oder Mattermost präsent. Wenn solche Plattformen nicht genutzt werden, sollten Sie zumindest ein spezielles Postfach für Sicherheitsfragen einrichten und diesen Anfragen Vorrang vor allem anderen einräumen.

Wir, die InfoSec-Branche, stehen vor einer Zukunft, in der der Wandel ein ständiger Faktor ist, und wir müssen einen Weg finden, damit umzugehen. Um erfolgreich zu sein, müssen wir verstehen und anerkennen, dass wir nicht mehr alles alleine machen können. Wenn wir nicht anfangen, uns wie ein Mitglied des Geschäftsentwicklungsteams zu verhalten, werden wir fürchterlich scheitern und zu leichten Beute werden. Erkennen Sie die Tatsache an, dass Sicherheit im Großen und Ganzen keine Raketenwissenschaft ist und dass vieles mit dem guten alten gesunden Menschenverstand erreicht werden kann.