Bucerius CLP: Was hat Sie bewogen, Ihren „sicheren Job“ aufzugeben und sich selbständig zu machen?
Wittmaack: Es gab mehrere Faktoren, die mich dazu bewogen haben. Im Grunde lief es aber darauf hinaus, sich der Herausforderung zu stellen, etwas Neues zu schaffen; einen Weg zu verfolgen, der richtig erscheint und auch anderen hilft, bestehende fachliche Herausforderungen besser zu lösen.
Bucerius CLP: Wie würden Sie das Angebot Ihres Unternehmens heute „in three simple words“ oder in zwei Sätzen beschreiben?
Wittmaack: „Einfach schneller sicher sein“ - damit meine ich nicht nur „sicher“ in Form von „Cyber Security“, also erkennen, analysieren und bereinigen von Bedrohungen bzw. Sicherheitsvorfällen, sondern auch in der Form von „sich sicher zu sein, eine Situation akkurat zu erfassen, den besten Weg zu finden und adäquate Entscheidungen zu treffen“.
Bucerius CLP: Was sind die drei schwerwiegendsten Fehler, die Unternehmen im Bereich Cyber-Security machen?
Wittmaack: Gute Frage und schwierige Frage. Meines Erachtens sind es weniger technische Dinge, sondern die Art und Weise wie Cyber Security betrachtet bzw. betrieben wird:
1 – Vernachlässigung
Cyber Security wird als Nicht-Kerngeschäft bzw. Kostenfaktor betrachtet und entsprechend behandelt. Investitionen scheinen sich auf ein Minimum und in der Regel auf die Einhaltung von Vorgaben zu beschränken. Es wird eher der Eindruck erweckt, dass es rein um den Ausschluss von Haftung, als um den sicherheits¬technischen Inhalt geht. Drehte man es um, hätte man beides.
In meinen Augen ist Sicherheit (in Form von IT-Sicherheit, Informationssicherheit oder Cyber Security) eine inhärente Erwartungshaltung von Kunden und ermöglicht bessere Geschäfte und Kostenreduzierungen. Sicherheit ist ein „Enabler“, kein Verhinderer. Online-Banking und Amazon haben unser aller Leben vereinfacht – aber hätte sich dies auch ohne Sicherheit (z.B. TAN) durchgesetzt?
Meines Erachtens gilt es, ähnlich zum Kerngeschäft, ein ausgewogenes Investment in diesem Bereich zu tätigen. Threat Intelligence ist eine Cyber Security-Domäne, die hier m.E. nach zu stark vernachlässigt wird. Threat Intelligence ist im Grunde das Bindeglied zwischen Risikomanagement und Cyber Security. Es reduziert Unsicherheiten in Bezug auf die Bedrohungslage und hilft Entscheidungen bzw. Maßnahmen im Kontext von Aktionen bzw. Interessen Dritter besser zu treffen. Letztendlich hilft es dabei, dort zu investieren, wo es notwendig und nützlich ist.
2 – Produkt-fokussiert
Ebenso wie das Recht ist Cyber Security nicht trivial. Fälle bedingen, den Sachverhalt auszulegen und richtig einzuschätzen. Ich gehe davon aus, dass in der juristischen Welt Fälle (zumindest im Zivilrecht) nach potentiellen Streitwert bewertet und ggf. Fälle mit hohem Streitwert intensiver verfolgt werden. Ähnlich sollte es bei der Sicherheit sein – es ist ein Unterschied, ob die Anti-Viren-Software einen einfachen Virus direkt beim Einstecken des USB Sticks findet oder ob der Fund ein oft verwendetes Werkzeug von Angreifern ist, dass bereits Tage oder gar Wochen auf dem System vorhanden war. Die Ausgangslage und die Bedrohung dieser beide Fälle – betrachten wir es als den „potentiellen Streitwert“ - unterscheiden sich maßgeblich.
Meiner Einschätzung nach wird Sicherheit gleichgesetzt mit der Einrichtung eines Sicherheitskonzeptes und dem Betrieb von Sicherheitsprodukten (wie AntiVirus). Wenn wir im Kleinen bei den beiden genannten Fällen bleiben, lautet die Quintessenz: „Der Virus wurde gefunden. Fall erledigt.“ Der genannten Fall könnte aber einen erfolgreichen digitalen „Einbruch“ indizieren. Unter Berücksichtigung, dass Angreifer ihre Vorgehen und Werkzeuge adaptieren, so dass sich ihre Chance möglichst erfolgreich zu sein erhöhen, stellen sich (mir) weitere Fragen, wie: „Das System war offensichtlich infiziert. Wie konnte das passieren und habe ich noch andere Systeme, die in ähnlicher Weise betroffen sind?“ Die Folge ist, dass sich Sicherheit als kontinuierlich präventiver, detektivischer und investigativer Prozess darstellt, der zwar durch Sicherheitsprodukte unterstützt, nicht aber durch zugekaufte Sicherheitslösungen allein betrieben werden kann.
Cyber Security-technisch bedeutet es nicht nur Sicherheitskonzepte und Produkte zu installieren, sondern inhaltlich operative Prozesse wie Threat Intelligence und Notfallmanagement zu etablieren. Dazu gehören operative Grundlagen, wie ein aktuelles Systeminventar oder Patch Management. Ich denke, an dieser Stelle haben viele Organisationen bereits Nachholbedarf.
3 – Isolation
Die Ursache von Sicherheitsproblemen sind die Motivationen und Möglichkeiten der anonymen Akteure. Es ist nicht davon auszugehen, dass sich diese ändern und Akteure einfach aufhören. Die Zahlen und Trends zeigen eher das Gegenteil. Dies zeigt sich beispielsweise in den zunehmenden Angriffen durch Ransomware in den letztem Jahren, der arbeitsteiligen Organisation von Akteuren und der zunehmend individualisierten Gestaltung automatisierter Aktionen. Akteure haben offensichtlich nicht nur Zeit und Geld, um ihre Ziel besser und schneller zu erreichen, sondern setzen es auch entsprechend ein. Der gleiche Angriff kann mehrere Unternehmen betreffen, nur mit zunehmend unterschiedlichen technischen Fakten.
Tatsächlich sind die Angreifer damit ihrer Zeit schon voraus. Betrachten wir wieder die Ransomware-Vorfälle, so zeigt sich, dass viele Unternehmen offensichtlich keine verfügbaren Gegenmaßnahmen eingeleitet hatten und daher Opfer der Attacke wurden. Hätten sie z.B. die Shadow-Broker-Veröffentlichung zu den NSA-Schwachstellen und -Werkzeugen berücksichtigt und später die verfügbaren Sicherheitsupdates von Microsoft installiert, wären sie womöglich nicht so hart getroffen worden.
Isolation bedeutet in diesem Zusammenhang, sich auf die unternehmensinterne Sicht, Prozesse und Organisation zu beschränken. Es erlaubt wiederum Akteuren, identische Angriffe über teilweise lange Zeiträume gegen mehrere Unternehmen erfolgreich einzusetzen. Würden Informationen zwischen Sicherheitsteams ausgetauscht, könnten gängige Gefahren m.E. schneller abgewehrt werden. Würde man enger mit den Strafverfolgungsbehörden zusammenarbeiten, könnten womöglich sogar die eigentlichen Ursachen besser bekämpft werden.
Interessanterweise gibt es im juristischen Bereich neben den Gesetzen weitere wertvolle Informationen, die Anwälten helfen, Prozessstrategien oder auch Verträge zu verbessern - die richterlichen Entscheidungen und deren Begründungen. Als Anwalt hat man die Möglichkeit, diese bei der Bearbeitungen von Fällen zu berücksichtigen; es erhöht die Wahrscheinlichkeit, mit der eigenen Argumentation erfolgreich zu sein.
Dieses Instrument fehlt in der Cyber Security. Es findet zu wenig Austausch relevanter technischer Informationen zu Vorfällen oder Versuchen statt. Es gibt keine Instanz, die das Wissen verfügbar macht und Unternehmen erlaubt davon zu lernen. Jedes Sicherheitsteam lernt aus der Praxis neu. Ein Informationsaustausch würde es m.E. nach den Sicherheitsteams erlauben, die Lage besser einzuschätzen bzw. darauf zu reagieren.
Vermutlich ist dies ein Grund, weshalb zunehmend Gesetze und regulatorische Vorgaben über die Meldung von Sicherheitsvorfällen (z.B. IT-Sicherheitsgesetz) erlassen werden.
Treffen Sie Lars Wittmaack auf der <link http: herbsttagung.bucerius-clp.de _blank external-link-new-window external link in new>7. Herbsttagung des Bucerius Center on the Legal Profession am 17. November 2017 in Hamburg.