Offenlegung von Sicherheitsverletzungen

Der Druck zur vollständigen Offenlegung von Sicherheitsverletzungen steigt

Druckfreundlich, PDF & E-Mail

Es wird immer deutlicher, dass unabhängig davon, was der Wortlaut des Gesetzes vorschreibt, die Nichtoffenlegung einer Sicherheitsverletzung mittlerweile die Grenzen des gesellschaftlich akzeptablen Verhaltens überschreitet.

Die jüngste Kontroverse um die Offenlegung dreht sich um Okta, einen Anbieter einer weit verbreiteten Plattform zur Authentifizierung von Endbenutzern. Im Januar gelang es der Datenerpressungsgruppe Lapsus$ offenbar, das Konto eines Servicetechnikers zu kompromittieren, der bei einem Dienstleistungsunternehmen beschäftigt ist, das mit Okta zusammenarbeitet. Die Sicherheitsverletzung wurde untersucht, doch letzte Woche veröffentlichte Okta eine Erklärung, in der der zeitliche Ablauf der Ereignisse detailliert beschrieben und die Tatsache zugegeben wurde, dass mehr getan hätte werden müssen, um schneller auf den Vorfall zu reagieren.

Es gibt zwar viele Stimmen, die über diesen Vorfall reden, doch es gibt keinen Cybersicherheits- oder IT-Experten, der sich nicht mit demselben Offenlegungsproblem befasst hat. Die meisten Sicherheits- und IT-Fachleute wissen, wie leicht sie in die gleiche Situation geraten können. Kompromisse bei den Zugangsdaten sind inzwischen nahezu Routine. Es ist schwer zu unterscheiden, was eine wichtige Sicherheitsverletzung ausmacht. In vielen Fällen ist sich niemand über das Ausmaß einer Sicherheitsverletzung im Klaren, bis die Cyberkriminellen die Allgemeinheit davon in Kenntnis setzen. In diesem jüngsten Fall scheint es, dass ein jugendliches Mitglied von Lapsus$ sein Recht auf Prahlerei offiziell anerkennen lassen wollte. Die meisten anderen Cyberkriminellen versuchen in der Regel, sich nach einem erfolgreichen Angriff zurückzuziehen.

Neue Gesetzgebung und erhöhter gesellschaftlicher Druck

Diese große Aufmerksamkeit bezüglich der Offenlegung fällt zeitgleich mit der anstehenden Gesetzgebung zusammen, die Organisationen, die kritische Infrastrukturen betreiben, zur Meldung von Sicherheitsverletzungen verpflichten wird. Diese Organisationen reichen von Pipeline-Betreibern bis hin zu Finanzinstituten. Nicht jedes Unternehmen muss eine Sicherheitsverletzung offenlegen, aber die vorherrschende Meinung bewegt sich in Richtung der Erwartung einer vollständigen Offenlegung. Der Endkunde möchte sich nicht fragen müssen, was sonst noch passiert sein könnte, von dem er nichts weiß. Jeder weiß, dass eine Verletzung der Cybersicherheit aus den unterschiedlichsten Gründen erfolgen kann. Der Eindruck, dass versucht wird, dieses Verletzung zu vertuschen, führt zu einem Vertrauensverlust, der nur sehr schwer wiedergutgemacht werden kann. Wir stehen an der Schwelle zu einer neuen Ära, in der das Versäumnis, eine Sicherheitsverletzung offenzulegen, mehr Beeinträchtigungen verursachen kann als die eigentliche Sicherheitsverletzung selbst.

Als Vorteil zu nennen ist jedoch, dass aufgrund der Pflicht zur Offenlegung von Sicherheitsverletzungen die Unternehmensleitungen dazu gezwungen werden, allgemein stärker auf Cybersicherheit zu achten. Es heißt, das beste Mittel gegen jede Art von Schädlingsbefall sei Sonnenschein. Eines der größten Probleme, mit dem sich Cybersicherheitsteams immer noch oft herumschlagen müssen, ist die Höhe des Risikos, das viele Unternehmen bereit sind einzugehen, weil sie einfach davon ausgehen, dass Cyberkriminelle ihre Bemühungen auf ein Unternehmen konzentrieren werden, das weniger Glück hat. Dies entspricht im Grunde einer Herdenmentalität, die davon ausgeht, dass es immer ein schwächeres Unternehmen geben wird, das einem Cyberangriff zum Opfer fällt. Das Problem bei dieser Theorie ist, dass sie nicht nur die Anzahl der Prädatoren nicht berücksichtigt, sondern auch deren unersättlichen Appetit nicht erkennt. Sobald eine Schwachstelle entdeckt wurde, kommen die Cyberkriminellen einfach immer wieder zurück.

Die vollständige Offenlegung von Verstößen gegen die Cybersicherheit soll die Fähigkeit der Herde stärken, auf Bedrohungen zu reagieren. Dies mag nicht dazu führen, dass ein Prädator außer Gefecht gesetzt wird, aber wenn gemeinsam für das Gemeinwohl gehandelt wird, gibt es viele Beispiele in der Natur, in denen die Herde nicht nur überlebt, sondern gedeiht, unabhängig davon, wie schnell oder stark ein Prädator sein mag, wobei der Mensch eventuell eine Ausnahme darstellt. Der sicherste Weg, entweder einem Prädator zum Opfer zu fallen oder einfach zu verhungern, besteht natürlich darin, ganz aus der Herde ausgeschlossen zu werden. Ob man es nun gutheißt oder nicht, das könnte bald das Schicksal vieler Unternehmen sein, wenn jemals herauskommt, dass sie ihre eigenen Interessen über den Rest der Gemeinschaft gestellt haben, von der ihre Existenz abhängt.

Nach oben scrollen
Twittern
Teilen
Teilen