Pylone

Prävention von Cyber-Vorfällen in Unternehmen: Was können wir aus 100 Jahren Sicherheitsforschung lernen?

Nico Ebert

An einem erfolgreichen Cyber-Vorfall in einer Organisation ist häufig ein externer Angreifer beteiligt. Viele Ursachen liegen jedoch innerhalb der Organisation, z. B. unzureichend sichere Prozesse, Systeme oder unsicheres Verhalten. Hier gibt es direkte Parallelen zwischen Cybersecurity und Security. Der Unterschied besteht jedoch darin, dass das Gebiet der Sicherheit und Sicherheitsforschung mehr als 100 Jahre alt ist und über mehr Erfahrung bei der Untersuchung der Ursachen von Vorfällen verfügt. In der Cybersicherheit wird häufig auf Sicherheitskonzepte zurückgegriffen: So hat US-Präsident Biden nach dem Vorbild des National Transportation Safety Board das Cyber Safety Review Board (CSRB) eingerichtet. Das CSRB hat beispielsweise nach den Log4J-Angriffen die Ursachen untersucht und in einem Bericht zusammengefasst (2).

Von der Naturgewalt zur Gestaltung resilienter sozio-technischer Systeme

Im Mittelalter galten Unfälle als «göttliche Fügung» (3). Nach dieser Logik hatte der Mensch wenig Einfluss auf Unfälle und deren Folgen. Zu Beginn des 20. Jahrhunderts wurden Unfälle und ihre Ursachen systematischer erforscht. Zunächst wurden die offensichtlichen Ursachen in Betracht gezogen: scharfe Kanten an Maschinen oder Fehler einzelner Mitarbeiter. Man ging davon aus, dass bestimmte Mitarbeiter einfach aufgrund ihrer Eigenschaften eher zu Fehlern neigen («unfallgefährdete Personen») und dass Organisationen diese «faulen Äpfel» im Idealfall nicht haben wollen (z. B. (4)). Es wurde auch davon ausgegangen, dass Regeln definiert und durchgesetzt werden müssen, um Fehlverhalten einzelner Akteure zu verhindern. Diese Regeln basierten jedoch häufig auf der «Vorstellung von Arbeit» und nicht auf der tatsächlichen Arbeitspraxis. Diese Denkweise ist uns auch heute noch im Bereich der Cybersicherheit vertraut. Wenn z. B. in der Taurus-Spionageaffäre in Deutschland von «individuellen Anwendungsfehlern» der Kommunikationssoftware die Rede ist (5), so bedeutet dies implizit, dass es keine strukturellen Sicherheitsmängel (z. B. schwer zu bedienende sichere Kommunikationssysteme) gibt. Im Bereich der Sicherheit wurde später davon ausgegangen, dass Unfälle auf eine Kette von unglücklichen Ereignissen zurückzuführen sind und dass es eine Grundursache gibt (6). Diese Annahme findet sich auch im Bereich der Cybersicherheit wieder: das Mitre-Attack-Framework, die Cyberkill-Chain oder die Root-Cause-Analyse.

Als sich die Erkenntnis durchsetzte, dass unerwartete Vorfälle zwar nicht vollständig verhindert, ihre Folgen jedoch gemildert oder verhindert werden können, änderte sich auch die Sichtweise auf die Rolle des Menschen bei Vorfällen. Man begann zu akzeptieren, dass der Mensch nicht perfekt und menschliches Versagen unvermeidbar ist. Das Beispiel des Bundesamtes für Strassen ASTRA zeigt die Konsequenzen im Bereich des städtischen Veloverkehrs: Anstelle von fehlerfördernden Infrastrukturen werden heute vermehrt fehlerverzeihende Verkehrsinfrastrukturen realisiert (7). Diese zielen darauf ab, fatale Folgen für fehlbare Velofahrende zu verhindern, z. B. durch Fahrbahntrennungen oder Aufpralldämpfer. Fehlerverzeihende Infrastrukturen sind auch aus dem Bereich der Cybersicherheit bekannt. So können z. B. Endpunktsicherheitslösungen die Ausführung von Schadsoftware durch Endnutzerinnen und Endnutzer verhindern.

Auch im Bereich der Sicherheit verlagerte sich der Schwerpunkt zunehmend von einzelnen Unfallfaktoren hin zu einem systemischen Verständnis von Unfällen. So wurde im Zusammenhang mit dem Reaktorunfall im Kernkraftwerk Three Mile Island und anderen schweren Katastrophen die Theorie der vom Menschen verursachten Katastrophen entwickelt (8). Diese Theorie geht davon aus, dass Unfälle in bestimmten komplexen sozio-technischen Systemen früher oder später auftreten. Neben den offensichtlichen Ursachen gibt es auch weniger offensichtliche, aber latente Ursachen, die dem eigentlichen Unfall lange vorausgehen können (z. B. mangelnde Sicherheitskultur). Latente Faktoren im Bereich der Cybersicherheit könnten z. B. ein Mangel an MFA, unzureichende IT-Budgets und Qualifikationen oder ein geringes Risikobewusstsein des Managements sein.

Im Bereich der Sicherheit wurden jedoch nicht nur von Menschen verursachte Grosskatastrophen untersucht, sondern auch Organisationen, in denen sich besonders wenige Unfälle ereignet haben (9). Es wurde versucht, Merkmale dieser «High Reliability Organisations» auf andere Organisationen zu übertragen. Merkmale wie Redundanz, Risikobewusstsein, Schulung, effektive Kommunikation und Sicherheitskultur werden heute auch im Bereich der Cybersicherheit diskutiert.

Von einfachen Metriken zur Messung der Widerstandsfähigkeit

Bereits zu Beginn des 20. Jahrhunderts wurde anhand von Versicherungsdaten untersucht, ob sich aus kleineren Unfällen schwere Unfälle vorhersagen lassen. Man ging davon aus, dass z. B. auf 300 kleinere Unfälle ein schwerer Unfall zu erwarten sei. Auf der Grundlage dieser Annahme wurde versucht, kleinere Unfälle zu vermeiden und sie als Massstab für die Sicherheit und zur Vorhersage schwerer Unfälle zu verwenden (8). In ähnlicher Weise werden kleinere Vorfälle (z. B. die verhinderte Ausführung von Malware) heute im Bereich der Sicherheit als Metrik zur Bewertung der Sicherheitslage verwendet. Im Bereich der Sicherheit gibt es jedoch keine eindeutigen Beweise dafür, dass kleine Vorfälle tatsächlich größere Vorfälle vorhersagen und dass beide Arten von Vorfällen vergleichbare Ursachen haben.

Die Verwendung von Zwischenfällen als Mass für die Sicherheit wirft jedoch ein weiteres Problem auf. Was passiert, wenn es keine Zwischenfälle gibt? Ist die Organisation dann automatisch besonders sicher oder geschützt? Um dies zu berücksichtigen, wurden alternative Messgrößen wie Sicherheitsmargen, Schulungen, Kommunikationsprozesse oder «positive» Messgrößen verwendet. Letztere zielen darauf ab, zu messen, was gut läuft, z. B. besonders sicheres Verhalten der Mitarbeiter.

Vom isolierten zum branchenweiten Lernen

Ein weiteres gemeinsames Problem des Sicherheitssektors ist, dass das Lernen ursprünglich stark auf einzelne Organisationen beschränkt war. Diese haben jedoch nur begrenzte Möglichkeiten, aus Vorfällen zu lernen, nicht zuletzt, weil größere Vorfälle pro Organisation sehr selten sein können. Aus diesem Grund wurden z. B. in der Luftfahrt Systeme geschaffen, in denen Vorfälle vertraulich, anonym und sanktionsfrei innerhalb der gesamten Branche ausgetauscht werden können (12). Solche Systeme sind auch im Bereich der Cybersicherheit denkbar.

Von mono- zu interdisziplinärer Arbeit

Im Bereich der Cybersicherheit setzt sich zunehmend die Erkenntnis durch, dass viele Disziplinen zusammenarbeiten müssen, um die Sicherheit in einer Organisation positiv zu beeinflussen. Auch bei der Sicherheit war die Arbeit zunächst monodisziplinär, während heute verschiedene Disziplinen (z. B. Ingenieure, Psychologen, Soziologen) zusammenarbeiten, um komplexe Probleme zu lösen (14).

Zusammenfassung: Was können wir in Sachen Cybersecurity von der Sicherheit lernen?

  • Cyberangriffe sind unvermeidlich, aber Vorfälle können verhindert werden, wenn man sie versteht.
  • Denken in soziotechnischen Systemen (z. B. Sicherheitsspannen, Regelkreise, Sicherheitskultur) und nicht nur in einfachen, offensichtlichen Erklärungen für Vorfälle («Ransomware», «böser Klick»)
  • Gestaltung von Technologien und Prozessen zur Unterstützung von Menschen, anstatt sich auf menschliche Schwächen zu konzentrieren (z. B. Unterstützung von Menschen bei der Meldung unbekannter Phishing-Mails)
  • Nachdenken über Sicherheits-KPIs (oft leicht zu erhalten, aber schlechte Ersatzwerte für «Sicherheit»)
  • Schaffung von Vertrauenszonen und Möglichkeiten für branchenweites Lernen aus Ereignissen (nicht nur aus schweren Sicherheitsvorfällen)
  • Verständnis von Sicherheit als interdisziplinäre Teamarbeit von technischen und nichttechnischen Disziplinen (z. B. Ingenieure, Sozialwissenschaftler, Psychologen)

Verwandter Artikel:
Ebert, N., Schaltegger, T., Ambuehl, B., Schöni, L., Zimmermann, V., & Knieps, M. (2023). Learning from safety science: A way forward for studying cybersecurity incidents in organizations. Computers & Security, 103435. https://www.sciencedirect.com/science/article/pii/S0167404823003450

Literatur:

    1. https://www.cisa.gov/sites/default/files/publications/CSRB-Report-on-Log4-July-11-2022_508.pdf
    2. Loimer, H., & Guarnieri, M. (1996). Accidents and acts of God: a history of the terms. 
       American journal of public health86(1), 101-107.
    3. Marbe, Karl. 1926. Praktische Psychologie der Unfälle und Betriebsschäden. München: R. Oldenbourg.
    4. https://www.heise.de/news/Offizier-in-Singapur-hatte-bei-Taurus-Leak-ungesicherte-Verbindung-genutzt-9646217.html
    5. Heinrich (1950) Industrial Accident Prevention: A Scientific Approach
    6. https://www.astra.admin.ch/dam/astra/de/dokumente/langsamverkehr/handbuch-veloverkehr-kreuzungen.pdf.download.pdf
    7. Dekker, S. (2019). Foundations of Safety Science: A Century of Understanding Accidents and Disasters (1st ed.). Routledge., pp. 219
    8. Dekker, S. (2019). Foundations of Safety Science: A Century of Understanding Accidents and Disasters (1st ed.). Routledge., pp. 289
    9. https://www.hfacs.com/hfacs-framework.html
    10. https://www.nzz.ch/technologie/kriminelle-hacker-greifen-die-nzz-an-und-erpressen-sie-cyberangriff-ransomware-ld.1778725
    11. https://asrs.arc.nasa.gov/
    12. Dekker, S. (2019). Foundations of Safety Science: A Century of Understanding Accidents and Disasters (1st ed.). Routledge., pp. 1