Interview: Sollte die Cybersicherheit offensiver sein?

Die Cyberabwehr versucht, Angriffe möglichst schnell zu erkennen, erkannte Attacken abzuwehren und Schäden einzudämmen. Doch viele Attacken haben bekanntlich Erfolg. Wo liegen die größten Probleme der Cyberabwehr?
Joseph Carson: Die größte Herausforderung bei der Cyberabwehr besteht darin, sicherzustellen, dass die Grundlagen der Cybersicherheit solide sind, bevor man sich mit fortschrittlicheren Cybersicherheitslösungen befasst. Viele Unternehmen werden Opfer von Cybervorfällen, weil ein kritischer Patch fehlt oder die Zugangsdaten eines Mitarbeiters kompromittiert wurden. Dies öffnet Angreifern die Tür zum Unternehmensnetzwerk, wo sie dann problemlos nach kritischen Systemen oder Daten suchen können.

Ein Unternehmen, das auf Schulungen zum Thema Cybersicherheit, starke Zugangskontrollen wie Identitäts- und Zugriffsmanagement (IAM), Multi-Faktor-Authentifizierung und Privileged Access Management samt einer soliden Backup- und Wiederherstellungsstrategie setzt, macht es Angreifern jedoch schwer, erfolgreich zu sein, und selbst wenn sie es einmal sein sollten, kann sich das Unternehmen schnell erholen.

Angriff ist die beste Verteidigung, so sagt man. Gerade in Deutschland wird eine offensive Cybersicherheit aber kritisch gesehen. Sind die Cyberabwehrstrategien in Deutschland zu defensiv?
Alle Länder müssen das richtige Gleichgewicht zwischen Verteidigung und Offensive finden und idealerweise arbeiten diese Teams eng zusammen, um zu analysieren, welche Risiken für Dienste oder Unternehmen bestehen und welche Sicherheitskontrollen am geeignetsten sind, um einen Cyberangriff zu erschweren. Versetzt man sich dabei in die Lage eines Angreifers, lassen sich die gängigsten Angriffsvektoren schnell identifizieren, und darauf basierend dann die besten Sicherheitskontrollen ermitteln, die man einrichten sollte.

Ziel ist es, den Angreifer dazu zu drängen, mehr Risiken einzugehen, was ihn dazu zwingt, mehr Lärm im Netzwerk und den Systemen zu machen, damit sich die Chancen erhöhen, ihn frühzeitig zu entdecken und eine Katastrophe abzuwenden. Bei der Durchführung offensiver Cybersicherheitsmissionen sollten solchen Aktivitäten aber grundsätzlich nur von autorisierten staatlichen Stellen durchgeführt werden, da der Grat zwischen offensiven Cybersecurity-Aktionen und unbeabsichtigten Cybervorfällen nur sehr schmal ist.

Was machen nach Ihrer Erfahrung die anderen Länder denn anders?
Der Unterschied zwischen den einzelnen Ländern liegt in der Zusammenarbeit zwischen der Regierung und der Industrie.  Ich glaube, dass eine starke Zusammenarbeit zwischen Regierung und Industrie der Schlüssel zu mehr Widerstandsfähigkeit ist.

Sie sind auch Ethical Hacker. Halten Sie offensive Mittel in der Cybersicherheit für ethisch oder unethisch?
Offensive Cybersicherheit kann ganz verschiedene Auswirkungen haben und das Ausschalten eines Servers, der DDoS-Angriffe gegen einen Gesundheitsdienstleister oder einen kritischen Dienst startet, kann durchaus als ethisch betrachtet werden. Der Begriff „ethisch“ hängt letztlich von den Motiven einer Aktion ab. Es ist jedoch immer wichtig, dass die Aktionen mit dem Gesetzt vereinbar sind, und das ist von Land zu Land sehr unterschiedlich. Ist offensive Cybersicherheit also ethisch vertretbar? Auf jeden Fall, aber es hängt von der Auswirkung und dem Umfang des Einsatzes ab und davon, ob man rechtlich gesehen auf der richtigen Seite bleibt.

Wo sollten denn die Grenzen liegen bei einer offensiven Security-Strategie?
Ich bin der Meinung, dass offensive Cybersicherheit strengen Kontrollen unterliegen sollte, mit einer angemessenen Aufsicht, um sicherzustellen, dass alle Maßnahmen gut begründet sind. Das bedeutet, dass offensive Cybersicherheit von staatlichen Stellen und nicht vom privaten Sektor durchgeführt werden sollte. Diese Zuordnung ist eine der schwierigsten Aufgaben im Bereich der Cybersicherheit, und bei einem offensiven Einsatz darf die Zuordnung niemals falsch sein.

Was denken Sie: Wird es in Deutschland bald Services für offensive Security-Maßnahmen geben, zum Beispiel Ethical Hacker, die man damit beauftragen kann?
Ich glaube, dass jedes Land offensive Cybersicherheitsmaßnahmen und -aktivitäten ergreifen wird, da der Cyberspace keine Grenzen hat und eine starke Cyberverteidigung einen Angriff stoppen kann, bevor er stattfindet. Der Schlüssel ist dabei eine enge Zusammenarbeit, und ich denke schon, dass Länder wie Deutschland auf qualifizierte ethische Hacker setzen werden, um eine starke Cyber-Resilienz zum Schutz der Gesellschaft aufzubauen.