Cybersicherheitsstrategie: Lehren aus Bletchley Park
Zu viele Unternehmen konzentrieren ihre Sicherheitsstrategie nach wie vor auf die Erweiterung und Optimierung rein technischer Lösungen, warnt Martin J. Krämer von KnowBe4.
Betrachtet man diese Strategie aus historischer Perspektive, dann drängt sich ein Vergleich zur französischen Maginot-Linie auf. Man glaubt, sämtliche potenziellen Ansatzpunkte des Gegners zu kennen, errichtet – basierend auf dem aktuellen Stand der Technik – ein übermächtiges Bollwerk, erweitert und optimiert es und erwartet dann passiv den Zug des Gegners. Am Ende steht dann meist eine beeindruckende, aber letztlich ungenügende Verteidigungsstellung – die im Fall Frankreichs zu starr, für den dynamischen Vorstoß der mobilen deutschen Armee war. Frankreich wurde besetzt.
Errichtung einer digitalen Festung
Wenn es um ihre Cybersicherheitsstrategie geht, verfolgen heute zu viele Unternehmen immer noch genau diese Strategie. Sie investieren massiv in die Implementierung der neuesten Sicherheitstechnologien, um sich eine scheinbar uneinnehmbare digitale Festung zu errichten. Kommt es dann zum Angriff, scheitern sie – wie die Franzosen. Ihre Verteidigungsmaßnahmen sind zu starr, nicht anpassungsfähig genug und vernachlässigen den menschlichen Faktor.
Dabei gäbe es durchaus einen Ansatz, der weit mehr Erfolg verspricht – und dies in der Geschichte auch schon unter Beweis gestellt hat. Die Rede ist von der Funkabhörstelle Bletchley Park. 1939 kam hier, unter Leitung von Alan Turing, eine Gruppe Mathematiker, Historiker, Linguisten und Schachmeister zusammen, um den Enigma-Code der Deutschen zu knacken – mit Erfolg. Dank des Einblicks, den Briten nun in deutsche Funksprüche nehmen konnten, gelang es der Royal Airforce den Sieg in der Luftschlacht um England zu erringen, konnte die Royal Navy die Versorgungsrouten der Alliierten anpassen und proaktiv gegen die deutsche U-Bot-Flotte vorgehen.
Erfahrungen von unzähligen Experten
Es gelang den Briten in der Luft und zu Wasser, worin die Franzosen an Land gescheitert waren: die Entwicklung und Implementierung einer dynamischen, einer anpassungsfähigen, einer erfolgreichen Abwehrstrategie. Das Fundament dieses Erfolgs: unzählige Experten, die Erfahrungen und Ideen aus den unterschiedlichsten Feldern und Bereichen in die Code-Dechiffrierung einbrachten und ein nahezu unbegrenztes Reservoir verschlüsselten deutschen Nachrichtenmaterials, das zur Erkennung von Mustern herangezogen werden konnte.
Tatsächlich bietet das Beispiel Bletchley Park einige wertvolle Erkenntnisse, aus denen sich Lehren für die Einrichtung einer effektiven Cybersicherheitsstrategie – und den Aufbau einer starken Cybersicherheitskultur – ableiten lassen:
- Zunächst einmal, dass Cybersicherheit keine Disziplin ist, die ausschließlich Cyberabwehrexperten vorbehalten sein sollte. Unternehmen sollten stets darauf achten, sämtliche Mitarbeiter in ihre Cybersicherheitsstrategie mit einzubeziehen. Einer der zentralen Schlüssel beim Knacken des Enigma-Codes war die Fähigkeit des Wissenschaftler-Teams, Muster zu erkennen. In ähnlicher Weise muss und kann allen Mitarbeitern durch regelmäßige Schulungen beigebracht werden, potenzielle Bedrohungen zu erkennen und rechtzeitig zu melden.
- Dann, dass Cybersicherheitsstrategien nicht starr, sondern fluide zu sein haben. So wie die Codebrecher in Bletchley Park ihre Techniken und Methoden immer wieder erneuerten und anpassten, um zum ersehnten Ziel zu gelangen, müssen auch Cybersicherheitsstrategien kontinuierlich weiterentwickelt, an die Strategien und Taktiken der Angreifer angepasst werden.
- Und schließlich: dass es zwingend einer Kultur der offenen Kommunikation bedarf. Die gab es auch in Bletchley Park. Mitarbeiter müssen sich problemlos an die Sicherheitsabteilung ihres Unternehmens wenden können, um schnelles und effektives Feedback erhalten, sollten sie einmal etwas Verdächtiges bemerken.
Menschen in den Mittelpunkt rücken
Berücksichtigen Unternehmen diese drei einfachen Lehren aus Bletchley Park bei der Konzipierung ihrer Cybersicherheitsstrategie, können sie eine dynamischere und damit effektivere Verteidigung kreieren. Der Wechsel von einem technologiezentrierten Ansatz zu einem Ansatz, der den Menschen in den Mittelpunkt rückt, eröffnet ihnen die Möglichkeit eine Sicherheitskultur zu etablieren, die zahlreiche Schwachstellen rein technologischer Lösungen eliminiert. In den heutigen Zeiten von Phishing, Spear Phishing und Social Engineering werden nicht diejenigen Unternehmen die sichersten sein, die die fortschrittlichsten technologischen Lösungen zum Einsatz bringen, sondern diejenigen, denen es am besten gelingt, ihre gesamte Belegschaft erfolgreich in ein kollaborierendes Sicherheits-Ökosystem einzubinden.
Dr. Martin J. Krämer
ist Security Awareness Advocate bei KnowBe4.