Was der FC Bayern mit IT-Sicherheit zu tun hat, erläutert heute Volker Marschner, Sicherheits-Berater bei Sourcefire für silicon.de. ‘Pep’ ist nicht nur Trainer, sondern auch in gewisserweise Vorbild für den Chief Information Security Officer.
Zugegeben, ich bin nicht der Erste, der eine Analogie zwischen Sport und Business zieht, aber als ich letztes Wochenende zufällig gesehen habe, wie der FC Bayern München den 1866 Hoffenheim regelrecht vernichtete, haben mich die Parallelitäten zwischen Fußball und IT-Security wie ein Blitz getroffen.
In vielerlei Hinsicht hat nämlich der Chief Information Security Officer (CISO) eines Unternehmens einen ähnlichen Job wie der Bayern-München Trainer Josep “Pep” Guardiola, indem er seine Mannschaft auf jeden möglichen und unmöglichen Angriff des Gegners vorbereitet.
Die Analogie lässt sich weiter ausbauen, wenn man das heutige Level an Professionalität betrachtet: Einst ein Spiel für Jedermann auf Amateur-Niveau, hat sich Fußball zu einer sehr ernsthaften Angelegenheit entwickelt und ein so hohes Maß an Professionalität erreicht, dass Fußballer, die vor 20 Jahren gespielt haben, heute höchstens noch am Spielfeldrand stehen würden.
Ebenso blicken CISOs heute Bedrohungen von professionellen Hackern und Cybercrime-Banden entgegen, die vor 10 Jahren noch gar nicht existierten. In beiden Fällen ist es längst kein Duell mehr zwischen Amateuren. Die Rivalen sind mittlerweile in der Regel hervorragend ausgebildet, mit erstklassigen Ressourcen ausgestattet und haben ein klares Ziel vor Augen: Sie wollen ihr Gegenüber bezwingen.
Für beide, einen Fußball-Manager sowie einen CISO, ist daher die Planung enorm wichtig. Der Fußball-Manager versetzt sich in seinen Konkurrenten und identifiziert die eigenen Schwächen, Stärken sowie mögliche Angriffspunkte, die er als sein eigener Gegner ausnutzen würde. Ebenso muss der CISO wie sein krimineller Widersacher denken, da er mit einem tieferen Verständnis der methodischen Vorgehensweise seines Angreifers besser Lösungsansätze entwickeln kann, um seine Abwehr gegen mögliche Attacken zu stärken.
Planungen vor dem Spiel oder dem Cyberangriff sind notwendig, um dem Gegner entgegenzutreten und sicherzustellen, dass das Team bereit für einen Angriff ist.
Während des Spiels ist es ständige Aufgabe des Managers, die Bedrohung, aber auch die Möglichkeiten zu bewerten und dementsprechend die eigene Taktik anzupassen. Dafür braucht er einen Überblick über das gesamte Spielgeschehen – nur so kann er die richtigen taktischen Entscheidungen treffen, um das Spiel zu gewinnen.
Auf die gleiche Weise braucht der CISO während eines Cyberangriffs einen Überblick und den Kontext, um im Falle einer aufgetretenen Bedrohung des Netzwerks mögliche Beeinträchtigungen zu identifizieren. Gleichzeitig muss der CISO einen zweistufigen Ansatz mit Tools und Prozessen wählen, der eine trajektorische Fähigkeit, Big Data Analyse und Visualisierung kombiniert.
Nach dem Spiel ist bekanntermaßen vor dem Spiel: Daher wird der Fußballmanager auch nach dem Sieg genauso hart arbeiten wie während des Spiels. Er wird die Ergebnisse analysieren und die Möglichkeiten seiner Spieler sowie ihrer Stärken und Schwächen bewerten. Indem er die Videos und Statistiken des Spiels akribisch analysiert, kann er jede bestehende Schwachstelle ermitteln, die in Zukunft ausgemerzt werden sollte – oder eben die bereits vorhandenen Stärken seiner Spieler für die kommende Saison gezielt ausbauen.
Ebenso muss ein CISO die Fähigkeit haben, auf einen Sicherheitsvorfall zurückzublicken, um zu ermitteln, was passiert ist und welche Schritte hätten eingeleitet werden müssen, um das Risiko für eine erneute Attacke zu verringern. Retrospektive Sicherheitsanalysen nutzen die Möglichkeit, dass der CISO jederzeit eine Zeitreise machen und rückblickend diejenigen Geräte identifizieren kann, die von der Malware attackiert wurden, unabhängig davon, wann die Datei als Malware identifiziert wurde. Dies erfordert nicht nur die Suche nach jeder einzelnen Datei, sondern die Verfolgung sämtlicher Handlungsabfolgen auf allen geschützten Endgeräten. Anschließend müssen die Dateitransaktionen im gesamten Organisationsgefüge sowie die von ihnen hinterlassenen Spuren dokumentiert werden.
Durch die Möglichkeit, das Ausmaß des Angriffs und der Ursache(n) zu bestimmen, kann der IT-Verantwortliche bei einer Attacke schnell auf Antwortmodus umschalten sowie die notwendigen Kontrollen und Sanierungsschritte festlegen und umsetzen.
Wenn Sie also das nächste Mal ihre Lieblingsmannschaft spielen sehen, denken Sie an das IT-Security-Team ihres Unternehmens. Ein Relegationsspiel für ein Fußball-Team ist schon schlimm genug für die Spieler und ihre Fans, aber Fehler in der IT-Security können Auswirkungen auf Aktienpreise und die Reputation des Unternehmens haben. Daher ist es lebenswichtig, dass das IT-Sicherheitssystem funktioniert.
Wenn sie die Situation vor, während und nach dem Vorfall genau durchspielen und planen, können sich sowohl CISO als auch Fußball-Trainer sicher sein, sich optimal auf den unvermeidlichen Angriff vorbereitet zu haben.