Konzeption einer Cyber-Sicherheitsstrategie – Dr. Martin Krämer zieht Lehren aus Bletchley Park

Cyber-Verteidigungsmaßnahmen in Unternehmen sind oft noch zu starr, nicht anpassungsfähig genug, und vernachlässigen den „Faktor Mensch“

[datensicherheit.de, 22.10.2024] Viele – zu viele – Unternehmen konzipierten und planten ihre Cyber-Sicherheitsstrategie nach wie vor sehr starr, konzentrierten sich dabei überwiegend auf den Einbau, die Erweiterung und Optimierung rein technischer Lösungen. Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf strategische Fragen der Cyber-Sicherheit ein: „Betrachtet man diese Strategie einmal aus historischer Perspektive, dann drängt sich rasch ein Vergleich zur französischen Maginot-Linie auf. Man glaubt, sämtliche potenziellen Ansatzpunkte des Gegners zu kennen, errichtet, basierend auf dem aktuellen Stand der Technik an Land ein übermächtiges Bollwerk, erweitert und optimiert es und erwartet dann passiv den Zug des Gegners….“ Am Ende stehe dann meist eine beeindruckende, aber letztlich ungenügende Verteidigungsstellung – welche im Fall Frankreichs zu starr für den dynamischen Vorstoß der mobilen deutschen Armee gewesen sei: „Frankreich wurde besetzt. Und dennoch: wenn es um ihre Cyber-Sicherheitsstrategie geht, verfolgen heute viele – zu viele – Unternehmen immer noch genau diese Strategie.“ Diese investierten massiv in die Implementierung der neuesten Sicherheitstechnologien, um sich eine scheinbar uneinnehmbare digitale Festung zu errichten. „Kommt es dann zum Angriff, scheitern sie – wie die Franzosen. Ihre Verteidigungsmaßnahmen sind zu starr, nicht anpassungsfähig genug und vernachlässigen den menschlichen Faktor.“

Foto: KnowBe4

Dr. Martin J. Krämer rät Unternehmen zu einer auf dynamische und damit effektivere Verteidigung setzende Cyber-Sicherheitsstrategie

Wertvolle historische Erkenntnisse, aus denen sich Lehren für die Einrichtung einer effektiven Cyber-Sicherheitsstrategie ableiten lassen

„Dabei gäbe es durchaus einen Ansatz, der weit mehr Erfolg verspricht – und dies in der Geschichte auch schon unter Beweis gestellt hat. Die Rede ist von der Funkabhörstelle Bletchley Park.“ 1939 sei dort, unter Leitung von Alan Turing, eine Gruppe Mathematiker, Historiker, Linguisten und Schachmeister zusammengekommen, um den „Enigma“-Code der Deutschen zu knacken – mit Erfolg. Krämer führt weiter aus: „Dank des Einblicks, den Briten nun in deutsche Funksprüche nehmen konnten, gelang es der Royal Airforce den Sieg in der Luftschlacht um England zu erringen, konnte die Royal Navy die Versorgungsrouten der Alliierten anpassen und proaktiv gegen die deutsche U-Bot-Flotte vorgehen. Es gelang den Briten in der Luft und zu Wasser, worin die Franzosen an Land gescheitert waren – die Entwicklung und Implementierung einer dynamischen, einer anpassungsfähigen, einer erfolgreichen Abwehrstrategie.“ Das Fundament dieses Erfolgs seien unzählige Experten gewesen, welche Erfahrungen und Ideen aus den unterschiedlichsten Feldern und Bereichen in die Code-Dechiffrierung eingebracht hätten, und ein nahezu unbegrenztes Reservoir verschlüsselten deutschen Nachrichtenmaterials, welches zur Erkennung von Mustern hätte herangezogen werden können.

Tatsächlich biete das Beispiel Bletchley Park einige wertvolle Erkenntnisse, aus denen sich Lehren für die Einrichtung einer effektiven Cyber-Sicherheitsstrategie – und den Aufbau einer starken Cyber-Sicherheitskultur – ableiten ließen:

„Zunächst einmal, dass Cyber-Sicherheit keine Disziplin ist, die ausschließlich Cyber-Abwehrexperten vorbehalten sein sollte. Unternehmen sollten stets darauf achten, sämtliche Mitarbeiter in ihre Cyber-Sicherheitsstrategie mit einzubeziehen.“ Einer der zentralen Schlüssel beim Knacken des „Enigma“-Codes sei die Fähigkeit des Wissenschaftler-Teams gewesen, Muster zu erkennen. In ähnlicher Weise müsse und könne allen Mitarbeitern durch regelmäßige Schulungen beigebracht werden, potenzielle Bedrohungen zu erkennen und rechtzeitig zu melden.

„Dann, dass Cyber-Sicherheitsstrategien nicht starr, sondern fluide zu sein haben. So wie die Code-Brecher in Bletchley Park ihre Techniken und Methoden immer wieder erneuerten und anpassten, um zum ersehnten Ziel zu gelangen, müssen auch Cyber-Sicherheitsstrategien kontinuierlich weiterentwickelt, an die Strategien und Taktiken der Angreifer angepasst werden.“

Und schließlich, dass es zwingend einer Kultur der offenen Kommunikation bedürfe. „Die gab es auch in Bletchley Park.“ Mitarbeiter müssten sich problemlos an die Sicherheitsabteilung ihres Unternehmens wenden können, um schnelles und effektives Feedback erhalten, sollten sie einmal etwas Verdächtiges bemerken.

Gesamte Belegschaft adressieren, um sie erfolgreich in ein kollaborierendes Cyber-Sicherheits-Ökosystem einzubinden

Berücksichtigen Unternehmen diese drei einfachen Lehren aus Bletchley Park bei der Konzeption ihrer Cyber-Sicherheitsstrategie, könnten sie eine dynamischere und damit effektivere Verteidigung kreieren. Der Wechsel von einem technologiezentrierten Ansatz zu einem Ansatz, welcher den Menschen in den Mittelpunkt rückt, eröffne ihnen die Möglichkeit eine Sicherheitskultur zu etablieren, welche zahlreiche Schwachstellen rein technologischer Lösungen eliminiere.

„In den heutigen Zeiten von Phishing, ,Spear Phishing’ und ,Social Engineering’ werden nicht diejenigen Unternehmen die sichersten sein, die die fortschrittlichsten technologischen Lösungen zum Einsatz bringen, sondern diejenigen, denen es am besten gelingt, ihre gesamte Belegschaft erfolgreich in ein kollaborierendes Sicherheits-Ökosystem einzubinden“, betont Krämer abschließend.

Weitere Informationen zum Thema:

KnowBe4
Security Culture / What It Is and Why It’s Important