Return on Security Invest: Top-down und Best-Practice

Klaus Jochem

Klaus Jochem hat über 30 Jahre Berufserfahrung in der IT-Branche. Im Bayer Information Security Program verantwortete er seit 2014 den Bereich „Secure Application Architecture“. Seit Juli 2019 ist er selbstständiger Unternehmensberater im Bereich IT- und OT-Sicherheit.

Klaus Jochem, IT/Security Strategist

Lieber Herr Jochem, seit wann beschäftigen Sie sich mit Cybersecurity und OT-Security und was sind Ihre bisherigen spannendsten Momente bei dem Thema gewesen?

Im Umfeld IT bin ich seit mehr als 35 Jahren aktiv. Mit IT-Security beschäftige ich mich seit 1989 intensiv. Zur OT-Security bin ich über die Manufacturing Execution Systeme vor ca. 15 Jahren gekommen.

Der spannendste Moment: Ich arbeitete 1987 auf Großrechnern mit IBM-Betriebssystem. Ein Systemprogrammierer blockierte immer bestimmte Verzeichnisse, was dazu führte, dass der Datentransfer übers IBM-SNA-Netzwerk zwischen den Entwicklerstandorten in Deutschland und Florida gestört wurde. Das hatte direkte Auswirkungen auf die Arbeit von ca. 1500 Softwareentwicklern. Ich programmierte mit Betriebssystemmitteln einen Trigger, der mir den Usernamen und das Terminal des Anwenders am Bildschirm anzeigte. Sie können sich nicht vorstellen, wie verdutzt der war, als ich plötzlich neben ihm stand und ihn zur Rede stellte.

Sie sprechen häufig das Thema RoSI (Return on Security Invest) als zentralen Baustein bei dem Thema Cybersecurity an – was verstehen Sie darunter und wo sind die Stärken des Ansatzes bzw. was können Unternehmen daraus ableiten?

Ich würde RoSI nicht als zentralen Baustein bezeichnen. Es ist eine Methode, mit der man Investitionen in Cybersecurity bewerten kann. Und zwar vorab, bevor die Investition getätigt wird. Darin liegt die Stärke des Ansatzes.

Bei Investitionen in Cybersecurity vergessen wir häufig, dass dadurch die Kosten dauerhaft steigen. Das ist auch dann der Fall, wenn die Lösung den Schaden vollständig vermeidet. Damit wird der Gewinn des Unternehmens dauerhaft reduziert, denn Kosten für Cybersecurity-Maßnahmen lassen sich in der Regel nicht auf den Produktpreis aufschlagen. Alternativ müssen Sie mehr Produkte verkaufen, damit der Gewinn zumindest gleichbleibt. In meiner Lieblingswährung Gummibärchen ausgedrückt: Ein Unternehmen muss viele Gummibärchen pro Jahr mehr verkaufen, damit bei jährlichen Betriebskosten von 50.000 Euro für eine Cybersecurity-Lösung der Gewinn des Unternehmens gleich bleibt.

RoSI sollte spätestens beim Design von risiko-reduzierenden Maßnahmen zum Einsatz kommen. Wurde ein Sicherheitsrisiko identifiziert, das über der Risikotragfähigkeit einer Organisation liegt, so sollten geeignete Maßnahmen ergriffen werden, um das Risiko unter diesen Wert zu reduzieren. Prinzipiell kann damit der Wert R, um den eine Sicherheitslösung das Risiko reduzieren muss, bestimmt werden.

RoSI dient dazu, verschiedene Sicherheitsmaßnahmen oder -lösungen, die alle das Risiko um mindestens R reduzieren können, miteinander zu vergleichen. Das Vergleichskriterium sind die Toolkosten. Primäres Ziel ist, eine Lösung zu finden, die RoSI optimiert.

Toolkosten umfassen zumindest die Anschaffungskosten, die Rollout-Kosten und die Betriebskosten, idealerweise über 3 oder 5 Jahre betrachtet. Daneben sollte man Opportunitätskosten und Effektivitätsverluste berücksichtigen.

Was gehört zu Effektivitätsverlusten dazu?

Friktion: Sie planen, das identifizierte Risiko um R zu reduzieren. Laut den Informationen der Lösungshersteller geht das einfach und schnell. Es gibt vielleicht sogar eine TEI (Total Economic Impact) Analyse von Forrester Research.

Für ihre spezifische Betriebsumgebung muss das nicht unbedingt gelten. Carl von Clausewitz nennt die Gründe dafür „Friktion“, Donald Rumsfeld „unknown unknowns“. Zwei Beispiele:

a)     Sie haben eine Antivirus-Lösung, die beim wöchentlichen Fullscan sehr langsam ist. An diesem Tage verlängern ihre Entwickler die Mittagspause um 2 Stunden, weil die Lösung 100% CPU-Zeit für den Scan der Java-Bibliotheken der Entwicklungsumgebung benötigt. Deshalb gibt es für die gesamte Entwicklungsumgebung auf allen Entwicklercomputern eine Scan-Exception. Das kann ein Angreifer über Spear-Phishing ausnutzen.

b)    Zum automatisierten Rollout einer Lösung benötigen Sie schreibenden Zugriff über das SMB Protokoll auf den Admin-Share der Workstations im Produktionsnetzwerk. Sie müssen dazu die Produktionsnetzwerksegmente im Firewall für das SMB Protokoll öffnen und auf jedem System einen lokalen Admin-User mit dem gleichen Passwort erzeugen, der in der Managementkonsole der Lösung hinterlegt wird. Über die Managementkonsole erhält ein Angreifer Zugriff auf alle Computer im Produktionsnetzwerk. Damit könnte ein WannaCry-artiger Wurm trotz Sicherheitslösung im schlimmsten Fall das gesamte Produktionsnetzwerk stilllegen.

Friktion reduziert die Wirksamkeit von Sicherheitslösungen bzw. in Beispiel 2 das Sicherheitsniveau des gesamten Systems. In der Regel wird die geplante Risiko-Reduktion nie erreicht. Das gilt es bei der Auswahl eines Produktes zu berücksichtigen.

Tipp! Finden Sie eine Lösung, die zu Ihrem Unternehmen und Ihrem IT-Serviceprovider passt; geplanter und erzielbarer Sicherheitsgewinn sollten nicht zu sehr voneinander abweichen. Berücksichtigen Sie Friktion bereits bei der Auswahl der Lösung!

Evolution und Disruption: Angreifer entwickeln ihre Werkzeuge weiter. Neue Schwachstellen werden aufgedeckt, Patches lösen die Probleme oft nicht vollständig oder können nicht implementiert werden. Sie müssen aus Effizienzgründen gegebenenfalls Ausnahmen zulassen. Diese Faktoren reduzieren die Wirksamkeit der Lösung über die Zeit. Prinzipiell verhält es sich mit Sicherheitslösungen so, wie mit PKWs: Verlässt man das Autohaus, ist der Wert schon um 15% gesunken. Diese Faktoren sollten bei der Bewertung von Lösungen mit RoSI berücksichtigt werden.

Tipp! Wählen Sie Lösungen, die möglichst widerstandfähig gegen neue Angriffstechniken und Schwachstellen sind. Das ist aufwändig, sollte dennoch erfolgen, damit nicht nach 2 Jahren eine zusätzliche Lösung beschafft werden muss.

Darauf aufbauend: wie verbindet sich RoSI mit dem Risikobasierten Ansatz, den Sie ebenfalls häufig nennen?

Das Risiko steht im Zentrum der ganzen Cybersecurity. Ich höre oft Leitsprüche wie „Cybersecurity: Einfach anfangen“. Aus betriebswirtschaftlicher Sicht ist das eine Katastrophe. Hier ein Beispiel:

Stellen Sie sich eine Scheune vor, die einige Mauselöcher hat. Zudem steht das Scheunentor immer auf. Der Farmer beklagt sich darüber, dass ständig Säcke mit Saatgut gestohlen werden. Einfach anfangen kann bedeuten: Ich beginne damit, das erste Mauseloch zu verstopfen, dann das zweite, usw. Bis ich beim Scheunentor angelangt bin, dauert es einige Zeit, in der weiter Saatgut gestohlen wird.

Beim risikobasierten Ansatz sichert man zuerst das Scheunentor mit einem Vorhängeschloss. Um die Mäuse muss man sich nicht kümmern, da ganze Säcke gestohlen werden. Falls man den Schaden, den die Mäuse verursachen, unbedingt verringern möchte, sollte man eine Katze anschaffen.

Generell sollte man sich zuerst um die Risiken kümmern, die oberhalb der Risikotragfähigkeit der Organisation liegen. Es ist nicht notwendig, diese Risiken so weit wie möglich zu reduzieren. Es genügt, Sicherheitsmaßnahmen zu implementieren, die das Risiko unter die Risikotragfähigkeit der Organisation drücken.

Die Risikoanalyse gewährleistet, dass man die Schwachstellen (Scheunentür) identifiziert, über die unter den gegebenen Umständen (Tür steht auf) der Schaden (Saatgut wird säckeweise gestohlen) entsteht, den die Organisation (Farmer) nicht mehr verkraften kann.

RoSI setzt u.a. beim Design von Sicherheitsmaßnahmen zur Reduktion des Risikos unter die Risikotragfähigkeit an. Wenn alle Maßnahmen das Risiko unter die Risikotragfähigkeit reduzieren, dann ist RoSI die Methode, die zur dauerhaft Kostengünstigsten führt.

Weiter im Beispiel: Der Schaden lässt sich mit verschiedenen Maßnahmen verringern. Ohne Anspruch auf Vollständigkeit:

1.     Videoüberwachung des Eingangsbereiches mit Bewegungserkennung und Alarmierung.

2.     Fingerabdruckvorhängeschloss.

3.     Die Scheune mit einem Zaun sichern.

4.     Die Scheune mit einer Selbstschussanlage aus DDR-Beständen sichern.

5.     Die Säcke in einem abschließbaren Container in der Scheune aufbewahren.

6.     Vorhängeschloss.

Mit RoSI bewertet man die Betriebskosten der Lösungen, wenn möglich über einen längeren Zeitraum. Unter Berücksichtigung verschiedener Kostenaspekte sollte die Maßnahme 6) ausgewählt werden.

Die Arbeit mit RoSI enthebt Sie nicht von der Pflicht der Nachbereitung. Überprüfen Sie nach der Implementierung, ob die geplante Reduktion des Risikos tatsächlich erzielt wurde. Das wird selten gemacht, ist aber wichtig für das Sicherheitsgefühl.

In Kombination von RoSi und risikobasiertem Vorgehen – wie schaffen es Unternehmen, mit dem nächsten Euro, den Sie in Cybersecurity investieren am meisten Risiko zu minimieren?

Vorausgesetzt, Sie kennen Ihre Risiken schon, empfehle ich, das Problem aus 2 Richtungen anzugehen, Top-down und Best-Practice:

Top-down: Konzentrieren Sie sich auf die 3 größten Risiken.

Analysieren Sie, wieweit Sie diese mit Bordmitteln reduzieren können. Für Ideen siehe unten. Analysieren Sie das Restrisiko nach Anwendung der Bordmittel (Simulation!). Setzen Sie dort an, wo das Restrisiko am größten ist.

Finden Sie Synergien. Gibt es Security-Lösungen, die mehr als ein Risiko reduzieren können? Betrachten Sie auch die geringeren Risiken.

Bewerten Sie mit RoSI die Effektivität und die Kosten der Lösungen, in Bezug auf Ihre IT/OT Umgebung und das Know-how Ihrer IT/OT-Mitarbeiter.

Das ist zwar sehr zeitintensiv, hat jedoch den Vorteil, dass man bei der Implementierung vor großen Überraschungen geschützt ist, da man vorab analysiert hat, welche Aufwände zu erwarten sind und mit welchem Sicherheitsgewinn man rechnen kann. Das heißt nicht, dass man vor Unwägbarkeiten gefeit ist. Helmuth von Moltke (der Ältere) schreibt dazu:  „Kein Operationsplan reicht mit einiger Sicherheit über das erste Zusammentreffen mit der feindlichen Hauptmacht hinaus“.

Best Practice: Vorhandene Sicherheitslösungen ausschöpfen.

Das ist das Brot- und Buttergeschäft in der Security – es läuft kontinuierlich. Reizen Sie das aus, was Sie schon haben (Bordmittel), technisch und organisatorisch. Aus meiner Sicht kann man damit > 60% aller Angriffe blocken bzw. den Schaden drastisch reduzieren. Einige Beispiele:

a)     Sie haben eine Firewall an der Grenze zum Produktionsnetzwerk im Einsatz. In vielen Fällen haben Sie IDS und IPS lizensiert, nutzen es jedoch nicht. Schalten Sie es ein, bevor Sie in neue Technik investieren. Das blockt viele Angriffe, die aus dem Firmennetzwerk kommen. Ohne Zusatzkosten, und ohne Auswirkungen auf die Produktionssysteme.

b)    Beobachten Sie den Schwachstellenmarkt. Abonnieren Sie die Security Newsfeeds der Softwarelieferanten, deren Produkte Sie einsetzen. Abonnieren Sie auch die Newsfeeds des US-CERT, BSI, Heise, etc. Schauen Sie täglich rein, ob kritische Schwachstellen für Produkte veröffentlicht wurden, die Sie einsetzen.

c)     Entwickeln Sie eine Handlungsanweisung, wie bei Veröffentlichung einer kritischen Schwachstelle vorgegangen werden muss. Patchen Sie die Anwendungen, die an der Peripherie (Internet-DMZ, Produktions-DMZ) des Netzwerkes betrieben werden, im Fall von kritischen Schwachstellen binnen 24 Stunden nach Freigabe des Patch durch den Softwarelieferanten. Bereiten Sie Notfallprozeduren für den Fall vor, dass ein Lieferant nach Veröffentlichung einer kritischen Schwachstelle noch keine Patches bereitstellen kann. Betrachten Sie die Trennung des Systems vom Netzwerk als eine Handlungsoption. Besprechen Sie die Netztrennung mit den Fachabteilungen. Üben Sie die Trennung!

d)    Arbeiten Sie nicht mit permanenten administrativen Berechtigungen, insbesondere nicht mit Domain-Adminrechten. Das gilt insbesondere für Infrastrukturadministratoren. Das reduziert die Schwere der Auswirkungen eines Angriffs drastisch. Beispiel: Der Schaden, den NotPetya 2017 bei Maersk und Merck angerichtet hat, wäre deutlich geringer gewesen, wenn die Mitarbeiter, die die Malware heruntergeladen haben, nicht mit administrativen Berechtigungen gearbeitet hätten.

e)     Blockieren Sie die Verwendung von USB-Speichermedien. Damit reduzieren Sie die Wahrscheinlichkeit eines Angriffs von Innen. Das lässt sich per Group-Policy mit wenigen Mausklicks realisieren. Organisieren Sie Malware-Schleusen, über die Mitarbeiter Daten von USB-Speichermedien kontrolliert ins Unternehmen bringen können.

f)     Aktivieren Sie Application Whitelisting. AppLocker ist seit Windows 7 Bestandteil des Windows Betriebssystems. Zusammen mit d) kann ein großer Teil von Angriffen mit neuartiger Malware, die aus dem Userkontext initiiert werden, geblockt werden. Voraussetzung: Windows Enterprise Version. Nutzung von Application Whitelisting ist Empfehlung Nummer 1 vom U.S. Department of Homeland Security und dem Australian Cyber Security Center.

Sie beschäftigen sich sowohl mit kritischer Infrastruktur (KRITIS) als auch mit produzierenden Unternehmen – wo liegen Gemeinsamkeiten und Unterschiede in der Herangehensweise im Bereich Cybersecurity?

Der risiko-basierte Ansatz ist aus meiner Sicht in beiden Fällen eine gute Herangehensweise. Ich würde jedoch immer auch die Best Practice parallel implementieren. Wesentliche Unterschiede sind:

a)     Die Risikotragfähigkeit ist im Fall kritischer Infrastrukturen durch den Gesetzgeber vorgegeben. In §8a Absatz 1 des BSIG liest man: „….angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. … Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.“

b)    Mit der neuen Version schränkt der Gesetzgeber den risiko-orientierten Ansatz weiter ein, indem er in §8a Absatz 1a den Einsatz von Systemen zur Angriffserkennung fordert, obwohl diese Systeme bei einer MTTI von 160 Tagen (Ponemon Studie 2020) weitestgehend wirkungslos sind.

c)     Der Fokus der Aktivitäten liegt bei kritischen Infrastrukturen auf Verfügbarkeit.

Der Fokus auf die Verfügbarkeit macht die Risikoanalyse etwas einfacher. Zudem empfehle ich immer, die Eintrittswahrscheinlichkeit auf 1 zu setzen. Damit werden wenig Klarheit stiftende Diskussionen vermieden. Hat man herausgefunden, welche Prozesse und Assets die Verfügbarkeit der kritischen Dienstleistung beeinflussen, so kann man die Diskussion über die Eintrittswahrscheinlichkeiten gelassener angehen.

Welche Rollen spielen Zertifizierungen für Unternehmen aus Ihrer Sicht, wer sollte diese anstreben und unter welchen Gegebenheiten macht eine Zertifizierung Sinn oder auch keinen Sinn?

Ich halte Zertifizierungen für sehr hilfreich, vorausgesetzt, man erwirbt sie nicht, weil man eine braucht („Checklisten-Security“). Und keine epischen Werke im Umfang von Krieg und Frieden erzeugt werden.

Der große Vorteil einer Zertifizierung (ISO 27001) ist, dass man weiß, wer was zu tun hat, wenn es zu einem Sicherheitsvorfall kommt. Es kommt darauf an, den möglichen Schaden möglichst geringzuhalten. Das macht jede Werksfeuerwehr. Eisenhower, der natürlich den Begriff der Friktion kannte, hat das 1957 gut ausgedrückt: „Pläne sind nichts; Planung ist alles!“

Spätestens zum Ende der Zertifizierung kennt man die Prozesse, die Assets, die Sicherheitsmaßnahmen und die Risiken. Asset- und Risikoeigentümer sind benannt, Verantwortlichkeiten und Rollen sind definiert. Die Vorgehensweise zur Handhabung von Sicherheitsereignissen ist festgelegt und geübt, Maßnahmen für effektives Krisen- und Business Continuity Management sind vorhanden.

Wichtig bei der Zertifizierung ist, dass sie vom Management (C-Level) gewollt und initiiert wird. Eine Zertifizierung beinhaltet immer einen Change-Prozess, der nicht von der Sachbearbeiterebene ausgehen kann. Zudem sollte ein Mitglied des Managements als Projektsponsor das Projekt begleiten.

Da auch eine schlanke Zertifizierung mit hohen Aufwendungen verbunden ist, sollte man zuvor den Nutzen einer Zertifizierung bewerten.

Was sind derzeit typische Problemstellungen, mit denen Kunden Sie kontaktieren? Welche Themen sind am Markt derzeit stark präsent?

Assessments sind sehr gefragt, vorab zu Aktivitäten im Umfeld kritische Infrastrukturen. Die Themen Asset- und Schwachstellenmanagement und Angriffserkennung sind, getrieben durch das BSIG, sehr präsent.

Sie kommentieren auch den Angriff auf das Uniklinikum Düsseldorf, welches vom BSI als „vermeidbar“ eingestuft wurde – was ist Ihre Sicht darauf und was können Unternehmen lernen?

Ich habe das in einem Blog ausführlich besprochen. Aus meiner Sicht sind solche Angriffe mit Mitteln des Grundschutzes nicht vermeidbar. In diesem Fall war die Vorwarnzeit (wir hatten es mit einem Zero-Day-Exploit zu tun) nicht gegeben. Das BSI hat am Tag der Veröffentlichung der Schwachstelle gewarnt, Citrix bereits einen Tag vorher, bei der Veröffentlichung des Workarounds. Der Workaround wurde umgehend implementiert. Zum Zeitpunkt der Veröffentlichung des Workarounds sagte Citrix, dass bereits Angriffe über die Schwachstelle beobachtet wurden. Einen Patch gab es erst einen Monat später.

Das ist eine denkbar ungünstige Situation! Wir sind auf Angriffe ohne Vorwarnzeit in der Regel nicht vorbereitet. Angriffe ohne Vorwarnzeit zu vermeiden ist das Ziel jeder Verteidigungsstrategie. Bestes Beispiel war die Kuba-Krise.

Application-Whitelisting- oder EDR-Lösungen könnten solche Angriffe abwehren bzw. eindämmen, nur sind sie für Linux kaum verfügbar. Zudem gilt Linux immer noch als das bessere Betriebssystem; man braucht nach Expertenmeinung nicht mal einen Virenschutz! Selbst wenn solche Lösungen verfügbar wären, würden sie vermutlich nicht eingesetzt. Und könnten auch nicht ohne weiteres installiert werden, wenn sie etwa mit einer Appliance arbeiten.

Prinzipiell muss man an den nachgeschalteten Systemen ansetzen. Das Citrix-System routet den Anwender weiter auf ein System im Data Center. Bei diesen Systemen kann man ansetzen, in dem man sie konsequent härtet und Zero-Trust strikt umsetzt. Hier können dann auch Application-Whitelisting- oder EDR-Lösungen zum Einsatz kommen.

Wenn Sie der Geschäftsführung, den Verantwortlichen für IT und Risikomanagement etwas zurufen könnten – was wäre es?

„Macht das Wichtige richtig, gleich beim ersten Versuch!“

Herr Jochem, wir danken Ihnen für Ihre Zeit und das interessante Gespräch und freuen uns auf den weiteren Austausch in der kommenden Zeit.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.