Ein guter Cyberbedrohungsanalyst weiß, wann er BLUFT verwenden muss 

In der Welt der Cybersicherheit ist die Art und Weise, wie wir etwas sagen, genauso wichtig wie – vielleicht sogar wichtiger als – das, was wir sagen. 

Ein Gedankenexperiment zur Veranschaulichung dieses Punktes:

Sie sind CEO einer der größten Kraftstoffpipelines des Landes. Sie wurden zu einem Threat-Intelligence-Briefing eingeladen, weil Ihre Analysten einige bedeutende Cyberbedrohungen festgestellt haben, die Auswirkungen auf Ihr Unternehmen haben könnten.

Auf welche dieser beiden Bedrohungen reagieren Sie zuerst?  

• Bedrohung 1: „Eine Ransomware-Bande hat es auf andere Energieunternehmen abgesehen und entscheidende Daten gesperrt, bis das Unternehmen ein Lösegeld zahlt. Wenn diese Ransomware unser Netzwerk kompromittieren würde, könnte sie schätzungsweise bis zu 100 GB unserer Daten verschlüsseln."

• Bedrohung 2: „Eine hochgradig störende Malware hat in den letzten Monaten mehrere kritische Infrastruktursysteme befallen und Kerndienste lahmgelegt. Sollte sie in unser Netz eindringen, würde diese Malware schätzungsweise die gesamte Pipeline für eine Woche lahmlegen.“

Das ist eine Fangfrage. Beide Bedrohungen beschreiben denselben Angriff: den Ransomware-Angriff auf die Colonial Pipeline 2021, den größten Cyberangriff auf die Ölinfrastruktur in der Geschichte der USA. Böswillige Hacker haben die Pipeline, die 45 % des Treibstoffs der Ostküste transportiert, abgeschaltet und die Opfer unter Druck gesetzt, ein Lösegeld von 4,4 Millionen USD zu zahlen. (Das Justizministerium hat schließlich einen Teil dieses Lösegelds zurückerhalten.)

Beachten Sie, dass diese Bedrohungsberichte, obwohl sie denselben Angriff beschreiben, nicht gleich dringlich erscheinen. Bedrohung 1 scheint schlimm zu sein, aber Bedrohung 2 erfordert sofort eine umfassende Reaktion.

Bedrohung 2 fühlt sich so viel dringlicher an, weil es die geschäftlichen Auswirkungen des Angriffs und nicht die technischen Details hervorhebt. Leider verstehen Bedrohungsanalysten das oft falsch, was zu einer tiefgreifenden Kommunikationslücke zwischen Cybersicherheit und Unternehmen beiträgt.  

Diese Diskrepanz ist mehr als nur eine Unannehmlichkeit. Das kann dazu führen, dass das Unternehmen allen Arten von Angriffen ausgesetzt ist. 

Alle.

Einerseits formulieren wir Cybersicherheitsprofis unsere Erkenntnisse nicht immer in geschäftlichen Begriffen. Wir verfolgen oft einen technischeren Ansatz und konzentrieren uns auf das Insiderwissen: die Namen von Bedrohungsakteuren und Malware, IOCs und CVEs sowie CVSS-Scores – eine ganze undurchdringliche Wand aus speziellen Akronymen.

Für uns Praktiker bedeuten diese Dinge viel, für die Geschäftsleiter, die wir ausbilden möchten, bedeuten sie jedoch viel weniger. 

Auf der anderen Seite haben dieselben Führungskräfte möglicherweise eine ungenaue Vorstellung von der Rolle der Cybersicherheit und dem wahren Umfang ihres Wertes. Cybersicherheit wird oft wie ein Abhaken behandelt, bei dem es darum geht, eine Regel einzuhalten, um eine Geldstrafe zu vermeiden oder eine Zertifizierung zu erhalten. 

Diese Denkweise macht Sicherheit zu kaum mehr als einem zusätzlichen Posten im Budget, einer Kostenstelle statt einer Kostenersparnis oder gar eines Wettbewerbsvorteils. 

Wenn wir an einem Konferenztisch sitzen, reden wir daher aneinander vorbei. Das hat wesentliche Konsequenzen. Wenn die Sicherheit Bedrohungen nicht in einer Sprache vermitteln kann, die das Unternehmen versteht, unterschätzt dieses möglicherweise Risiken oder verweigert bestimmte Sicherheitsinvestitionen, weil sie sich „nicht lohnen“.

Bis die Katastrophe eintritt. 

Aber niemand hört gerne ein „Ich habe es Ihnen doch gesagt“. Damit macht man sich in der C-Suite sicherlich keine Freunde. 

Auch hier sind nicht die Cybersicherheitsexperten für die Lücke verantwortlich. Aber wir sind einzigartig positioniert, um sie zu schließen.

Wenn wir in einer Sprache kommunizieren, die für die Unternehmensleitung wichtig ist, können wir das gesamte Unternehmen besser auf die Prioritäten des Bedrohungsmanagements und die Sicherheitskontrollen ausrichten.

Diese Ausrichtung wiederum macht es dem Sicherheitsteam leichter, Unterstützung für seine Empfehlungen zu gewinnen. Im Laufe der Zeit, wenn sich diese Sicherheitsinvestitionen auszahlen, beginnt das Unternehmen, Sicherheit als echten Mehrwert zu betrachten. 

Hier sind vier Kommunikationsänderungen, die Cybersicherheitsteams vornehmen können, um die Kluft zu überbrücken: 

Es ist einfach, sich auf das zu konzentrieren, was passieren könnte: Angriffe, die stattfinden könnten, Systeme, die anfällig sein könnten, Bedrohungsakteure, die auftreten könnten. 

Führungskräfte neigen dazu, sich mehr für das zu interessieren, was passiert ist: Angriffe, die wir verhindert haben, und Schwachstellen, die wir gepatcht haben.

Dies ist in mancher Hinsicht eine positive Sache. Zum einen ist es ein Zeichen des Vertrauens in das Sicherheitsteam. Führungskräfte in Unternehmen müssen nicht über alle Möglichkeiten Bescheid wissen, da sie darauf vertrauen, dass wir die meisten, wenn nicht sogar alle, verhindern können. 

Dies ermöglicht es uns auch, unsere Erfolge mehr zu preisen – um unseren Wert unter Beweis zu stellen, indem wir darüber berichten, wie wir das Unternehmen erfolgreich vor Gefahren geschützt haben. 

Allerdings müssen wir hier eine Nadel im Heuhaufen einfädeln. Wir möchten zwar das Tatsächliche betonen, können aber nicht völlig auf das Mögliche verzichten. Schließlich besteht ein Teil unserer Aufgabe darin, neue Cyberbedrohungen zu identifizieren und die richtigen Sicherheitsmaßnahmen zu ergreifen, um sie zu stoppen.

Der folgende Ansatz hilft Ihnen, diese Faktoren auszugleichen:

Wenn eine neue Cyberbedrohung in freier Wildbahn auftaucht, identifizieren Sie deren Wahrscheinlichkeit und potenzielle Auswirkungen. Identifizieren Sie dann alle Maßnahmen, mit denen Sie die Bedrohung bekämpfen können, ohne dass Sie eine Genehmigung oder neue Ressourcen benötigen, und implementieren Sie diese dann. Bewerten Sie, wie diese Maßnahmen die Wahrscheinlichkeit und die Auswirkungen einer Bedrohung verringern, und bestimmen Sie dann das Gesamtrisikoniveau der Bedrohung. 

Für Bedrohungen mit hohem Risiko sind wahrscheinlich mehr Ressourcen erforderlich, und die Führungskräfte sollten darauf aufmerksam gemacht werden.  Bedrohungen mit geringem Risiko können in einer ergänzenden Liste zusammengestellt oder am Rande erwähnt werden, aber sie müssen keine wertvolle Besprechungszeit in Anspruch nehmen.  

Apropos Auswirkungen von Bedrohungen: Es ist am besten, Berichte über die Auswirkungen und Schätzungen mit harten Zahlen und konkreten geschäftlichen Konsequenzen zu verknüpfen.

Wir Sicherheitsexperten gehen manchmal davon aus, dass Sicherheitslücken offensichtlich schlimm sind. Wenn es einen Fehler in einem System gibt, möchte man ihn beheben, weil es ein Fehler ist. 

Aber außerhalb der Sicherheit ist das bloße Vorhandensein einer Schwachstelle möglicherweise nicht Motivation genug.

Das liegt zum Teil daran, dass wir Schwachstellen oft abstrakt diskutieren: „Unser System ist anfällig für neuere Ransomware-Stämme, die viele unserer bestehenden Kontrollen umgehen. Wir schlagen vor, neue Ransomware-Schutzmaßnahmen zu implementieren, die 200.000 US-Dollar kosten würden.“  

Eine vernünftige Empfehlung, aber 200.000 US-Dollar sind ein hoher Preis. Entscheidungsträger könnten sich vor einer solchen Investition sträuben, insbesondere wenn die einzige Rechtfertigung etwas so Unspezifisches wie „Stoppen von Ransomware“ ist.

Ziehen Sie stattdessen diese Formulierung in Betracht: „Unser System ist anfällig für neuere Ransomware-Stämme. Wir haben Vorfälle bei ähnlichen Organisationen analysiert und diese Ransomware-Angriffe kosten aufgrund einer Kombination aus entgangenem Geschäft und dem Preis für die Sanierung durchschnittlich 2 Millionen USD pro Tag. Wir schlagen vor, neue Ransomware-Schutzmaßnahmen zu implementieren, die 200.000 US-Dollar kosten würden.“ 

Wir sprechen hier von 200.000 US-Dollar, die nicht „Ransomware stoppen“, sondern verhindern, dass das Unternehmen 2 Millionen US-Dollar pro Tag verliert. Das scheint ein gutes Geschäft zu sein. 

Wir Cybersicherheitsexperten neigen dazu, auf Nummer sicher zu gehen. Doch für viele Unternehmen liegt das optimale Risiko nicht bei Null. 

Denken Sie an die klassische CIA-Triade der Informationssicherheit. Darin heißt es, dass ein sicheres Informationssystem Vertraulichkeit, Integrität und Verfügbarkeit erfordert. 

Mit anderen Worten: Sensible Daten und Systeme müssen geschützt werden, aber auch für die Mitarbeiter nutzbar sein. Es ist schwierig, dieses Gleichgewicht zu finden. Strenge Schutzmaßnahmen können die Sicherheit der Systeme gewährleisten, aber der Produktivitätsverlust lohnt sich nicht immer.

Einer von uns arbeitete zum Beispiel in einem Medienunternehmen, das eher laxe Beschränkungen für die Art der eingesetzten technischen Mitarbeiter bevorzugte. Diese Richtlinie eröffnete Möglichkeiten für nicht verwaltete Schatten-IT und riskantes Browsing, ermöglichte es den Mitarbeitern aber auch, schnell und dynamisch nach sich entwickelnden Stores zu recherchieren. Diese Aktivität war ein zentraler Bestandteil des Geschäftsmodells des Unternehmens, sodass das Unternehmen bereit war, die damit verbundenen Risiken in Kauf zu nehmen.  

Mit einem gemeinsamen Verständnis dessen, was Risiko bedeutet, können Cybersicherheitsteams Taktiken und Werkzeuge einsetzen, die Sicherheitsanforderungen erfüllen, ohne den Geschäftsbetrieb zu stören. 

Beachten Sie, dass die Ausrichtung auf Risikotoleranz nicht bedeutet, dass sich die Cybersicherheit immer mit dem Unternehmen deckt. Cybersicherheitsteams können und sollten ihr Fachwissen nutzen, um die Risikoeinschätzung des Unternehmens zu beeinflussen.

Einer von uns erinnert sich an ein bestimmtes Threat-Intelligence-Briefing. In dem Briefing war ein bestimmter Angriff als geringes Risiko eingestuft worden, aber eine Führungskraft wehrte sich. Er war der Meinung, dass das Risikoniveau höher sein sollte, da das Unternehmen in der Vergangenheit bereits diese Art von Sicherheitsverletzung erlitten hatte.

Das Threat-Intelligence-Team wies darauf hin, dass sich die Geschäftswelt seitdem verändert habe. Das Unternehmen hatte Schutzmaßnahmen installiert, die Wahrscheinlichkeit und Schwere eines solchen Angriffs verringerten. Außerdem war die Bedrohung in letzter Zeit nicht gegen Unternehmen wie dieses Unternehmen gerichtet worden.   

Die Führungskraft hörte sich den Fall an und stimmte der Bewertung des geringen Risikos zu. Hätten wir uns nicht die Zeit genommen, uns auf das Risiko abzustimmen, hätten wir am Ende Zeit und Ressourcen für eine Bedrohung aufgewendet, die nur wenig Schaden darstellte.

Dieser letzte Punkt ist der einfachste, aber vielleicht wirkungsvollste. Es erfordert weder Umdenken noch strategische Neuausrichtungen. Es handelt sich stattdessen um eine kleine strukturelle Änderung in der Art und Weise, wie wir Berichte schreiben.

Wir sprechen hier von „BLUF-ing“ oder davon, das Endergebnis in den Vordergrund zu stellen.

Insbesondere im Bereich der Threat-Intelligence haben wir die Angewohnheit, lange, detaillierte Berichte zu erstellen, die 20 oder vielleicht 30 Seiten umfassen und tiefgreifende Einblicke in all die neuen Informationen bieten, die wir zum Teilen haben.

Wir finden das alles vielleicht interessant, aber viele Führungskräfte sehen es sich an und denken: „TLDR – zu lang, habe es nicht gelesen!“ 

Wenn Sie auf „BLUF“ setzen, beginnen Sie mit dem Fazit: Folgendes ist passiert. Hier ist, worüber Sie sich Gedanken machen müssen. Hier finden Sie unsere Bewertung der Situation und was wir denken, was wir tun sollten.

Der Rest des Berichts kann für die Leser, die dies wünschen, immer noch eine tiefgehende Auseinandersetzung sein. Aber eine verdauliche Zusammenfassung – basierend auf relevanten, konkreten Details – reicht oft aus, damit Führungskräfte eine fundierte Entscheidung treffen können. 

Um die Lücke in der Cybersicherheit zu schließen, müssen wir letztlich die technischen Begriffe unserer Technik in eine Sprache der Dringlichkeit und Wirkung übersetzen, die bei den Führungskräften Anklang findet.

Indem wir unseren Kommunikationsansatz ändern, können wir auch die Wahrnehmung der Sicherheit durch das Unternehmen verändern: von einem weiteren Posten zu einer entscheidend kritischen Investition, die dem Unternehmen hilft, zu arbeiten, zu innovieren und zu gedeihen.