Mangelnde Cyber-Resilienz ist mehr als ein Problem der SoftwarequalitätPersistenz-Technologie als Problemlöser
15. März 2023
Tools zur Cyber-Sicherheit soll Unternehmen schützen – Organisationen, die in Sicherheits-Tools investieren, sollten erwarten können, dass diese immer funktionieren, nicht nur teil- oder zeitweise.
„Wir geben heute oft einem Unternehmen die Schuld, das eine Sicherheitslücke aufweist, weil es eine bekannte Schwachstelle nicht gepatcht hat. Was ist aber mit dem Hersteller, der die Technologie produziert hat, die überhaupt zu viele Patches erfordert?“ – so lautete die Aussage von Jen Easterly, Director der CISA (Cybersecurity and Infrastructure Security Agency). Doch diese Aussage sollte man kritisch unter die Lupe nehmen.
Viele haben das so verstanden, dass Cyber-Resilienz ein Problem ist, das nur von den Herstellern gelöst werden kann, die der Herausforderung nicht gewachsen sind. All dies ließe sich ändern, indem Unternehmen, die eine Sicherheitsverletzung erlitten haben, die Klagen auf die Anbieter der Sicherheitstools verlagern, die sie eigentlich zur Verhinderung einer solchen Verletzung einsetzen.
Das sorgt zwar für tolle Schlagzeilen, aber war wohl nicht die Absicht und ist auch nicht die Realität. Um das Problem der Cyber-Resilienz wirklich zu anzugehen, müssen alle Mitglieder des Ökosystems zusammenarbeiten. Ziel muss es sein, die Resilienz-Lücke zu schließen, denn kein einzelnes Mitglied kann das Problem allein lösen. Dies erfordert eine gemeinsame Verantwortlichkeit. Die Unternehmen müssen für die Einhaltung von Vorschriften sorgen, die Anbieter müssen die Komplexität und Widerstandsfähigkeit bewältigen, und die Verantwortung gilt es gemeinsam zu tragen.
Ursachen für fragile Sicherheit nicht zu sehr vereinfachen
Software muss aus vielen Gründen repariert werden. Veränderungen im Umfeld der Software, neue Formen des Risikos, die von Gegnern oder vom Benutzer eingeführt werden, aber vor allem Komplexität sind die Gründe hierfür. In den letzten zehn Jahren sind die Ausgaben für die Cybersicherheit explodiert. Jährlich fallen Ausgaben in zweistelliger Milliardenhöhe an, um neue Sicherheitsfunktionen zum Schutz von Endnutzergeräten oder Endpunkten und zur Erkennung/Verhinderung von Schäden hinzuzufügen. Infolgedessen sind heute auf einem Laptop im Durchschnitt elf bis zwölf Sicherheitsanwendungen installiert.
In jedem regulierten Bereich sind mehr als zwei- bis dreimal so viele Sicherheitsagenten zu beobachten, plus die vielen anderen nicht sicherheitsrelevanten Anwendungen, die ebenfalls auf diesen Geräten laufen. Und trotzdem kommt es immer noch zu Sicherheitsverletzungen. Warum? Die Antwort ist: Komplexität.
Komplexität macht Kontinuität nahezu unmöglich
Auf Millionen aktiver Geräte laufen heute mehr als 17 Windows-Versionen mit über 300 Patches/Kombinationen sowie eine endlose Reihe von Konfigurations- und Verbindungsvariablen. Als Entwickler war es bislang sowohl für Kunden als auch für Anbieter nahezu unmöglich, eine Testmatrix für diese unendlichen Kombinationen zu erstellen und die Unbekannten vorherzusagen, die täglich hinzukommen. Bei Unternehmenskunden mangelt es zudem an Fachkräften mangelt, um die Berge von Warnungen und Ereignissen zu bewältigen, die von diesen Systemen ausgehen und darauf reagieren und Systeme wiederherstellen zu können. Die Reaktion erfolgt oft mit monatelanger Verspätung.
Nicht zu vergessen sind die SLAs der Unternehmen selbst. Die Unternehmen wollen zu Recht, dass jede bekannte Schwachstelle oder jedes Qualitätsproblem innerhalb von Tagen/Wochen gemeldet und behoben wird. Eine schnelle Reaktion mit Patches und Fixes ist für die Sicherung der Kundenumgebungen vor neuen Risiken von größter Bedeutung. Die Komplexität ist immens. Die Verbesserung der Qualität, die Beherrschung der Komplexität und neue Fähigkeiten im Bereich der Analytik und KI können mit der Zeit helfen, aber was lässt sich heute schon machen?
Es geht es um Wiederherstellung und um Verhinderung
Absolute Software beschäftigt sich permanent mit dem Zustand von Anwendungen und deren Auswirkungen auf die Cyber-Resilienz von Endpunkten. Die Erfahrung zeigt, dass nicht alle ISVs (Independent Software Vendors) zu wenig in die Qualität investieren. Durch eine im BIOS von Millionen aktiver Geräte integrierten Technologie hat Absolute Software eine besondere Perspektive.
Dabei wird deutlich, dass führende Sicherheitsanwendungen in anspruchsvollsten Sicherheitsumgebungen von einigen der versiertesten Sicherheitsteams ausgeführt werden. Diese Sicherheitsanwendungen sind dennoch nur zu 60 bis 70 Prozent stabil, was bedeutet, dass sie nur auf 60 bis 70 Prozent der Geräte, auf denen sie für die Compliance erforderlich sind, installiert sind, ausgeführt werden und funktionieren. Oder anders ausgedrückt: Von jedem ausgegebenen Dollar können 0,30 bis 0,40 Dollar verschwendet werden, wenn diese Kontrollen nicht funktionieren und damit Benutzer nicht schützen.
Es geht darum, die dahintersteckende Komplexität in den Griff zu bekommen. Da hinlänglich bekannt ist, dass das Endergebnis niemals ein Null-Risiko sein wird, ist eine Lösung gefragt, die trotz dieser Komplexität eine effektive Leistung liefert. Wir setzen hierbei auf eine Persistence-Technologie, die sich bereits in der Hardware befindet, um Anwendungen automatisch zu heilen.
Absolute Resilience kombiniert alle Funktionen von Absolute Visibility und Absolute Control mit kritischen Resilience-Funktionen, um Endpunkte vor Bedrohungen und Schwachstellen zu schützen. Dies umfasst auch, auf Sicherheitsverletzungen und -vorfälle zu reagieren und „ungesunde“ Anwendungen automatisch zu überwachen und zu erkennen, um sie selbständig wiederherzustellen, zu reparieren oder sogar neu zu installieren. Wir haben beobachtet, dass die Anwendungsresilienz dadurch von 60 bis 70 Prozent Konformität in einigen Fällen auf 97 bis 99 Prozent steigt – ohne zusätzliche Unterstützung durch das IT-Team.
Cyber-Resilienz ist ein Mannschaftssport
Ziel muss es sein, die Sicherheit mit dem, was an Technologie bereits zur Verfügung steht, stabiler machen. Die Cyber-Sicherheitsbranche muss sich fragen: „Was ist das Kernproblem, das wir zu lösen versuchen?“ Ist es „Wessen Schuld ist es und wer wird verklagt?“ oder ist es eher „Wie können wir gemeinsam die Sicherheit verbessern?“ Letzteres ist das eigentliche Ziel, und alle können mehr tun.“
Christy Wyatt ist CEO und President bei Absolute Software.
