Als ich erstmals die Analyse von Herley und van Oorschot zu den wissenschaftlichen Schwächen der Sicherheitsforschung las, wurde mir klar, wie gut ihre Kritik mit meinen eigenen Erfahrungen aus der Praxis übereinstimmt. Und ich bin nicht einmal Forscher, das sei angemerkt. Herley und van Oorschot zeigen, dass vieles von dem, was wir traditionell als "gute Sicherheitsprinzipien" ansehen, auf Behauptungen beruht, die nicht falsifizierbar sind, also nicht wirklich wissenschaftlich überprüft werden können (Herley & van Oorschot, 2018). Die Aussage "Um sicher zu sein, musst du X tun und Y verwenden" klingt einfach. Aber wie Herley und van Oorschot feststellen, wissen Unternehmen selten oder nie, ob X und Y wirklich notwendig sind, denn niemand kann die Zukunft vorhersagen oder wissen, welche Techniken Angreifer morgen einsetzen werden. (science-se...ag-jan2018, PDF)
Dieser Blickwinkel ist entscheidend. Die Cybersicherheitsbranche ist voll von Regeln, die eher aus Tradition als aus evidenzbasierter Forschung bestehen. Ein anschauliches Beispiel sind Passwortregeln. Jahrzehntelang hielten Organisationen an Anforderungen wie Komplexität, Sonderzeichen, Zahlen und Großbuchstaben fest, obwohl spätere empirische Studien zeigten, dass diese Anforderungen nicht zu tatsächlich stärkeren Passwörtern führen. Herley und van Oorschot weisen genau darauf hin, wie eine ganze Branche Richtlinien entwickelte, ohne deren Wirksamkeit zu messen (Herley & van Oorschot, 2018). Forscher wie Bonneau (2012), der über 70 Millionen echte Passwörter analysierte, zeigten, dass Nutzer tatsächlich Zufälligkeit vermeiden und stattdessen vorhersehbare Muster verwenden. Nicht die Kontrollen versagten, sondern die Menschen. Und die Menschen versagten nicht, weil sie "unwissend" waren, sondern weil die Regeln mit menschlichem Verhalten und kognitiven Grenzen kollidierten. (science-se...ag-jan2018, PDF)
Hier sehe ich die große Herausforderung der Cybersicherheit, wenn wir wirklich sichere digitale Ökosysteme schaffen wollen. Wir bauen Systeme, die logisch sind, geben sie aber Menschen in die Hand, die nicht logisch handeln. Wir schreiben Richtliniendokumente, die rational sind, setzen sie aber in Organisationen um, die unter Zeitdruck, Stress, Wettbewerbsdruck und kulturellen Einflüssen stehen. Nicht die Technik macht die Sicherheitsarbeit schwierig, sondern der Mensch.
McLean (2018) macht einen interessanten Punkt, wenn er sagt, dass Sicherheit durchaus wissenschaftlich sein kann, solange wir uns auf empirisch testbare Vorhersagen stützen. Wenn wir etwa messen können, wie schnell eine bestimmte Maschine einen bestimmten Hash knackt, können wir wissenschaftlich gültige Aussagen über die Angriffsfähigkeit treffen (McLean, 2018). Meiner Meinung nach hat er damit recht. Unter kontrollierten und klar definierten Bedingungen sind sehr präzise Messungen möglich. (msp2018030006, PDF)
Doch Sicherheit ist selten so kontrolliert. Sie spielt sich in komplexen digitalen Ökosystemen ab, in denen Nutzer improvisieren, Angreifer neue Methoden erfinden, die diese Improvisation ausnutzen, Anbieter Updates einführen, die Cybersicherheitsreife gering ist und sich Organisationen schneller verändern als wir Unterwäsche wechseln. Dieses Netzwerk aus Technik, Kultur, Verhalten, Psychologie und wirtschaftlichen Anreizen ist so weit von der Laborumgebung entfernt, in der Modelle funktionieren.
Deshalb komme ich immer wieder auf Cyberpsychologie und den Menschen zuerst zurück. Egal wie ausgefeilt unsere technischen Lösungen sind, sie werden an menschlichem Verhalten scheitern, wenn wir nicht für die Menschen und ihre Realität und ihren Alltag gestalten. Dies wird in Studien zu Sicherheitsverhalten und Erfolgsfaktoren sicherer digitaler Ökosysteme immer wieder bestätigt. Menschen nehmen Abkürzungen, wenn die kognitive Belastung zu hoch ist, wenn Arbeitsabläufe mit Sicherheitsanforderungen kollidieren oder wenn Technik eher als Hindernis denn als Unterstützung wahrgenommen wird (Furnell & Clarke, 2012). Der Mensch ist kein Störfaktor im System, er ist das System.
Wie bauen wir also digitale Ökosysteme, die sowohl wissenschaftlich fundiert als auch menschlich tragbar sind? Die kurze Antwort lautet: durch Messbarkeit (Evidenz), Ganzheitlichkeit (Allrisiko) und Akzeptanz von "good enough" (Verhältnismäßigkeit).
Die robustesten und reifsten Organisationen, die ich kenne, sind nicht die mit den meisten Kontrollen, den dicksten Richtlinien oder den ausgefeiltesten Sicherheitsprodukten. Die Reifsten messen Verhaltensweisen, sehen Systeme als soziotechnisch, akzeptieren, dass Sicherheit nie perfekt wird, und setzen daher auf Kontinuität, Resilienz und kulturelle Reife. Sie arbeiten fast wie Forscher: Sie testen Hypothesen, messen Ergebnisse und passen sich an, wenn sich die Realität ändert.
Das entspricht genau dem, was Herley und van Oorschot fordern: Sicherheit muss an reale, beobachtbare Ergebnisse gekoppelt sein, nicht an abstrakte Annahmen (Herley & van Oorschot, 2018). Die Bedrohungslandschaft ändert sich, digitale Ökosysteme ändern sich, Nutzerverhalten ändert sich. Deshalb müssen sich auch die Messmethoden der Sicherheit ändern. In diesem Prozess entsteht wahre Wissenschaftlichkeit. (science-se...ag-jan2018, PDF)
Für mich hängt das auch mit Wettbewerbsfähigkeit und unternehmenskritischer Resilienz zusammen. Ein Unternehmen, das nicht messen kann, wie schnell es Vorfälle entdeckt, wie oft Nutzer Fehler machen, wie lange die Wiederherstellung dauert oder wie effektiv Sicherheitsmaßnahmen wirklich sind, navigiert im Dunkeln. Egal, welchen Rahmen man einhält oder wie viel in Technik investiert wird: Was nicht gemessen wird, kann nicht verbessert werden, und was nicht verbessert wird, wird bald zur Schwachstelle.
Deshalb meine ich, dass zukünftige Sicherheit nicht Perfektion bedeutet, sondern nachhaltige Sicherheit. Nachhaltige Technik. Nachhaltiges Verhalten. Nachhaltige Prozesse. Nachhaltige Kultur. Nachhaltige Wettbewerbsfähigkeit. Systeme, die "good enough" sind – nicht weil wir uns mit Mittelmaß zufrieden geben, sondern weil wir für die Realität bauen, nicht für Ideale.
In Wirklichkeit ist Cybersicherheit keine Norm, kein Rahmenwerk und kein Standard. Es ist auch kein schwarz-weiß-Kampf zwischen Angriff und Verteidigung, auch wenn wir leicht in diese reaktive Denkweise verfallen. Cybersicherheit ist ein Tanz zwischen Menschen, Technik und Organisationen in Einklang und Harmonie. Erst wenn wir das akzeptieren, können wir digitale Ökosysteme schaffen, die wirklich funktionieren. Wahre Sicherheit als Teil der DNA.
Quellenangaben
Bonneau, J. (2012).The science of guessing: analyzing an anonymized corpus of 70 million passwords. 2012 IEEE Symposium on Security and Privacy, 538–552.
Furnell, S., & Clarke, N. (2012).Power to the people? The evolving recognition of human aspects of security. Computers & Security, 31(8), 983–988.
Herley, C., & van Oorschot, P. C. (2018).Science of Security: Combining Theory and Measurement to Reflect the Observable. IEEE Security & Privacy, 16(1), 12–22.
McLean, J. (2018).On the Science of Security. IEEE Security & Privacy, 16(3), 6–8
