In der letzten Zeit gibt es in der Berichterstattung zu Cyberangriffen immer Vergleiche, die vollkommen verzerrt sind.
Cyberangriffe werden da mit "Bombenangriffen" oder Extremwetterereignissen verglichen.
Das führt in die falsche Richtung, weil es den Eindruck erweckt, dass es dagegen kein Mittel gäbe.
"100 Prozent Sicherheit gibt es nicht", kannste nichts machen. Doch.
Thread dazu🧵
Beispiele der jüngeren Berichterstattung:
Beitrag im Morgenmagazin heute
https://www.daserste.de/information/politik-weltgeschehen/morgenmagazin/berichte-und-interviews/Cybersicherheit-102.html
oder auch der "Zero Day" Podcast im Deutschlandfunk https://www.deutschlandfunk.de/zero-day-in-suedwestfalen-folge-1-hackeralarm-bei-nacht-dlf-cab9c129-100.html
Der Schaden durch Cyberangriffe beträgt in Deutschland über 148 Miliiarden Euro pro Jahr Die meisten Angriffe kommen aus Russland und China. Jedes zweite Unternehmen fühlt sich durch Cyberattacken existenziell bedroht.
Die Bedrohungslage im Cyberraum (oh ja, jetzt schreibe ich schon so Cybersprech) ist grundsätzlich eine Bandbreite von Bedrohungen, nicht immer nur eine Ansammlung von Extremereignissen.
Die mediale Berichterstattung driftet aber zusehends dahingehend ab, das alles als Extremereignis darzustellen.
CDU-Umfrage klappt nicht - "Kriminell manipuliert"
CDU gehackt - »Schwerster IT-Angriff auf eine politische Partei in
Deutschland«
Kommt mal runter mit der Beschreibung der Schwere dieser Vorfälle
Wenn ihr medial schon den Vergleich zu unvorhergesehenen Extremwetterereignissen aufmacht, solltet ihr in der Wetteranaloge auch ganz ehrlich zugeben, dass es für 95% aller Wettersituationen passende Gegenmaßnahmen gibt.
Regen, Hagel, Schnee, Wind, Sturm etc, kannst du im echten Leben auch in den allermeisten Fällen recht entspannt durchstehen.
So ist es im Cyber auch: Den allermeisten Zero Days, DDoS-Attacken etc. kannst du durch Prozesse und Technik vorbeugen.
Es ist - Kenntnisstand jetzt – sowohl im Falle z.B. der Südwestfalen IT aber auch im Falle mindestens der CDU-Umfrage nicht so, dass das nicht verhinderbare und unvorhersehbare Cyberangriffsereignisse waren. Das war alles mehr oder weniger stümperhaftes IT-Handwerk, das zu Problemen führte.
Um in der Wetteranalogie zu bleiben: Da hat es halt reingeregnet, weil jemand sich keine Gedanken um sein Dach gemacht hat.
Und ja, es ist auch okay, jemandem mit einem … ich habe die Analogie leider jetzt so aufgebaut, nicht lachen … Dachschaden (im eigentlichen Sinne) zu helfen, sein Haus trocken zu kriegen, aber genauso gehört aber auch dazu, beim nächsten Regen nicht unvorbereitet dazustehen. Und das halt auch einzufordern.
Hilfe im Cybernotfall ist wichtig, aber du kannst nicht bei jedem vermeidbaren Regenereignise Dächer flicken müssen.
Es gibt Bedrohungslagen im Cyberraum, die sind schlecht vermeidbar. Aber die sind eher teuer für Angreifende zu realisieren und sind daher selten.
Angriffe von staatlichen Aktoren (sowas wie Advanced Persistent Threats) gehören da meinetwegen dazu. Das sind aber Dinge, für die viel Geld und Zeit zur Vorbereitung genutzt wird.
Das ist dann meinetwegen wie ein unvorsehbarer Blitzschlag, aber auch halt selten und nicht in der ganzen Breite wahrscheinlich auf einmal.
Nein, der Cyberangriff auf dein Unternehmen oder deine Partei ist nicht automatisch eine Multi-Millionen-Dollar-Multiple-Zero-Day-Killchain, jahrelang vorbreitet.
Es ist eher was viel trivialeres, wogegen sinnige IT-Infrastruktur und Prozesse oftmals helfen.
Habt einen sonnigen Tag. Aber denkt dran, könnte im Cyberraum auch regnen.
Gefühlt 99% aller Incidents lassen sich mit
-Segmentierung
-ordentlichem Berechtigungskonzept
-Applicationwhitelisting
-zeitnahem Patchen
vermeiden.
Alles mit relativ wenig Investition umsetzbar, es braucht meist nur passende Personal- und Trainingsressourcen.
Bianca Kastl
Expertenkommision Cyberunfall
Andreas Frackowiak