Das Dilemma der IT-Security-Verantwortlichen
Der CISO von Solarwinds muss sich nun vor der US-Börsenaufsicht SEC für einen schweren Hacker-Angriff vor zwei Jahren verantworten. Der Fall hat allgemeine Bedeutung auch für Security-Verantwortliche hierzulande. Sie stecken in der Zwickmühle, bekannt auch als Vasa-Syndrom.
Der Überbringer schlechter Nachrichten hatte es zu allen Zeiten sehr schwer und leider trifft das auch heute noch zu. Er oder sie verliert zwar nicht mehr den Kopf, aber eventuell den Job? Wer qua Job beaufsichtigt, prüft, einschätzt, empfiehlt, warnt und Vorgesetzte über gravierende Mängel zu informieren hat, verrichtet eine sehr wertvolle, aber oft nicht geschätzte, bisweilen sogar eine die private Existenz vernichtende Tätigkeit. Warum ist das so?
In der Psychologie kennt man das Vasa-Syndrom. Es ging auf ein Unglück im Jahr 1628 zurück: Das schwedische Kriegsschiff Vasa sank bei der Jungfernfahrt infolge massiver Konstruktions- und Baufehler. Verantwortliche sahen das Drama kommen, aber niemand traute sich, den ständig mit Erweiterungen in den Bau eingreifenden König zu bremsen und auf das sich abzeichnende Unglück hinzuweisen. So kam es wie es kommen musste: Das damals größten Kriegsschiffs der Welt sank, nicht einmal 3 Seemeilen vom Stockholmer Hafen entfernt und lag einige Jahrhunderte lang verdrängt und vergessen unter Meter hohem Schlamm.
Angst, Ignoranz und Arroganz, dazu fehlende Planungs-, Steuerungs- und Kontrollinstrumente können massive materielle Schäden und einen veritablen Imageverlust verursachen und Vertrauen erschüttern. Damals wie heute.
Werden gesetzliche Auflagen nicht eingehalten, sind Staatsanwaltschaften und Aufsichtsbehörden gefordert. Beispielsweise ein aktueller Fall, bei dem die US-Börsenaufsicht SEC ermittelte und nun Klage gegen den CISO von Solarwinds erhoben hat. Hintergrund: Im Januar 2021 wurde Solarwinds von Hackern attackiert. Über die nicht ausreichend geschützte Orion-Software des Anbieters wurden IT-Infrastrukturen vieler Unternehmen und Organisationen kompromittiert - ein schwerer Angriff auf die Supply Chain dieses Anbieters und weiterer Softwarehersteller, die RMM-Plattformen anbieten.
Die Klage der SEC gegen den CISO von Solarwinds wird in IT-Security-Kreisen nun mit besonders hoher Aufmerksamkeit verfolgt. "Rein theoretisch ist eine solche Klage auch in Deutschland möglich. Und damit hat dieser Fall auch hier seine Relevanz", sagt Richard Werner, Business Consultant bei Trend Micro.
Warum das so ist? Dazu Richard Werner von Trend Micro
Die Verantwortung in einem Unternehmen trägt die Geschäftsführung. Das betrifft auch Schäden, die durch einen Cyberangriff entstehen, sowie die Korrektheit von geschäftsbezogenen Informationen wie Bilanz und immer wichtiger auch Cybersicherheit. Über letztere wird zunehmend sowohl von Geschäftspartnern, Versicherern und in naher Zukunft mit NIS2 auch vom Staat, Auskunft angefordert.
Diese Verantwortung kann nicht delegiert werden. Damit hat jede Geschäftsleitung die Pflicht, adäquate Informationen zur eigenen Lage einzuholen und darzustellen. Dafür greift sie in der Regel auf Fachkräfte zurück. Die Position des CISOs ist dabei eine Stabsstelle in größeren Unternehmen, die als Bindeglied zwischen Unternehmensleitung und IT-Security dienen soll. Sie kann, muss aber nicht, Teil der Geschäftsführung sein. Was hier verhandelt wird, ist tatsächlich die Frage, ob eine Geschäftsleitung für Falschaussagen zur eigenen Cybersicherheit verurteilt werden kann. Aber auch, welche Rolle dabei die interne IT-Security spielt.
Der Fall nüchtern betrachtet
Eigentlich stellt sich alles ziemlich einfach dar. Wenn die Klageschrift stimmt (und nur darüber sprechen wir), dann wurden Warnungen aus der IT-Sicherheit nicht ernst genommen. Statt Gegenmaßnahmen wurde in entsprechenden Darstellungen nach außen gelogen und die eigenen Probleme ignoriert. Den Aktionären ist dadurch ein erheblicher Schaden entstanden, für den das Unternehmen haften soll. Der CISO von Solarwinds war in diesem Zusammenhang sowohl für die interne Kommunikation als auch für die Außendarstellung verantwortlich und steht somit sogar als Beschuldigter persönlich auf der Anklagebank.
Unter der Haube
Spannend sind die Reaktionen auf diese Anklage. Sie zeigen das eigentliche Problem im Machtungleichgewicht sowie in der Grundaufgabe des CISO auf. Es geht darum, Cyberrisiken zu identifizieren und zu bewerten sowie entsprechende Aktivitäten daraus abzuleiten. Dieser Task an sich ist nicht einfach. Wie es auch die internen Diskussionen bei Solarwinds zeigen, kann man zu unterschiedlichen Einschätzungen kommen.
Noch viel schwieriger wird es, wenn es darum geht, diese Informationen auch an die Geschäftsführung weiterzuleiten bzw. intern zu eskalieren. Diese primäre Aufgabe der IT-Security mit der finalen Instanz des CISOs beinhaltet eine Vorfilterung und Relativierung von IT-Security-Risiken. Auf dem Papier sind Geschäftsleitungen dafür verantwortlich es der meldenden Stelle einfach zu machen, wichtige Informationen ohne Angst um die eigene Rolle vorzutragen. In der Realität sieht das leider oft anders aus.
Das Dilemma der IT-Security-Verantwortlichen
Security-Verantwortliche sind in vielen Unternehmen als "Schwarzseher" oder "Bremser" verschrien. Eine Eigenart der IT-Security ist es, dass die Eintrittswahrscheinlichkeit eines Angriffs nur sehr vage eingeschätzt werden kann. Dies macht es gerade für Unternehmensleitungen schwer nachzuvollziehen, ob ein Gegenüber von ernsthaften Problemen oder pessimistischen Ansichten spricht. In Folge halten IT-Security-Verantwortliche oft Teile ihres Wissens zur Situation zurück, aus Angst "zu negativ" zu klingen oder nicht mehr ernst genommen zu werden, weil man sich ständig wiederholt. In einer Trend Micro-Umfrage aus dem Jahr 2021 beschrieben 80 Prozent der deutschen Security-Verantwortlichen (weltweit 82 Prozent) genau dieses Verhalten.