Sicherheit ist ohne Vertrauen undenkbar. Es klingt wie ein Wiederspruch ist aber keiner.
Wir merken oft gar nicht, wie stark unsere Sicherheit auf Vertrauen aufgebaut ist. Wir glauben, dass wir mit den vielen Sicherheitsrichtlinien und Sicherheitstools die Sicherheit der Daten und Infrastruktur garantieren können. Hintern der Sicherheitstools agieren aber Unternehmen, denen wir vertrauen (müssen).
Die modernen Sicherheitstools selbst basieren sehr oft auch auf dem Prinzip Vertrauen (genannt Reputation). Diese Tools lasen zum Beispiel den Datenverkehr von den Domänen mit guter Reputation durch und blockieren alles andere. Für einen zuverlässigen Schutz gegen Cyberangriffe haben wir also keine andere Wahl und müssen den Hersteller der Sicherheitstools vertrauen.
Es ist also sehr beunruhigend, wenn wir in letzter Zeit Berichte lesen, wonach eben manche Hersteller der Sicherheitstools durch Hacker erfolgreich angegriffen wurden. Das ist vor kurzem Sophos passiert - Hacker stahlen dort eine gewisse Menge der Kundendaten. Die neuesten beunruhigenden Nachrichten betreffen Diebstahl der „Red Team Tools“ bei FireEye und die Hack-Angriffe rund um Solarwinds. Brad Smith, Präsident bei Microsoft, bezeichnet den SolarWind-Hack als „an attack on the trust and reliability of the world’s critical infrastructure“ und schreibt im Microsoft-Blog unter anderen folgendes dazu:
„It’s critical that we step back and assess the significance of these attacks in their full context. This is not “espionage as usual,” even in the digital age. Instead, it represents an act of recklessness that created a serious technological vulnerability for the United States and the world. In effect, this is not just an attack on specific targets, but on the trust and reliability of the world’s critical infrastructure in order to advance one nation’s intelligence agency. While the most recent attack appears to reflect a particular focus on the United States and many other democracies, it also provides a powerful reminder that people in virtually every country are at risk and need protection irrespective of the governments they live under.„
Bruce Schneier meint, dass trotz des enormen offensiven Potentials der USA im Cyberspace, Schwächen in dem supply chain von kritischen Software-Produkten können nicht nur die Sicherheit der USA bedrohen. Es ist eine große Gefahr für den globalen Frieden. Schneier schreibt:
„We need to invest in securing the world’s supply chains from this type of attack, and to press for international norms and agreements prioritizing cybersecurity ... Hardening widely used software like Orion (or the core internet protocols) helps everyone. We need to dampen this offensive arms race rather than exacerbate it, and work towards cyber peace.“
Ich hoffe, dass alle Sicherheitsunternehmen, jetzt alles Notwendige tun werden, um die so wichtige Vertrauensbasis wieder zu stärken.
Aber auch Anwender müssen ihre Cybersecurity-Strategie überdenken. Empfehlenswert ist die Anwendung der „assume breach“ und defense-in-depth Philosophie als Basis für alle Cybersecurity-Maßnahmen. Bruce Schneier zitiert eine Aussage von Ken Thompson: „You can’t trust code that you did not totally create yourself“, die recht gut zu der „assume breach“-Philosophie passt. Besonders wichtig ist die lückenlose Überwachung der Netzwerk- und Computeraktivitäten, um Anomalien zu finden
. Einige wichtige Hinweise von Microsoft für dementsprechende Gestaltung der Cybersecurity kann man in „Microsoft Security Best Practices“ finden.