Warum bei der Cybersicherheit nichts über Open Security geht

blog-open-security-720x420-A.png

Die Idee von Sicherheit in digitalen Systemen ging viel zu lange mit einer anderen Idee einher: Geheimhaltung. 

Manche argumentieren, dass wirkliche Sicherheit nur gewährleistet ist, wenn die Technologie, die sie bietet, geheim gehalten wird – sogar vor den Kunden, die sie nutzen. Da heißt es dann Vertrauen Sie uns einfach,unsere Software wird ständig von den besten Entwicklern aktualisiert. Wir erkennen Bedrohungen, von denen andere noch nicht einmal wissen, dass es sie gibt. Und wir wehren sie ab, bevor sie zu einem Problem für Ihre Systeme werden. Sie müssen nur unsere Software installieren. Um den Rest kümmern wir uns.

Allerdings ist dieser Blackbox-Ansatz in Zeiten hochmotivierter, gut ausgestatteter Angreifer:innen, die möglichst große Schäden anrichten wollen, für sich genommen eine große Schwachstelle. Anbieter von Sicherheitslösungen, die ihren Code vor der Community abschotten, werden damit selbst zum Ziel von Angreifer:innen. Ein einziger unentdeckter Angriff auf die Sicherheitssoftware kann zur Gefährdung Tausender Kunden durch Schwachstellen und Einbrüche führen, weil so riesige Mengen sensibler Daten zugänglich werden. Ganz gleich, ob die Angreifer:innen es auf Finanzinformationen, Geschäftsgeheimnisse, Erpressungsmaterial oder diplomatische Skandale abgesehen haben – wird nur eine einzige Blackbox geknackt, erhalten sie Zugang zum gesamten Königreich.

Das neue Paradigma bei der Cybersicherheit

Seit einigen Jahren machen Datendiebstähle aller Art immer wieder Schlagzeilen. In jedem einzelnen Fall war eine Sicherheitslücke an irgendeiner Stelle ausschlaggebend dafür, dass Angreifer:innen sich Zugang zu Daten verschaffen konnten. Und in allen Fällen saßen die Opfer dieser Schwachstellen letztlich im Dunkeln – also gewissermaßen selbst in einer Blackbox –, denn sie wussten nicht, wie die Bedrohung aussah oder wie und ob ihre Sicherheitssoftware damit umgehen konnte.

Bei der Cybersicherheit ist es Zeit für einen Paradigmenwechsel. Es wird niemals den einen Ansatz oder das eine Entwicklerteam geben, der oder das alle Antworten hat oder in der Lage ist, wirklich jeden Einbruch zu verhindern. Aber Anbieter, die ihre Arbeit in einer Blackbox verbergen, tun damit zwei Dinge: Sie halten ihre Kunden in Geiselhaft, weil sie ihnen nicht die Überprüfung und das Auditing ermöglichen, das sonst überall in ihren Systemen stattfinden kann. Und sie stacheln genau die Angreifer:innen, die sie zu stoppen versuchen, weiter an, sich den neuesten Patch oder die neueste Version genau anzusehen, um dort eine Schwachstelle zu entdecken, die sie ausnutzen oder an den oder die Meistbietende verkaufen können.

Es gibt eine bessere Möglichkeit, Systeme sicher zu halten. 

Statt geschlossener Systeme, bei denen sich der ewige Zyklus aus Schwachstelle, Einbruch, Patch, Schwachstelle, Einbruch, Patch immer wiederholt, schlagen wir ein Open-Security-Modell vor – also ein System, bei dem Sicherheitssoftware offen entwickelt wird, sodass jeder sehen kann, welche Funktionen funktionieren und welcher Code verbessert werden kann, damit Nutzer:innen vor neu auftretenden Bedrohungen geschützt werden.

Unser Unternehmen, Elastic, ist stolz auf seine offene Form der Zusammenarbeit und seine enge Verbundenheit mit der Community. Sie ist auch der Grund dafür, warum unsere Lösungen heute das sind, was sie sind: Lösungen, die von den größten Unternehmen weltweit für ihre wichtigsten Systeme eingesetzt werden. Es ist daher an der Zeit, diesen Geist auf Elastic Security zu übertragen. In einer Welt, in der es immer mehr Feinde zu geben scheint, ist Sicherheit einfach zu wichtig, um sie in Blackboxes zu lassen.

Open Security in Aktion

Wie also sieht Open Security aus und was bedeutet das Konzept? Die Definitionen sollten natürlich von denjenigen festgelegt werden, die bei diesem Unterfangen zusammenarbeiten, aber in erster Linie bedeutet Open Security vor allem eines: Zusammenarbeit. Es bedeutet, dass Anbieter von Sicherheitslösungen ihre Arbeit nicht unter Ausschluss der Öffentlichkeit machen und Code, Erkennungsregeln und Artefakte austauschen, um das Verständnis dafür zu fördern, wie man Systeme wirklich vor Einbrüchen und Exploits schützen kann. Es geht darum, dass alle gemeinsam an der Verbesserung der Sicherheitssoftware arbeiten, sodass alle davon profitieren, unabhängig davon, welches Produkt oder welche Lösung sie einsetzen.

Cyberangriffe und Cyberkriege sind zunehmend Teil der globalen Landschaft, vom Konflikt in der Ukraine bis zur Unternehmensspionage, und sie finden immer öfter über Zeitzonen und Kontinente hinweg statt. Sie werden zwar nicht einfach verschwinden, aber man kann ihnen effektiver begegnen und sich effektiver vor ihnen schützen.

Es könnte das Argument kommen, dass diese Art von Offenheit mit echter Sicherheit unvereinbar ist und dass öffentliche Informationen darüber, wie ein System funktioniert, nur dazu führen, dass dieses System schwächer wird. Doch nichts liegt der Wahrheit ferner. Open Security sorgt dafür, dass Kunden durch die kollektive Intelligenz aller geschützt werden, für die Sicherheit ein Thema ist – also aller, die etwas damit zu tun haben. Und die Zahl derjenigen, die schützen wollen, ist immer noch weitaus größer als die derjenigen, die Lücken nutzen und andere schädigen wollen.

Sicherheit durch Geheimhaltung funktioniert nicht. Geheimhaltung ist nur eine weitere Schwachstelle, ein weiterer Schwachpunkt, den Hacker für ihre Zwecke ausnutzen können. Echte Sicherheit ist wie ein Schutzschild eines Kriegers. Je mehr wir darüber wissen, mit welchen Mitteln Angreifer:innen versucht haben, diesen Schild zu überwinden – und dabei gescheitert sind –, desto besser wird er, und nicht desto schwächer.

Natürlich wird es in Bezug auf die Sicherheitsanforderungen und ‑konfigurationen von Kunden immer schutzwürdige Informationen geben, die einzigartig sind und nicht öffentlich werden dürfen. Es geht aber nicht darum, Angreifer:innen zum Einbruch zu verleiten, sondern darum, den gemeinsamen Code und die Technologien zu teilen, die die Systeme sicher machen. Außerdem liefern wir die nötigen Tools und das nötige Wissen, um Kunden dabei zu helfen, ihre System entsprechend ihren speziellen Anwendungsfällen und Bedrohungsprofilen zu konfigurieren.

Sicherheit durch Transparenz und Community

Die Kultur der Geheimhaltung, die den aktuellen Sicherheitspraktiken zugrunde liegt, ist nur für diejenigen gut, die ihre Kontrolle über andere sichern wollen. Offenheit und Transparenz sind aber grundlegende Werte – in der Wissenschaft, in der Technologie, in der Demokratie –, die sicherstellen, dass wir auf der Arbeit unserer Vorgänger aufbauen können – zum Nutzen aller. Das Thema Sicherheit ist einfach zu wichtig, um es in den Händen derjenigen zu belassen, die sagen: „Vertraut uns“, obwohl sie mit ihren Ansätzen immer wieder scheitern.

Die Umstellung auf Open Security wird nicht über Nacht passieren. Was diesen Wandel vorantreiben wird, ist der Druck, den Kunden auf ihre Anbieter ausüben, und eine robuste Security-Research-Community, einschließlich derer, die in Blackbox-Systemen arbeiten, aber glauben, dass es einen besseren Weg gibt. 

Unsere Arbeit bei Elastic im Bereich Open Security ist erst der Anfang, aber die Open-Source-Entwicklung ist Teil unserer DNA und wird es immer bleiben. Wir freuen uns auf die Zusammenarbeit mit unseren Kunden und Mitbewerbern, um die von uns gewünschte Veränderung herbeizuführen und allen, die darauf angewiesen sind, eine bessere, offenere Sicherheit zu ermöglichen.