Am 21.05.2015 traf sich die Security-Community in Zürich zur SecureZurich 2015. Ein breit gefächertes Programm wurde über 200 Professionals  geboten (ja, es gab tatsächlich auch ganz wenige Teilnehmer, die sich als Nicht-CISSPs outeten). Einer der Teilnehmer war ich, der trotz GDL-Streik die Schweizer Banken-Metropole erreicht hat. Was nehme ich nach so einem Tag mit? Natürlich sind es viele neue Kontakte und immer wieder neue Erkenntnisse. Der eigentliche Mehrwert ist für mich immer der Austausch mit Gleichgesinnten und die herrschende Meinung, die in allen Vorträge hinter den Slides steht.

Seitens ISC² wurde die aktuelle Umfrage zum Arbeitsmarkt vorgestellt. Die Folien zum Vortrag können hier nachgelesen werden . Erfreulich für mich als Berater war natürlich die Prognose, dass die Zahl der Security-Professionals weiter ansteigen, der Bedarf aber noch viel stärker zunehmen wird. Etwas über meinen Firmenhorizont geblickt, halte ich diese Entwicklung für sehr bedenklich. Nicht, weil vielleicht das eine oder das andere Produkt mangels Ressourcen nicht oder verspätet auf den Markt kommt. Nicht, weil wir auch in Zukunft weiter über Internetkriminalität lesen und den einen oder anderen Rechnern von Verwandten und Bekannten von Malware befreien müssen. Nicht, weil so manche Firma gehackt werden wird oder gar Mitarbeiter wegen gehackter IT und verlorenem Know-how entlassen muss. Nein – die Gefahr sehe ich viel grundsätzlicher.

In den letzten Monaten war nun oft von durchaus erfolgreichen Versuchen von autonomen Fahrzeugen zu lesen. Dass der Autopilot für Autos als normale Zusatzausstattung bestellt werden kann, dürfte nur noch wenige Jahre dauern. Wird er aber sicher sein? Wann gibt es die ersten Hacks? Wann die ersten Unfälle? Wer wird haftbar sein? Wenn ich an heutige Software und Softwareentwicklung denke, habe ich viele Entwickler vor Augen, die völlig unbedarft hinsichtlich IT-Sicherheit sind. Wenn überhaupt, sorgen eine sicherheitsaffine Qualitätssicherung oder externe Penetrationstester für Robustheit. Wenn die Schere zwischen vorhandener und benötigter Sicherheitsspezialisten nun weiter auseinander geht und überall selbstfahrende Autos als Beispiel unterwegs sind, werde ich nicht unbedingt zum Optimisten.

Dass die Sicherheitsverantwortlichen in einem Unternehmen nicht gerade zu der beliebtesten Spezies zählen, ist ja bekannt. Mit ein wesentlicher Grund ist das ständige „Nein-Sagen“. Sicherheit durch Reglementierung, Funktionseinschränkung, Vermeidung. Mehrere Rednerinnen und Redner stellten zu Recht die Frage, ob dies sinnvoll ist und ob nicht eine reaktive Strategie eine oder sogar die bessere Alternative wäre.  Pius Graf hat es in seinem Vortrag treffend auf den Punkt gebracht: Die „avoid“-Strategie muss durch ein „adopt“ zumindest ergänzt werden. Seiner Meinung nach, muss immer mit einem Sicherheitsvorfall (z.B. Vertraulichkeitsverlust) gerechnet werden, ohne dass ein angemessener wirksamer Schutz möglich wäre. Seiner Ansicht nach muss schon vor dem Auftreten von kritischen Sicherheitsvorfällen geeignete Verfahren  entwickelt werden: den „Plan B“.

Ob ich seinem geforderten Mindchange von „breach prevention to breach acceptance“ voll und ganz zustimmen kann, fragte ich mich noch längere Zeit. Angesichts der bekannt gewordenen Vorfälle und der präsente Schwarzmarkt für Exploits und Hackingtools stimmen mir wahrscheinlich alle Sicherheitsexperten zu,  dass allein ein „prevention“ – also das aktive Verhindern von Vorfällen –  zum Scheitern verurteilt ist. Das „adopt“ bzw. „breach accceptance“ sollte in Form eines Security Incident Managements immer Bestandteil des Managementsystems (ISMS) sein. In der ISO 27001 gehört es seit jeher zu den essentiellen Prozessen.

Die Betonung des Plan B halte ich für zweischneidig. Einerseits ist es wichtig und richtig, gegenüber allen klar zu kommunizieren, dass ein hundertprozentiges Verhindern nicht möglich ist. Auch das Vorbereitetsein auf Sicherheitsvorfälle dürfte in Zukunft eine noch größere Bedeutung erlangen – hier zeigt sich auch die enge Verbindung mit dem Krisenmanagement im BCM. Andererseits darf es nicht zu einer Resignation vor den vorhandenen Bedrohungen kommen und man auf präventive Maßnahmen verzichtet. Sicherheitsmanagement ist immer Risikomanagement. Risiken können akzeptiert aber auch gemindert und verlagert werden. Der Sicherheitsmanager darf dann guten Gewissens unbeliebt sein.