Die Berücksichtigung von Desinformation in der Bedrohungsanalyse wird immer wichtiger. Und damit die Notwendigkeit Tools zur Absicherung der verschiednen KI-Modelle einzusetzten. Ich bin mir nicht sicher, ob eine Freiwilligkeit der KI-Industrie hier ausreicht. Vielleicht brauchen wir ein offizielles „Vertrauenswürdige AI“ Label einer unabhängigen Zertifizierungsorganisation und klare Empfehlungen über den State of the Art der Manipulationstechniken gegenüber AI und die zugehörigen Mitigationsmassnahmen?
Schneier beschreibt, wie es schon jetzt deutlich sichtbar wird: AI wird die Lebenswirklichkeit der Menschen verändern. Das ist eine Binse. Mittlweweile. Dass diese Veränderung freudvoll sein wird, hat niemand postuliert. Ebensowenig, dass sie die bestehenden Sicherheitsnarrative berücksichtigen oder gar fördern wird. Es sind wilde Zeiten.
Aus einer of gestellten Frage – die ich auch oft beantwortet habe – ist das BIAS Security Modell entstanden. 4 Fragen, die einen Einstieg in ein Securitykonzept darstellen. 4 Fragen, die ich als Privatperson, als Mittelständler oder als Konzern beantworten kann und die ich dann mit angemessenen Konzepten und Lösungen bewerte.
Die Infografik „BIAS Security Model“ wurde im Oktober 2024 zum ersten Mal auf LinkedIn gepostet.
Ab und zu muss ich mich erinnern – Technologie ist „nur“ ein Werkzeug. Menschliche Kreativität kann die Technologie immer wieder besiegen. Und deshalb sollte immer wieder mal einen Schritt zurücktreten und das Gesamtbild betrachten. Hilft immer.
Ich werde immer wieder gefragt, zuletzt von @Larissa Holzki auf der Handelsblatt Konferenz Sicherheit und Verteidigung, was von den tollen IT-Security Konzepten, von denen ich immer rede, für kleine und mittlere Unternehmen relevant ist. Da die Standardantwort: „Natürlich alles!“ aber leider etwas flapsig rüberkommt, hier ein Denkansatz, wie man als KMU mit der 80/20 Pareto Regel in 5 Schritten 80% des Sicherheitspotentials heben kann.
Der Plan “B”
Einen Notfallplan zu haben klingt immer nach dem Feueralarm in der Schule. Lange Linoleumgänge und viel Geschrei. Dabei ist es eigentlich ganz einfach. Wenn man sich überlegt, was zu tun wäre, wenn alle Laptops und Handys in der Firma den Geist aufgegeben hätten, hat man einen Plan. Und weiß, was es zu schützen gilt.
Backup
Was geschützt werden muss, gehört ins Backup. Punkt. Leider werden Backups bei den heute üblichen Verschlüsselungsangriffen (Ransomware) in der Regel mit verschlüsselt und damit unbrauchbar. Deshalb sollten die für das Backup verwendeten Festplatten nur während des Backups am Rechner hängen. Im Idealfall wechselt man dann noch zwischen zwei Platten – so hat man noch ein Fallback, falls etwas schief geht. Der beste Zeitpunkt? So oft wie möglich, am besten in Verbindung mit einem regelmäßigen Ereignis (z.B. der Monatsabschluss). Alternativ kann man auch ein NAS als Backup verwenden – dann aber mit eigenem Benutzer für den Backup Share. Oder man besorgt sich ein Backup in der Cloud. Dann muss man die Platten selbst in den Tresor legen. Das Wichtigste zum Schluss: Auch mal testen, ob sich ein Backup wieder einspielen lässt. Wenn der neue Laptop da ist, ist das ein guter Zeitpunkt. Weitere Tipps gibt es bei Heise.
Email Security
Fast immer ist die E-Mail im Spiel, wenn Schadsoftware auf einen Rechner gelangt. Ob Spear Phishing, Social Engineering oder eine SPAM Mail – letztendlich ist es egal, der Rechner ist in Gefahr. Damit das nicht passiert, ist es sinnvoll, zwischen Mailserver und Nutzer einen zusätzlichen Filter zu schalten, der bösartige Mails erkennt und aussortiert. Dieser kann sich ruhig in der Cloud befinden, schließlich kommen die Mails von draußen – und gehen meist auch wieder dorthin. Eine Lösung dafür ist die Cisco Cloud Mailbox Defense.
Internet Security
Hat sich eine Schadsoftware dann auf dem Rechner eingenistet wird sie noch lange nicht aktiv. Erstmal redet sie mit ihrem Command & Control (CC) Server über das was sie tun soll und lädt sich die eigentliche Schadsoftware herunter. Oder spielt die gestohlenen Kundendaten hoch. Unterbricht man diese Kommunikation – zum Beispiel über die Kontrolle der DNS Auflösung – verhindert man zwar nicht die Infektion, aber man erkennt und verhindert die Aktivierung. Und nebenbei sieht man noch die ganze Schatten-IT. Eine Lösung hierfür ist Cisco Umbrella.
Trust Verification
Nicht jede Schadsoftware verschlüsselt Daten und erpresst den Besitzer. Ein häufiges Ziel ist auch der Diebstahl von Identitäten – Benutzernamen und Passwörter. Damit bei einem Diebstahl dieser Informationen nicht alle Anwendungen sperrangelweit offen stehen sollte man zumindest die wichtigsten mit einer Multi-Faktor-Authentifizierung (MFA) ausstatten. Eine Lösung hierfür Cisco Secure Access (Duo). Damit werden dann auch die Endgeräte auf veraltete Software geprüft oder eine Single-Sign-On Lösung realisiert.
Testversionen
Das waren 5 einfache Schritte zur KMU gerechten Pareto Sicherheit – und ich nutze sie sogar für meine private IT-Umgebung. Für keine der Lösungen brauche ich zusätzliche Rechner, die ich pflegen muss, und ich schränke auch die Nutzung meiner Geräte – egal welchen Typs – nicht ein. Und damit der Einstieg noch leichter fällt – hier sind alle kostenfreien Cisco Testversionen auf einer Seite zusammengefasst.
