Über unsMediaKontaktImpressum
Konstantin Weddige 08. Oktober 2024

Warum eine gute Fehlerkultur essentiell für die Cybersicherheit ist

Es ist seit langem bekannt, dass eine gute Fehlerkultur einen erheblichen Einfluss auf den Erfolg eines Unternehmens hat [1]. Blicken wir jedoch auf die Cyber-Resilienz von Unternehmen, so wird die Frage nach der Fehlerkultur schnell von einer Frage der Rentabilität zu einer Frage des Überlebens. Denn ohne gute Fehlerkultur gibt es keine IT-Sicherheit.

Fehler und IT-Sicherheit

Zuallererst ist IT-Sicherheit natürlich der Schutz der IT-Infrastruktur und der verarbeiteten Daten, in der Praxis bedeutet dies aber vor allem Fehlermanagement.

Es gibt einige grundlegende Maßnahmen wie Netzwerkseparation, Firewalls oder Intrusion-Prevention-Systeme, mit denen Unternehmen versuchen können, die Auswirkungen von Fehlern grundsätzlich zu reduzieren. Wie wirksam diese Maßnahmen sind, hängt jedoch davon ab, wie das Unternehmen mit Fehlern umgeht. Denn ein typischer Cyberangriff auf ein Unternehmen beginnt mit einem Fehler: Das kann eine ungepatchte Schwachstelle in einer Serverkomponente sein, eine falsch konfigurierte Datenbank oder ein falsch konfigurierter Cloud Storage oder ein Mitarbeiter, der auf eine Phishing-E-Mail hereinfällt. Security-Lösungen können Angreifer ausbremsen bzw. dabei helfen, deren Aktivitäten aufzudecken. Ob das Unternehmen jedoch erfolgreich geschützt werden kann, hängt letztlich davon ab, ob der Angriff bzw. Fehler rechtzeitig erkannt und die Konsequenzen daraus gezogen werden können.

Hierbei zeigt ein Blick in die deutsche Wirtschaft, dass es noch massiven Verbesserungsbedarf gibt. Laut der G-DATA-Studie "Cybersicherheit in Zahlen" denken weniger als 48 Prozent der Arbeitnehmer:innen, dass in ihrem Unternehmen eine offene Fehlerkultur gepflegt wird, in der Fehler zügig behoben werden [2]. Fast 14 Prozent der Arbeitnehmer:innen geben an, dass in ihrem Unternehmen Fehler im Bereich der IT-Sicherheit eher verschwiegen werden. Dabei ist gerade das zügige Erkennen und Reagieren auf Fehler essentiell, um einen Angriff zu erkennen und zu stoppen.

Aus meiner Erfahrung als Penetrationstester und Red Teamer weiß ich, dass der Unterschied zwischen guter und schlechter IT-Sicherheit nicht darin liegt, ob ein Angriff erfolgreich ist, sondern in der Geschwindigkeit, mit der Angriffe entdeckt und abgewehrt werden. Besonders bei Phishing-Angriffen zeigt sich dieser Unterschied: Melden Mitarbeiter:innen, die auf eine Phishing-Mail hereingefallen sind, den Vorfall unverzüglich – oder warten sie aus Angst oder Scham tagelang bzw. verschweigen ihn ganz?

Dieser Zeitunterschied entscheidet allerdings darüber, ob der Angreifer das gesamte Unternehmensnetz infiltriert oder bereits vorher gestoppt wird. Hier machen natürlich Schutzmaßnahmen wie eine Netzwerkseparation einen Unterschied, denn wenn der Angreifer sich direkt an den Kronjuwelen des Unternehmens bedienen kann, reichen auch schon Minuten, um schweren Schaden anzurichten.

Aber auch später ist es wichtig, dass Unstimmigkeiten angesprochen und nicht unter den Teppich gekehrt werden. Laut dem IBM Cost of a Data Breach Report 2024 dauert es durchschnittlich 194 Tage, bis eine Sicherheitsverletzung erkannt wird [3]. Das bedeutet, dass Angreifer fast sechs Monate Zeit haben, um Daten zu stehlen und sich im Netzwerk frei zu bewegen. Oft sind es die Angreifer selbst, die den Vorfall öffentlich machen, nachdem sie alles Wertvolle kopiert haben.

Ein Auge für Fehler kann Angriffe aber nicht nur verhindern, sondern auch aufdecken, denn auch Angreifer machen Fehler. Ein eindrucksvolles Beispiel ist der Bangladesh Bank Hack von 2016, bei dem es Angreifern gelang, 81 Millionen US-Dollar von der Federal Reserve Bank of New York zu stehlen [4]. Die Angreifer fälschten 35 Transaktionsanweisungen im Wert von fast einer Milliarde Dollar. Nachdem vier Transaktionen erfolgreich ausgeführt worden waren, schlug ein Bankmitarbeiter bei der fünften Transaktion im Wert von 20 Millionen Dollar Alarm, weil er einen Rechtschreibfehler in der Anweisung bemerkte. Der Angriff wurde an dieser Stelle nicht nur durch die Aufmerksamkeit des Mitarbeiters gestoppt, sondern vor allem, weil er den Fehler angesprochen hat.

Der Umgang mit Fehlern in unserer Gesellschaft

Beim Umgang mit Fehlern nur auf Unternehmen oder die IT-Sicherheit zu schauen, greift jedoch zu kurz. Arbeitnehmer:innen sind auch immer Privatpersonen und Teil unserer Gesellschaft. In der GLOBE-Studie von 2004 belegte Deutschland beim Umgang mit Fehlern den vorletzten Platz [5]. Eine Situation, die sich bis heute nicht grundlegend geändert hat [6]. Fehler einzugestehen ist verpönt, und das zieht sich quer durch die Gesellschaft.

Das spiegelt sich z. B. auch in der Politik wider, wo Fehler – wenn überhaupt – oft nur scheibchenweise zugegeben werden. Eine Taktik, die offenbar Erfolg verspricht, wenn man die lange Liste von Politiker:innen betrachtet, die zu ihren Fehlern vehement schweigen oder sie offen leugnen und sich dennoch erfolgreich in ihren Ämtern halten. Andersherum kann ein offener(er) Umgang mit Fehlern und Fehlverhalten durchaus das zumindest vorübergehende Ende der politischen Karriere bedeuten.

Dr. Helene Bubrowski sieht hier auch ein Wechselspiel mit der Öffentlichkeit, das einem Kulturwandel im Wege steht: "Man kann von Politikern nicht erwarten, dass sie zu ihren Fehlern stehen, wenn Teile der Medien sie dafür öffentlich hinrichten." [7]

Erwünscht in Führungspositionen sind Menschen ohne Fehler oder – mangels solcher Menschen – zumindest jene, die den Schein wahren, indem sie jede Verantwortung an sich abperlen lassen. Ein Verhalten, das eine Reaktion auf (auch vermeintliche) Fehlentscheidungen verhindern oder erheblich verzögern kann.

Auch ein Blick auf sich selbst kann entlarvend sein. Bin ich ein guter Autofahrer? Aber sicher! Und die anderen? Bitte zurück in die Fahrschule! Tritt man einen Schritt zurück, sieht die Sache schon etwas anders aus. Bin ich wirklich immer aufmerksam? Habe ich nicht schon einmal jemandem die Vorfahrt genommen? Wenn ich ehrlich bin, muss ich zugeben: Ja, habe ich. Es passiert nicht oft, aber es kommt vor. Bisher ist es immer gut gegangen, weil die anderen Autofahrer:innen meine Fehler aufgefangen haben.

§1 der Straßenverkehrsordnung ist aus gutem Grund keine Vorfahrtsregel, sondern ein Aufruf zur Vorsicht und gegenseitigen Rücksichtnahme. Der Straßenverkehr funktioniert nicht, weil die meisten Autofahrer:innen keine Fehler machen, sondern weil die meisten Fehler ohne größere Folgen bleiben. Doch was haben diese Überlegungen mit dem Umgang mit Fehlern in der IT-Sicherheit zu tun? Es geht um Glaubwürdigkeit.

Laut dem Fehlerkultur Report 2023 von EY sehen 38 Prozent der Mitarbeitenden mangelndes Vorbildverhalten der Führungskräfte als Hindernis für die Etablierung einer besseren Fehlerkultur [8].

Und wer will schon mit dem eigenen Fehler (der im schlimmsten Fall sogar einen Millionenschaden verursacht hat) zu seinem Chef rennen, der sich vorhin in der Kaffeepause noch mit hochrotem Kopf über den Autofahrer aufgeregt hat, der ihn auf dem Weg zur Arbeit fünf Minuten gekostet hat? Ganz zu schweigen von einem Chef, der seine eigenen Fehler regelmäßig unter den Teppich kehrt (und für die am Ende irgendein Mitarbeiter geradestehen muss).

Was können wir besser machen?

Zuallererst können wir uns an die eigene Nase fassen. In den meisten Situationen fällt uns kein Zacken aus der Krone, wenn wir Fehler zugeben. Vielmehr wird ein souveräner Umgang mit Fehlern oft als sympathischer und kompetenter wahrgenommen [9]. Besonders Führungskräfte sollten sich dieser Verantwortung bewusst sein, denn nur authentisches Verhalten kann die nötige Glaubwürdigkeit schaffen.

Darüber hinaus können wir natürlich auch den souveränen Umgang mit Fehlern bei anderen belohnen. Ein anerkennendes Wort kann eine unangenehme Situation entspannen. Und als Vorgesetzte sollten wir, wenn wir vor der Entscheidung stehen, eine:n Mitarbeiter:in einzustellen oder zu befördern, immer auch an seinen Umgang mit Fehlern denken. Ist er oder sie offen damit umgegangen? Und falls uns partout keine Fehler einfallen, sollten wir uns auch fragen: Hatte er oder sie keine Gelegenheit, Fehler zu machen, oder wurden die Fehler unter den Teppich gekehrt? Denn spätestens, wenn der Teppich irgendwann gelüftet wird, wird es unangenehm.

Solch ein Mentalitätswandel lässt sich natürlich nicht von heute auf morgen umsetzen, aber er legt den Grundstein für unsere weitere Arbeit. Erst wenn wir verinnerlichen, dass Fehler zwar unerwünscht, aber unvermeidlich sind, können wir den Fokus von der Schuld auf den Umgang mit Fehlern lenken. Statt das Fehlermachen zu verdammen, sollten wir das Fehlerbeheben feiern.

Was können wir speziell in der IT besser machen?

Zurück zur IT-Sicherheit. Jeder Bugfix, den wir installieren, war zunächst ein Bug, ein Fehler. Jede Phishing-Website, die blockiert wird, wurde zuvor von einem Benutzer aufgerufen. IT-Sicherheit ist Fehlermanagement und jeder Fehler, der vertuscht oder verschleppt wird, erhöht direkt die Gefahr für das Unternehmen.

Je schwerwiegender der Fehler, desto relevanter ist dies. Wenn ein:e Mitarbeiter:in realisiert, dass er/sie dem Unternehmen gerade aktiv geschadet hat, indem er/sie z. B. einem Betrüger einen hohen Betrag überwiesen hat, sollte der erste Gedanke nicht sein: "Mist, das könnte mich meinen Job kosten", sondern: "Wen muss ich jetzt alles informieren, damit wir reagieren können?"

Um Fehler gerade in Stresssituationen zu vermeiden, können Unternehmen ihre Mitarbeiter:innen unterstützen. Notfallpläne beseitigen Unsicherheit und können wertvolle Zeit sparen. Generell können gute Prozesse den Mitarbeiter:innen viel Verantwortung abnehmen. Häufig haben zum Beispiel HR-Abteilungen inzwischen klare Prozesse, wie Bewerbungen zu bearbeiten sind. Damit wird die HR-Abteilung vom Lieblingseinfalltor für Angreifer zu einem fast aussichtslosen Ziel, denn wenn jede:r Bewerber:in konsequent auf das Bewerbungsportal verwiesen wird, hat das Virus im Anschreiben keine Chance mehr.

Es gibt auch viele technische Lösungen, die sich bewährt haben. Denn generell gilt: Wenn ein:e Mitarbeiter:in gar nicht erst in die Situation kommt, einen Fehler zu machen, muss er/sie sich nicht darauf fokussieren, nichts falsch zu machen, sondern kann sich voll und ganz auf die eigentliche Arbeit konzentrieren.

Im Falle von Phishing sind dies z. B. 2FA mittels FIDO2 oder Phishing-resistentem Passwortmanager. Denn wenn bereits das Login-Verfahren die Domäne überprüft, kann der/die Mitarbeiter:in das Passwort nicht so einfach auf der Phishing-Seite eingeben.

Auch im Bereich der Administration und Software-Entwicklung gibt es gute Ansätze, menschliche Fehler zu eliminieren. Infrastructure as Code (IaC) bringt Reproduzierbarkeit in eine repetitive und fehleranfällige Aufgabe und der Einsatz von CI/CD-Pipelines erlaubt es, eine Vielzahl von Checks kontinuierlich auf die Codebasis anzuwenden, ohne dass ein:e Entwickler:in einen Schritt vergessen kann.

Ganz ausmerzen lassen sich die Fehler so allerdings nicht. Im Linux-Kernel und dem Kommandozeilen-Tool curl – zwei der wohl wichtigsten und sehr gut untersuchten Software-Projekte – werden jährlich jeweils rund acht Schwachstellen je 100.000 Zeilen Code gefunden [10]. Und obwohl beide Software-Projekte sehr ausgereift sind und von erfahrenen Entwicklern gepflegt werden, sieht es nicht so aus, als würden die Fehler, die gefunden werden, versiegen. Die Konsequenz daraus ist, dass wir uns mit dem Gedanken, dass es Fehler in unseren Anwendungen gibt, anfreunden müssen. Ab einem bestimmten Punkt – der sicherlich von der Komplexität der Aufgabenstellung, der verwendeten Technologie und der Erfahrung der Entwickler abhängt – sind wir mit Fehlervermeidungsstrategien am Ende.

Aber wenn wir Fehler nicht vermeiden können, können wir zumindest versuchen, Fehler zu finden, bevor sie zum Problem werden.

Nach dem Motto "Vier Augen sehen mehr als zwei." sind Code-Reviews bereits im Entwicklungsprozess ein wertvolles Werkzeug zur Verbesserung der Codequalität. Spinnt man den Gedanken weiter, bietet Open-Source-Software die Möglichkeit, aus vier Augen tausende zu machen. Zumindest wenn es eine lebendige Community für das Projekt gibt; Open Source ist kein verzauberter Wunschbrunnen.

Fehler sind unvermeidlich, wir können aber einen Unterschied machen, indem wir souverän mit ihnen umgehen.

Eine andere, verlässlichere Möglichkeit, eine frische Perspektive einzubringen, sind externe IT-Sicherheitsberater:innen. Durch Penetrationstests und Secure Code Reviews können sie Probleme aufdecken, die von den eigenen Entwickler:innen übersehen wurden. Vor allem bei besonders sicherheitsrelevanten Anwendungen oder bei der Verarbeitung besonders schützenswerter personenbezogener Daten wird dies immer mehr zum Maßstab für ein marktübliches Sicherheitsniveau.

Doch nicht nur nach innen hilft das Eingeständnis von Fehlbarkeit, auch nach außen wirkt das Aufrechterhalten einer Fassade der Perfektion oft eher hilflos als souverän. Daher sollte jedes Unternehmen zumindest eine Anlaufstelle haben, an die Fehler gemeldet werden können. Hier sei z. B. auf den security.txt-Standard verwiesen, der hierfür eine einheitliche Stelle definiert [11]. Da diese aber nicht jedem bekannt ist, sollte die Information auch auf der Website zu finden sein, z. B. mit einem Hinweis auf der Kontaktseite.

Noch besser ist ein Bug-Bounty-Programm, bei dem jeder, der eine Schwachstelle findet, diese gegen eine Belohnung melden kann. Dies erhöht die Motivation und drückt eine Wertschätzung aus, die das Engagement für sichere Software unterstreicht. Ziel ist es, dass Schwachstellen nicht auf dem Schwarzmarkt verkauft oder aus Frust verschwiegen werden.

Ganz gleich, wie eine Schwachstelle an Ihr Unternehmen herangetragen wird, es lohnt sich, dankbar dafür zu sein. Fehler abzustreiten, um die Zahlung einer Belohnung zu vermeiden, kann den Erfolg eines Bug-Bounty-Programms zunichte machen. Und auf gemeldete Schwachstellen gar mit Drohungen oder sogar Klagen zu reagieren, kann leicht nach hinten losgehen. Ein Beispiel dafür ist die Firma Modern Solution, die mit einer Klage gegen einen Entwickler, der eine Schwachstelle in ihrer Software aufgedeckt hatte, ihren Ruf nachhaltig ruiniert hat [12]. Ohne die Klage wäre der Datenschutzvorfall vor drei Jahren wohl längst vergessen.

Fehler sind unvermeidlich, wir können aber einen Unterschied machen, indem wir souverän mit ihnen umgehen.

Fazit

Zum Abschluss möchte ich Sie auf eine kleine Gedankenreise als Selbsttest mitnehmen. Stellen Sie sich vor, Sie verantworten ein Produktrelease für Ihr Unternehmen, an dem Sie mit Ihrem Team seit Monaten arbeiten. Es ist der Tag vor der Markteinführung. Sie haben eine Pressemitteilung vorbereitet, vielleicht gibt es auch eine Release-Party.

Und ausgerechnet jetzt kommt ein Mitarbeiter zu Ihnen und berichtet, dass es einen kritischen Fehler gibt, einen Fehler, der frühestens in ein bis zwei Wochen behoben werden kann.

Wie fühlen Sie sich?

Froh, dass der Fehler wenigstens noch vor der Veröffentlichung gefunden wurde? Gefasst, weil Sie wissen, dass Sie einen Plan haben, den Sie jetzt abarbeiten. Oder wütend, weil Sie die Party absagen müssen, Geschäftspartner und Ihren Vorgesetzten informieren müssen? Oder einfach nur panisch?

Und jetzt stellen Sie sich vor, das Problem war schon seit Wochen bekannt, aber niemand wollte es wahrhaben...

Quellen
  1. Van Dyck, C., Frese, M., Baer, M., & Sonnentag, S. (2005). Organizational Error Management Culture and Its Impact on Performance: A Two-Study Replication. Journal of Applied Psychology, 90(6)
  2. G DATA. (2023). Cybersicherheit in Zahlen.
  3. IBM. (2024). Cost of a Data Breach Report 2024.
  4. Wikipedia: Bangladesh Bank Hack von 2016
  5. House, R.J., Hanges, P.J., Javidan, M., Dorfman, P.W., & Gupta, V. (eds.). (2004). Culture, Leadership, and Organizations: the GLOBE Study of 62 Societies, pp.9-28.
  6. Horvath, D. et al. (2020) ‘Are all errors created equal? Testing the effect of error characteristics on learning from errors in three countries’, European Journal of Work and Organizational Psychology, 30(1), pp. 110–124.
  7. Hertie-Stiftung: Wer in der Politik Fehler zugibt, gilt immer noch als schwach
  8. EY. (2023). Fehlerkultur Report 2023.
  9. Fetterman, A. & Muscanell, N. & Wu, D. & Sassenberg, K.. (2022). When You Are Wrong on Facebook, Just Admit It: Wrongness Admission Leads to Better Interpersonal Impressions on Social Media. Social Psychology. 53. 34-45.
  10. Mastodon: Daniel Stenberg. (2024).
  11. security.txt
  12. heise: Gericht sieht Nutzung von Klartext-Passwörtern als Hacken an

Autor
Konstantin Weddige

Konstantin Weddige

Konstantin Weddige ist Geschäftsführer und Mitgründer von Lutra Security. Als Penetrationstester und IT-Sicherheitsexperte zeigt er auf, wie Angreifer in IT-Netzwerke eindringen.
>> Weiterlesen
Das könnte Sie auch interessieren
Kommentare (0)

Neuen Kommentar schreiben