Cybersecurity-Profis müssen anfangen, eine aktivere Rolle bei der Gestaltung der Zukunft der Branche zu übernehmen, sagte Jen Ellis, Cybersecurity-Befürworterin und Community Convenor, während der Keynote-Sitzung am zweiten Tag der Black Hat Europe 2022.
Ellis schätzte, dass die Cybersicherheit rund 40 Jahre alt ist, was bedeutet, dass „wir die zweite Generation der Sicherheitsindustrie sind.“
Dies bedeutet, dass es ein guter Zeitpunkt ist, um zu bewerten, was die Branche anders machen und sich an den sich verändernden Kontext anpassen kann. „Was wir tun, funktioniert nicht, wir sind nicht erfolgreich“, sagte sie.
Ellis erläuterte drei Aspekte, in denen sich das Umfeld der Cybersicherheit in den letzten Jahren verändert hat:
- Verhalten der Technologiehersteller: Dies bezieht sich auf die Entwicklung neuer Technologien, die die Cyberbedrohungslandschaft verschärft haben. Dazu gehören das Internet der Dinge (IoT), die Verlagerung in die Cloud und eine neue Ära von KI und maschinellem Lernen. „Die Komplexität, mit der wir als Anbieter zu tun haben, hat zugenommen“, so Ellis.
- Verhalten von Tech-Betreibern: Dies sind Organisationen wie Mobilfunk- und Cloud-Anbieter. Die größte Veränderung in diesem Umfeld war die Einführung der Fernarbeit während der Pandemie, was wiederum die Angriffsfläche und die Komplexität von Cyberangriffen erhöht hat. „Jeder Einzelne, der auf seinem Sofa arbeitet, ist ein Punkt in Ihrem Perimeter“, bemerkte sie.
- Verhalten des Gegners: Ellis sagte, dass Cyber-Bedrohungsakteure „nicht mehr so aussehen wie früher“ und jetzt im Wesentlichen wie professionelle Unternehmen agieren. Eine weitere wichtige Veränderung sind ihre Beziehungen zu Regierungen. Viele Gruppen können in „sicheren Häfen“ wie Russland und Nordkorea operieren und handeln oft im Namen von Staaten.
Ellis wies auf die enormen wirtschaftlichen und politischen Auswirkungen dieser Veränderungen hin, indem er darauf hinwies, dass sich die geschätzten Kosten der Cyberkriminalität für die Weltwirtschaft im Jahr 2022 auf 7 Mrd. Dollar belaufen werden, während das Thema Cyberangriffe „Teil der internationalen Diplomatie“ geworden ist.
Infolgedessen „werden die politischen Entscheidungsträger der Sicherheit große Aufmerksamkeit schenken“. Im Vereinigten Königreich beispielsweise wurden allein im Jahr 2022 drei Gesetze zur Cybersicherheit ausgearbeitet oder geändert sowie sechs Regierungskonsultationen und zwei parlamentarische Anfragen zu diesem Thema durchgeführt.
Das ist die Realität und etwas, mit dem Sicherheitsexperten „leben müssen“.
Dazu gehört auch die Schaffung einer stärker professionalisierten Branche, die den Kunden „eine Grundlage dafür bietet, was sie erwarten können, wenn sie einen Sicherheitsfachmann einstellen.“ Daher muss die Branche dazu beitragen, Standards und Zertifizierungen mit den zuständigen Behörden abzustimmen und zu vereinbaren, bevor sie von den Regierungen vorgeschrieben werden.
„Dies sind Gespräche, an denen Sicherheitsexperten teilnehmen müssen, denn sie werden ihre Karriere prägen“, kommentierte Ellis.
Sie wies auch darauf hin, dass die meisten Regierungen offene Ausschreibungen für neue Vorschläge und Gesetze durchführen, die sie im Bereich der Cybersicherheit planen. „Sie wollen wirklich von Ihnen hören – von den Menschen, die das Wissen haben, um sicherzustellen, dass sie das Richtige tun“, erklärte sie und forderte: „Sie können sich informieren und sich einbringen.“
„Der Bus fährt, und wollen Sie im Bus sitzen und entscheiden, wo und wann er hält?“ fragte Ellis.
Ellis hob die großartige Arbeit hervor, die die Branche leistet, um Informationen auszutauschen und sich gegenseitig aufzuklären. Doch „vieles davon findet innerhalb der Branche statt“. Daher müssen die Cyber-Experten mehr tun, um mit einem Publikum zu sprechen, das sich nicht mit dem Thema beschäftigt, „um aus diesen Echokammern auszubrechen, in denen wir leben“.
Eine wichtige Aufgabe für die Branche ist es, die Apathie der Verbraucher in Bezug auf die Cybersicherheit zu bekämpfen, und sie sagte: „Dies wird zu einem großen Teil durch Engagement geschehen.“
Ellis riet, bei der Ansprache dieser Zielgruppen die Verwendung von Fachjargon und hyperbolischer Sprache zu vermeiden, da beides für Branchenfremde abschreckend wirken kann. Stattdessen sollte man „ihre Sprache sprechen“ und eine Botschaft der Hoffnung und des Mitgefühls vermitteln, fügte sie hinzu.
Abschließend erklärte Ellis den Zuhörern: „Wir befinden uns an einem Punkt des Wandels, und wir haben die Möglichkeit zu entscheiden, was wir mit diesem Wandel anfangen wollen.“
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
COVID-Bit: Neuer COVert-Kanal zur Exfiltration von Daten aus luftdicht verschlossenen Computern