Warum einseitige Abhängigkeiten, also Monokulturen, ein Risiko für Unternehmen darstellen, schildert Marco Eggerling, CISO EMEA bei Check Point Software Technologies, in einem Gastbeitrag. | Marco Eggerling, CISO EMEA at Check Point Software Technologies, describes in a guest article why one-sided dependencies, or monocultures, pose a risk to companies. |
|---|---|
| Einseitigkeit ist nie gut. Jeder hat schon einmal den Begriff „Monokultur“ im Zusammenhang mit der Landwirtschaft gehört. eine einzige Kulturart – zum Beispiel Mais – eine Monopolstellung auf einem Feld. Ein plötzlicher Ernteausfall (ein Virus oder gefräßige Insekten) kann verheerende Folgen haben. Monokulturen in der Software und Cybersicherheit unterliegen den gleichen Kräften, Schwachstellen und Problemen. Eine Monokultur mag einen gewissen Nutzen bringen, die Frage ist jedoch, ob die Risiken den Nutzen überwiegen. Monokulturen für Software und Cybersicherheit In der Informatik wird der Begriff Monokultur verwendet, um die nahezu universelle Abhängigkeit des Ökosystems von einem einzigen Betriebssystem, einer Anwendung, einer Programmiersprache, einem Cloud-Anbieter usw. zu beschreiben. Eine Monokultur in der Datenverarbeitung bedeutet eine sehr begrenzte technologische Vielfalt. Führt eine vielfältigere Software-Landschaft also langfristig zu einer verbesserten Betriebssicherheit? Liegt die Sicherheit in der Fortführung von Verträgen mit einer einzigen, abgelehnten Marke (wie Microsoft), die die Kompatibilität der Infrastruktur über alle Systeme hinweg nahezu garantiert? Die Argumente gegen und für eine Software-Monokultur sind vielfältig und komplex. Die folgenden Beispiele helfen bei der Antwort. Homogenität und Anfälligkeit Eines der größten Probleme bei Monokulturen besteht darin, dass ein einziger Fehler (eine ausgenutzte Schwachstelle) zu weitreichenden negativen Auswirkungen führen kann. Wird eine Schwachstelle in einer marktbeherrschenden Software gefunden, könnte eine große Anzahl von Organisationen vorübergehend gestört werden, was zu weitreichenden Auswirkungen in allen Sektoren und in der Gesellschaft insgesamt führen würde. Der jüngste Fall eines erfolgreichen Angriffs eines chinesischen Bedrohungsakteurs auf Microsoft, bei dem der Signierschlüssel eines vermeintlich inaktiven Benutzerkontos in Azure AD erfolgreich extrahiert wurde, ist ein Paradebeispiel dafür. Er zeigt, wie ein Risiko entsteht, wenn Sicherheitsmaßnahmen einem einzigen Anbieter anvertraut werden. Ein weiteres Beispiel ist die berüchtigte „Heartbleed“-Schwachstelle in OpenSSL. Drei Jahre nach ihrer Entdeckung waren immer noch 200.000 ungepatchte Server weltweit von der Sicherheitslücke betroffen. Heartbleed ermöglichte es einem Angreifer, den privaten Speicher einer Anwendung abzurufen, die die anfällige Code-Bibliothek verwendete – in Stücken von jeweils 64k. Die Folgen waren katastrophal, und Organisationen wie GitHub, Dropbox und das US-amerikanische FBI waren betroffen. Monokulturen und Innovation Monokulturen können die Innovation hemmen. Wenn Unternehmen lange Zeit an ein einziges Technologiepaket gebunden waren, sträuben sich die Verantwortlichen möglicherweise gegen die Einführung neuerer und sicherer Technologien. Die Einführung unterschiedlicher Lösungen kann jedoch die Widerstandsfähigkeit gegenüber Cyberangriffen radikal erhöhen. Kurz gesagt, der Monokultur-Ansatz kann dazu führen, dass Unternehmen nur unzureichend auf Cyber-Bedrohungen der nächsten Generation vorbereitet sind oder dass Bedrohungsakteuren, die den goldenen Schlüssel zu Authentifizierungssystemen besitzen, die bisher als sichere Häfen galten, Tür und Tor geöffnet werden. Risikobasierte Ansätze Ein Angriff, der auf einer Plattform fehlschlägt, kann auf einer anderen erfolgreich sein. Nachdem wir also eine Monokultur zur Abwehr oder Überwachung von Angriffen eingerichtet haben, sollten wir uns auch gegen Vertrauensangriffe wappnen. Ein Ansatz, der seit langem befürwortet wird, aber in der Realität nur schwer umzusetzen ist, besteht darin, fein abgestufte Autorisierungsrichtlinien mit den geringsten Rechten zu verwenden, so dass die Aktionen, die eine Einheit im Namen einer anderen Einheit durchführt, in Bezug auf Umfang, Folgen und Auswirkungen begrenzt sind. Fazit CISOs und andere Verantwortliche für Cybersicherheit müssen heute wachsam sein und sich davor hüten, sich zu sehr auf eine einzige Lösung zu verlassen. Gleichzeitig nutzen sie bewährte Technologien. Unternehmen sollten vor den Fallstricken von Monokulturen geschützt werden, indem Software und Sicherheitstools diversifiziert, Best Practices implementiert und Innovationen gefördert werden. | One-sidedness is never good. Everyone has heard the term „monoculture“ in the context of agriculture. a single crop – corn, for example – a monopoly on a field. A sudden crop failure (a virus or voracious insects) can have devastating consequences. Monocultures in software and cybersecurity are subject to the same forces, vulnerabilities, and problems. A monoculture may provide some benefit, but the question is whether the risks outweigh the benefits. Monocultures for software and cybersecurity. In computing, the term monoculture is used to describe the near-universal dependence of the ecosystem on a single operating system, application, programming language, cloud provider, etc. A monoculture in computing means very limited technological diversity. So does a more diverse software landscape lead to improved operational security in the long run? Does security lie in continuing to contract with a single, rejected brand (like Microsoft) that virtually guarantees infrastructure compatibility across all systems? The arguments against and for a software monoculture are many and complex. The following examples help answer them. Homogeneity and vulnerability One of the biggest problems with monocultures is that a single flaw (an exploited vulnerability) can lead to widespread negative effects. If a vulnerability is found in a dominant piece of software, a large number of organizations could be temporarily disrupted, leading to widespread impacts across sectors and society as a whole. The recent case of a successful attack on Microsoft by a Chinese threat actor, in which the signing key of a supposedly inactive user account in Azure AD was successfully extracted, is a prime example. It shows how risk is created when security measures are entrusted to a single vendor. Another example is the infamous „Heartbleed“ vulnerability in OpenSSL. Three years after its discovery, 200,000 unpatched servers worldwide were still affected by the vulnerability. Heartbleed allowed an attacker to retrieve the private memory of an application that used the vulnerable code library – in chunks of 64k each. The consequences were catastrophic, and organizations such as GitHub, Dropbox, and the U.S. FBI were affected. Monocultures and innovation Monocultures can inhibit innovation. When organizations have been tied to a single technology package for a long time, leaders may resist adopting newer and more secure technologies. However, adopting different solutions can radically increase resilience to cyberattacks. In short, the monoculture approach can leave organizations inadequately prepared for next-generation cyber threats or open the door to threat actors who hold the golden key to authentication systems previously considered safe havens. Risk-based approaches An attack that fails on one platform may succeed on another. So, having established a monoculture for defending against or monitoring attacks, we should also arm ourselves against trust attacks. One approach that has long been advocated, but is difficult to implement in reality, is to use fine-grained authorization policies with the least privileges, so that actions taken by one entity on behalf of another are limited in scope, consequences, and impact. Conclusion CISOs and other cybersecurity leaders today must be vigilant and wary of relying too heavily on any one solution. At the same time, they are leveraging proven technologies. Organizations should be protected from the pitfalls of monocultures by diversifying software and security tools, implementing best practices, and encouraging innovation. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de