Autor: Frank Simon
Die Informationstechnologie ist heute aus kaum einem Unternehmen mehr wegzudenken. Ist sie nicht mehr verfügbar, bedeutet das große Schwierigkeiten für Unternehmen und Organisationen, angefangen von der Nichteinhaltung zugesagter Leistungsversprechen, dem Verlust eines zusätzlichen Business, partiellen Produktionsausfällen und Reputationsschäden bis hin zur
totalen Geschäftsaufgabe.
Das Risiko derartiger Ausfälle, die vorsätzlich durch Cyberangriffe induziert sind, wird im Allianz Risiko Barometer 2023 als das „most important global business risk for 2023“ bezeichnet.[1]
Um diesem Risiko zu begegnen, ist es hilfreich, die eigene Cyber-Hygiene zu stärken und möglichst breite Vorkehrungen zu treffen, um Angriffe so früh wie möglich abzuwehren.
Ein inhärenter Teil dieser Cyber-Hygiene sind komplexe Regelwerke mit klaren Vorgaben, die festlegen, was erlaubt ist und was nicht. Derartige Regelwerke gibt es beispielsweise für Passwörter (Password Policy), für die Nutzung von Wechselspeichern (WechselmedienPolicy)
oder für die private Nutzung der Unternehmens-Hardware (Device Policy). Diese Regeln kommen nicht nur aus den Unternehmen selbst, sondern durchaus auch von außen:
Je regulierter ein Unternehmen ist, desto mehr Aufsichtsbehörden übergeben Regelwerke an die beaufsichtigte Industrie, deren Befolgung obligatorisch ist. Solche Regeln werden in diesem Kontext entgegen weitläufiger Meinung nicht als bremsend oder überregulierend angesehen, sondern als befähigend.
So gibt es mit dem „Digital Operational Resilience Act“ (DORA) seit dem 27.12.2022 eine EU-Verordnung, die der „Harmonisierung und Vereinheitlichung bestehender Regulatorik“ dienen soll, um „EU-Finanzunternehmen zu einem optimierten Management von IKT-Risiken [zu] befähigen“ [2].
Regeln sind demzufolge eine wichtige Methode, um die IT-Sicherheit zu garantieren. Und sie sind gerade für regulierte Unternehmen, deren IT-Sicherheit besonders relevant ist (z. B.
im KRITIS-Umfeld) aufgrund aufsichtlicher Anforderungen mandatorisch.
Regeln als Sicherungsmaßahmen für Cyber-Security
Doch was wird grundsätzlich unter einer Regel verstanden? Der Begriff „Regel“ kann „im Sinne [einer] Richtlinie, Norm oder Vorschrift” gebraucht werden. Es handelt sich dabei „um bewusste subjektive Festlegungen, […] die als Anweisungen für Handlungen die allgemeine Gültigkeit beanspruchen“ [2]. Regeln schränken den Handlungsspielraum – z. B. unsichere Aktionen – von Menschen bewusst ein, wie in Abbildung 1 dargestellt. Regeln stellen damit grundsätzlich eine effektive Möglichkeit dar, die IT-Sicherheit zu erhöhen: Alle Aktionen von Menschen, die die IT-Sicherheit gefährden könnten, werden einfach regulativ verboten. So werden unsichere und zu kurze Passwörter durch die Regel „Passwörter müssen mindestens 16 Buchstaben lang sein“ verboten, was zur Erhöhung der Passwortsicherheit beitragen kann.
Abbildung 1: Ideale Funktionsweise von Regeln
Regeln vs. Regelverletzung
Trotz dieser Mächtigkeit von Regeln gibt es das weit verbreitete Problem ihrer Nichtbefolgung. In der Flugzeugindustrie begründet dies eine Vielzahl von Flugzeugunfällen. Analysen zeigen vor allem die folgenden vier Gründe für eine Nicht-Einhaltung von Regeln auf:
- R1 Die Regel ist dem Akteur unbekannt bzw. für ihn nicht vorhanden. Aktionen
können zwar zufällig regelkonform sein. Da Regeln aber meistens einschränkend wirken, ist dies eher die Ausnahme, sodass die erhoffte SecurityZunahme nicht erreicht wird.
- R2 Die Regel ist dem Akteur bekannt, sie ist aber unpassend, unvollständig oder inkorrekt. Der Akteur muss daher alternative Aktionen wählen, die wiederum meist die erhoffte Security-Zunahme eher zufällig, meist aber nicht erreichen.
- R3 Der Akteur kennt eine aus seiner Sicht bessere, die Regel aber verletzende Vorgehensweise. Je nach Expertise des Akteurs können solche Aktionen die erhoffte Security-Zunahme übertreffen oder nicht erreichen.
- R4 Die Regel passt, ist vollständig und korrekt, der Akteur kennt sie, hält sich aber trotzdem nicht daran: Zu nennen sind hier Routine-Verletzungen (z. B. auf einer Kollektivebene: „das machen
alle so“) und Situations-Verletzungen, in denen bestimmte Parameter (z. B. zu wenig Zeit, fehlende Ressourcen) die Regelbefolgung erschweren. Auch hier ist die effektive Security-Zunahme indifferent, fällt meist allerdings negativ aus (vgl. [4]).
Der regulatorische Drift
Der Fokus der folgenden Analyse liegt auf der Begründung zwei bis vier, die als Regulatorischer Drift bezeichnet werden. Der „Regulatorische Drift“ wird wie folgt definiert: „drift is the difference between “work as imagined” and “work as actually done“. [5] . Bezogen auf die oben genannten Begründungen 2 – 4 ist der regulatorische Drift keine Konstante für eine Kombination aus Person und Regel: Vielmehr ist ein ganz wesentliches Charakteristikum des regulatorischen
Drift, dass er über die Zeit zunimmt, wie Abbildung 2 darstellt.
Abbildung 2: Regulatorischer Drift über die Zeit
Ursachen für den regulatorischen Drift
Einige typische Ursachen für die Nichteinhaltung von Regeln sind zum Beispiel: Die Einhaltung der Regeln kostet zu viel Zeit und ist ineffizient; die Menschen kennen effizientere Möglichkeiten; oder die Nicht-Einhaltung der Regeln hat keine negativen Auswirkungen. Das „Migration Model“ von Rasmussen liefert hierbei eine hilfreiche Systematik zur Klassifikation dieser Ursachen. Demnach
wirken auf jedes kommerzielle System drei wesentliche Kräfte:
- Ökonomischer Druck: Wirtschaftlich agierende Unternehmen müssen ökonomisch sinnvoll agieren, um am Markt bestehen zu können. Übertriebene Ineffizienzen führen zu ökonomischen Nachteilen.
- Arbeitslast-Druck: Jeder Mitarbeiter hat nur beschränkte Ressourcen (Kraft, Zeit). Werden diese überstrapaziert, leidet die Qualität des Ergebnisses als auch die Gesundheit und das Wohlbefinden des Mitarbeiters.
- Sicherheits-Druck: Jede Aktion kann ein mehr oder weniger großes Risiko hervorrufen. Im wirtschaftlichen Leben wirken Regeln dagegen, dass übergroße Risiken entstehen. Ein wesentliches Ergebnis von Rasmussen ist, dass diese drei Kräfte nicht voneinander unabhängig sind. Vielmehr ergibt sich die Sicherheit als Ergebnis der beiden Steuerungsgrößen ökonomischer Druck und Arbeitslast, wie Abbildung 3 darstellt.
Abbildung 3: Sicherheit im Spannungsfeld Ökonomie und Arbeitslast
Hierbei ist die Fläche des Dreiecks relativ invariant und bedeutet für die Sicherheit (und die Einhaltung der dahinter stehenden Regeln) folgendes:
Je höher die Arbeitslast, desto geringer die Sicherheit (primär durch nichteingehaltene Regeln). Je
geringer die Arbeitslast, desto höher die Sicherheit.
Je mehr wirtschaftlicher Druck ausgeübt wird, desto geringer die Sicherheit. Typische Beispiele sind kurzfristige Profitabilitätsinitiativen, die mittelfristig zu technischen Schulden und einer reduzierten Sicherheit führen. Das Migration Modell beschreibt einen längerfristigen Prozess, d. h. die Befolgung von Regeln wird selten vom einen Tag auf den anderen ausgesetzt. Stattdessen induziert ein zu hoher Workload und ein zu hoher ökonomischer Druck eine schrittweise Reduktion der Regelbefolgung, die zu einer ebenso schrittweisen Reduktion der Sicherheit führt. Regulatorischer Drift ist also ein schleichender Prozess, der dennoch in Katastrophen wie z. B. dem Space-ShuttleChallenger-Unglück münden kann (vgl. [6]), oder für IT-Sicherheit in erfolgreichen Hacker-Angriffen. Der schleichende Prozess nach Rasmussen kann aus den folgenden Gründen nur schwer identifiziert werden:
- R5 Fehlende, negative Output-FeedbackLoops: Wenn eine einmalige Regelverletzung nicht direkt zur Katastrophe führt, sondern ggfs. sogar zu mehr Ökonomie und geringerer Workload, wird
die Regel-Nichteinhaltung als Erfolg wahrgenommen.
- R6 Normalisierung der schrittweisen Abweichung, also „the gradual process through which unacceptable practices or standards become acceptable“ ([5]). Demnach wird die Regel bei jeder Anwendung ein kleines Stück weniger hart ausgelegt und dieser neue Grad der Regelbefolgung als neuer Standard angenommen.
Richtige Regeln für mehr Sicherheit
Diese Analyse des regulativen Drift erlaubt nun die systematische Herleitung von Maßnahmen, die den regulativen Drift bremsen und damit zu einer nachhaltigen hohen Sicherheit aufgrund einer langfristigen, konsequenten Regelbefolgung zur Vermeidung risikobehafteter Aktionen beitragen:
Regeln müssen jedem bekannt sein (R1). Dies ist keine Holschuld des Arbeitnehmers, sondern eine Bringschuld des Unternehmens. Die Möglichkeit der Einhaltung von Regeln muss initial gesteuert und pilotiert werden (R2). Regeln müssen also praktisch gezeigt haben, dass die Einhaltung möglich und der gewünschte Sicherheitslevel dadurch erreicht wird.
Regeln müssen gesteuert und regelmäßig auf ihre Angemessenheit hin überprüft werden (R3). Je volatiler der Kontext, desto häufiger diese Überprüfung. Jede Regel benötigt eine entsprechende Kontrollhandlung, die penibel die exakte Einhaltung der Regel prüft (R4, R5). Werden Regelverletzungen (R6) identifiziert, so muss dies negative Konsequenzen haben.
Regeln müssen regelmäßig und wiederholend kommuniziert werden (R6). Auch dies ist wiederum eine Bringschuld des Unternehmens. Werden diese fünf Maßnahmen fortwährend befolgt, kann das Potential von Regeln nicht nur initial voll ausgeschöpft, sondern der Erfolg
auch nachhaltig gesichert werden. Damit stellen diese Maßnahmen eine wichtige Basis für alle Unternehmen dar, um die Informationssicherheit und die Widerstandsfähigkeit gegenüber externen Angriffen zu vergrößern.
Quellen
[1] Allianz Global Corporate and Specialty, „Allianz Risk Barometer2023,“ 2023.
[2] R. B. e. al., „Digital Operational Resilience Act (DORA): Neue Anforderungen und Implikationen,“ BankingHub, 20 02 2023. [3] JuraForum, “Lexikon unter Regel”, 2023
[4] R. Baron, „Procedural Drift: Causes and Consequences,“ Flight Safety Foundation, 29 03 2018.
[5] F. Simonds, „IFR Magazin,“ 12 11, 2023 [Online].
[6] E. Marsden, „Rasmussen and practical drift,“ Risk Engineering, 24 03 2022.
