Strategien zur digitalen Verteidigung aus dem Zeitalter der Dampfmaschinen

Bildquelle: Buchcover NIKOL Verlag, Banner Adobe Express

Carl von Clausewitz beginnt 1818, im Alter von achtunddreißig Jahren, das bis heute gültige Standardwerk zur Kriegsstrategie zu verfassen. 1831 stirbt Clausewitz verfrüht und kann sein Werk nicht vollenden. Vom siebten Buch der Verteidigung und vom achten Buch des Kriegsplans bleibt es lediglich bei Skizzen. Es gibt einige Bücher am Markt mit dem Titel »Vom Kriege«. Ich habe mich für das aus meiner Sicht vollständigste vom Verlag Nikol entschieden (ISBN 978-3-86820-545-9). Dieses Werk adaptiere ich in diesem Fachartikel auf die Welt der digitalen Sicherheit.

Erstes Buch: Über die Natur des Krieges

Die einleitende Frage ist: Was ist der Krieg (erstes Kapitel)? Der Krieg ist ein erweiterter Zweikampf. Einer der essentiellen Grundlagen der Strategie ist der Unterschied zwischen Zweck und Mittel. Der Krieg ähnelt zwei Ringenden. Deren Zweck ist es den Gegner niederzuwerfen und kampfunfähig zu machen.

Der Krieg hat keine anwendbaren Grenzen der Gewalt. Das heißt jede Partei stülpt der Anderen ihr eigenes Gesetz über. Das Ziel ist die andere Partei in die schlimmste Lage zu versetzen, nämlich die komplette Wehrlosigkeit. Solange eine Partei den Gegner noch nicht niedergeworfen hat, muss sie fürchten, dass es die Andere tut.

Ist der Zweck des Krieges erreicht, tritt der höhere (politische) Zweck wieder hervor. Im Falle von digitalen Erpressern ist dieser eigentliche Zweck eine erfolgreiche Lösegeldforderung.

»Der Krieg ist eine bloße Fortsetzung der Politik mit anderen Mitteln.«

Als konkretes Mittel im Krieg gibt es nur die direkte Auseinandersetzung, das Gefecht.

Aber nicht alle Wege sind an die direkte Niederwerfung des Gegners gebunden. Ein solcher Weg ist ein erhöhter Kraftaufwand des Gegners (zweites Kapitel). Dazu gibt es die Möglichkeit der Invasion. Also das erobern feindlicher Provinzen, ohne diese behalten zu wollen. Dies ist analog zur Verschlüsselung von Daten von Ransomwareopfern. Ein weiterer Weg ist Gegenstände beim Gegner zu zerstören, welche den feindlichen Schaden immens erhöhen. Dies hat Parallelen mit dem dauerhaften Löschen von Datensicherungen. Oder durch die Dauer der Handlung den Gegner zur Erschöpfung zu führen.

Clausewitz unterscheidet zwischen zwei Hauptströmungen der kriegerischen Zwecke.

• Der erste ist der aktive Zweck (in seinen Worten der positive Zweck). Dieser hat als letztes Ziel die Niederwerfung des Gegners.

• Der andere ist der passive Zweck (wiederrum der negative Zweck). Also das reine erhalten der eigenen Infrastruktur und Abwehrkräfte. Dies ist der reine Widerstand und hat die Vernichtung der feindlichen Absicht zum Ziel.

Selbst der passive Zweck muss zum geeigneten Zeitpunkt zum aktiven umschwenken. Solange ein digitaler Angreifer in der Zielumgebung nicht niedergeworfen wurde, kann er die Auseinandersetzung immer wieder auf seine Seite drehen.

Feindliche Auseinandersetzungen sind das Gebiet der Ungewissheit. Dreiviertel des Handelns liegt im Nebel. Dies erfordert beim Leiter der digitalen Verteidigung (im Sprachgebrauch der Industrie: IT-Sicherheitsbeauftragte; CISO, Chief Information Security Officer; bei Clausewitz der Feldherr) eine Einsicht in die Unternehmenspolitik, einen Verstand der die Ungewissheit aushalten kann und den Mut diese Ungewissheit zu durchdringen.

Ein Verständnis der digitalen Gefahren und Risiken sind für die Unternehmensleitung unabdingbar (viertes Kapitel).

»Die Gefahr im Krieg gehört zu den Schwierigkeiten im Krieg. Eine richtige Vorstellung davon ist zur Wahrheit der Erkenntnis notwendig.«

Dazu gehört auch ein Verständnis über die verschiedenen Feinde (sechstes Kapitel). Hierfür gibt es unterschiedlichste Quellen von Herstellern wie, Disrupting cyberattacks tartgeting Ukraine (Microsoft,  abgerufen am 07.09.2022), oder generische Seiten wie das CROWDSTRIKE adversary universe. Darüber hinaus auch herstellerunabhängige Seiten wie MITRE ATT&CK Groups. Meine grundlegende Veröffentlich hierzu ist Welche digitalen Kriminellen wollen dein kleines oder mittelständisches Unternehmen angreifen?. Solche Erkenntnisse nennt Clausewitz Nachrichten, also die ganze Kenntnis, welche man vom Feind und seinem Land hat. Ein Großteil dieser Nachrichten kann aber widersprechend oder falsch sein. Diese Nachrichten sind also wieder einer großen Ungewissheit unterworfen. Hier ist vom IT-Sicherheitsbeauftragten eine Sach- und Menschenkenntnis nötig.

Solange man digitale Auseinandersetzungen selbst nicht kennt, kann man nicht verstehen wo dessen Schwierigkeiten liegen (siebtes Kapitel).

»Alles scheint so einfach, alle erforderlichen Erkenntnisse so flach, alle Kombinationen so unbedeutend, dass im Vergleich dazu uns die einfachste Aufgabe der hohen Mathematik mit einer gewissen wirtschaftlichen Würde imponiert.«

Ein Gegenmittel dafür ist die Kriegsgewohnheit des Heeres (achtes Kapitel). In Friedenszeiten kann man als kleines oder mittleres Unternehmen solche Gewohnheiten einkaufen, in dem man sich beispielsweise  am Markt für »Security Operations Center (SOC)« oder »Managed Detection and Response (MDR)« bedient. Oder man entsendet seine eigenen Mitarbeiter zu befreundeten Opfern. Dies hat zwei Vorteile: Das befreundete Unternehmen erhält Unterstützung und die eigenen Mitarbeiter gewinnen an Erfahrung.

Zweites Buch: Über die Theorie des Krieges

Krieg bedeutet Kampf. Und ein Kampf ist das abmessen der geistigen und körperlichen Kräfte. Die geistigen Kräfte dürfen nicht unterschätzt werden. Diese haben den entscheidendsten Einfluss in Auseinandersetzungen.

Der Kampf an sich besteht aus mehreren geschlossenen Handlungen. Diese nennt Clausewitz Gefechte. Daraus besteht der Bedarf Gefechte anzuordnen und zu führen (Taktik) und miteinander zu verbinden (Strategie, erstes Kapitel).

Die MITRE ATT&CK Enterprise Matrix stellt vertikal die einzelnen Techniken und Taktiken (Gefechte, Taktik) dar und die horizontale Verbindung ergibt die Strategie. Die Taktik ist die Lehre vom Gebrauch der Streitkräfte im Gefecht. Die Strategie ist die Lehre vom Gebrauch der Gefechte für den Zweck der Auseinandersetzung. Taktik und Strategie sind zwei in Raum und Zeit sich überschneidende Tätigkeiten. Aber die Strategie ist viel schwieriger, als die Taktik (zweites Kapitel).

Die Theorie ist laut Clausewitz eine Betrachtung und keine Lehre. Nur so wird eine Theorie möglich.  Die Theorie betrachtet deswegen die Natur der Zwecke und Mittel.

In der Taktik sind die Mittel die ausgebildeten Streitkräfte, welche den Kampf führen sollen. Der Zweck ist der Sieg.

Die Verbindung zwischen Strategie und Taktik ist der Sieg. Die Strategie hat den Sieg nur als Mittel. Dagegen hat die Strategie die Gegenstände, welche unmittelbar zum Frieden führen zum Zweck. Aus der Sicht von digitalen Erpressern kann ein slocher Zweck wieder die erfolgreiche Lösegeldforderung sein - danach herrscht Frieden.

Das Wissen im Krieg ist sehr einfach, aber nicht zugleich sehr leicht. Das folgende Zitat beschreibt wie das Wissen beim IT-Sicherheitsbeauftragten beschaffen sein muss:

»Der Feldherr muss kein Gelehrter sein. Er muss mit dem Staatsleben vertraut sein. Er muss kein feiner Menschenbeobachter sein. Aber er muss den Charakter … kennen, denen er befehlen soll. Er muss kein Fuhrwerk spannen können. Aber er muss den Marsch einer Kolonne seiner Dauer nach unter verschiedenen Umständen richtig einschätzen können.«

Dieses Wissen muss schlussendlich ein Können werden. Clausewitz unterscheidet zwischen Wissenschaft und Kunst. In der Wissenschaft ist bloßes Wissen der Zweck. In der Kunst ist Können der Zweck. Deshalb bezeichnet er das Können um Auseinandersetzungen als Kriegskunst (drittes Kapitel).

Diese ersten beiden Bücher sind die Grundlage für alle verbliebenen Bücher.

Drittes Buch: Von der Strategie überhaupt

Die Strategie ist der Gebrauch des Gefechts zum Zweck des Krieges. Die Strategie setzt der ganzen Auseinandersetzung ein Ziel, welches dem Zweck entspricht (erstes Kapitel). In der Strategie läuft alles langsamer ab als in der Taktik. In der Taktik kann man vieles mit dem eigenen Auge sehen. In der Strategie hingegen arbeitet man überwiegend mit Annahmen und Vermutungen.

Der IT-Sicherheitsbeauftragte muss in der Strategie gerade sowenig unternehmen, wie es den Kräften entspricht. Aber gerade soviel, um den Zweck der Verteidigung zu erreichen.

Clausewitz fand in der damaligen Literatur keine Inhalte zu moralischen Größen (drittes Kapitel). Dies ist ein Themenbereich der bis heute unterrepräsentiert ist. Alles was sich quantifizieren lässt ist einfacher in Literatur zu bringen als moralische Komponenten.

Die moralischen Hauptpotenzen sind das Können und Wissen des IT-Sicherheitsbeauftragten, die Eigenschaften und Tugenden der digitalen Verteidiger (Security Operations Center, Blue Team), sowie dessen geistige Haltung (viertes Kapitel). Alle drei Hauptpotenzen haben den gleichen Wert.

Das allgemeinste Prinzip des Sieges ist die Überlegenheit der Zahl (achtes Kapitel). Das Maß dieser absoluten Macht bestimmt im Unternehmen letztendlich die Geschäftsführung. Der IT-Sicherheitsbeauftragte kann anschließend nur mit dieser Größe arbeiten und muss diese als gegeben betrachten.

Die Überraschung liegt fast jeder Auseinandersetzung zu Grunde (neuntes Kapitel). Ohne die Überraschung ist eine Überlegenheit auf dem entscheidenden Punkt nicht denkbar. Auf der anderen Seite darf die Macht der Überraschung nicht überschätzt werden. Dieses Prinzip machen sich digitale Erpresser in der Regel, mit der gleichzeitigen Aktivierung von Verschlüsselung zu Nutze.

Aber die Vorbereitungen dafür nehmen erfahrungsgemäß mehrere Monate ein. Das in der Breite vorhandene Hauptproblem digitaler Verteidiger ist eine unpassende Auswahl an Erkennungsmitteln für diese Vorbereitungen.

Um überhaupt beim Gegner eindringen zu können verwenden digitale Erpresser die List (zehntes Kapitel). Eine gut gefälschte Mail, ein unverbindlicher Telefonanruf und der Erpresser hat sich eine Tür zum Opfer geöffnet.

Am besten hält man seine Kräfte zusammen und trennt diese nicht von der Hauptmasse (elftes Kapitel). Außer man hat einen guten Grund dazu.

»Die beste Strategie ist immer recht stark zu sein. Zuerst überhaupt und demnächst auf dem entscheidenden Punkt.«

Darüber hinaus sind diese gesammelten Kräfte dann gleichzeitig in Aktion zu bringen (zwölftes Kapitel).

Digitale Verteidiger sollen ihre Kräfte aktiv zur Verteidigung einsetzen. Mit einem dedizierten zuständigen Team gelingt dies am einfachsten. Sind angestellte Administratoren als Nebenaufgabe damit beschäftigt wird dies schon schwieriger. Es bringt dem digitalen Verteidiger nichts, wenn sein Administrator mit anderem Tagesgeschäft beschäftigt ist und sich der Gegner in einer Seelenruhe ausbreiten kann (vierzehntes Kapitel).

Jede Aktion welche man in der Spannung der Auseinandersetzung ergreift, ist wichtiger als dieselbe Aktion im Zustand des Gleichgewichts (achtzehntes Kapitel). Und diese Wichtigkeit steigt je näher man dem entscheidenden Gefecht kommt.

Viertes Buch: Das Gefecht

Das Gefecht an sich ist taktischer Natur. Es befindet sich zwischen der Strategie auf der höheren Ebene und der Operativen auf der unteren Ebene. Die Zwecke definieren die jeweilige Gestalt der Gefechte (erstes Kapitel).

Das Gefecht ist die eigentliche Tätigkeit der Auseinandersetzung. Der Gegner im einzelnen Gefecht ist die konkrete Streitkraft die uns gegenübersteht. Die digitalen Auseinandersetzungen bestehen aus einer Menge von kleinen und großen Gefechten (drittes Kapitel). Sei es der Diebstahl von Identitäten, das Ausbringen von Schadcode oder das Klauen von sensiblen Daten.

Im Gebiet der Strategie können alle Tätigkeiten innerhalb der Auseinandersetzungen auf die Einheit einzelner Gefechte zurückgeführt werden. Hier wird nur die Strategie behandelt. Dies heißt im Umkehrschluss sind die Mittel und Tools kein Bestandteil der Betrachtung.

Eine Verminderung der feindlichen Streitkraft, die verhältnismäßig größer ist als die Eigene definiert das Niederwerfen der feindlichen Streitkraft. Der Sieg ist erreicht wenn der Gegner den größeren Verlust an physischen und moralischen Kräften erlitten hat. Im Besten Fall gibt er öffentlich bekannt, dass er seine Absicht aufgibt (viertes Kapitel). Dies kann nicht eins zu eins auf digitale Auseinandersetzungen übertragen werden. Gibt aber eine klare Zielrichtung für die notwendige Wirkungsweise in der digitalen Verteidigung vor.

Die Ziele von Gefechten kann man nach offensiver (aktiver) und defensiver (passiver) Absicht unterteilen (fünftes Kapitel):

Offensives Gefecht Defensives Gefecht 1. Vernichtung der feindlichen Streitkräfte 1. Vernichtung der feindlichen Streitkräfte 2. Eroberung der gesamten Infrastruktur 2. Verteidigung der gesamten Infrastruktur 3. Eroberung bestimmter Daten 3. Verteidigung bestimmter Daten

Tabelle 1: Vergleich offensives und defensives Gefecht

Dem folgenden Zitat ist im Bezug auf digitale Erpresser nichts mehr hinzuzufügen (siebts Kapitel):

»Kein Gefecht entscheidet sich in einem einzelnen Moment. Obwohl es in jedem Gefecht Momente von großer Wichtigkeit gibt, welche die Entscheidung hauptsächlich bewirken. Der Verlust eines Gefechts ist also ein stufenweises Niedersinken der Waage.«

Das Gefecht können digitale Verteidiger nicht mehr wenden, sobald entweder alle (oder ein Teil) der Daten unbrauchbar ist. Oder relevante Prozesse für vitale Funktionen des Geschäfts nachhaltig gestört sind. Oder sobald sensible Daten geklaut wurden.

Der digitale Angreifer hingegen kann das Gefecht nicht mehr wenden, sobald er auf dem feindlichen digitalen Gebiet niedergeworfen wurde und handlungsunfähig ist.

Eine Partei welche die digitale Auseinandersetzung sucht kann den anvisierten Gegner einfach aufsuchen und angreifen (achtes Kapitel). Ob es nun tatsächlich zu einem abwehrenden Gefecht durch den digitalen Verteidiger kommt spielt keine Rolle. Aus der Sicht des digitalen Angreifers bleibt der höhere Zweck der Entscheidende.

Der Kampf der Hauptmacht definiert die Hauptschlacht. Ein Kampf mit ganzer Anstrengung um einen wirklichen Sieg zu erreichen. In Fällen von digitaler Erpressung ist das Ausbringen der Verschlüsselung und das Klauen sensibler Daten die definitive Hauptschlacht. Hier besteht für den digitalen Verteidiger die allergrößte Chance, dass sein Gegner das Gefecht aufgibt. Natürlich nur, wenn ihm der digitale Verteidiger eine entscheidende Hauptmacht entgegenzustellen hat (neuntes Kapitel).

»Die Hauptschlacht ist um ihrer selbst Willen da, um des Sieges Willen, den sie geben soll, und der ihr mit der höchsten Anstrengung gesucht wird. Hier an dieser Stelle, in dieser Stunde den Gegner zu überwinden, ist die Absicht, in welche der ganze Kriegsplan mit all seinen Absichten zusammenläuft.«

Wer eine solche lähmende Niederlage auf der Seite der digitalen Verteidigung noch nicht erlebt hat, tut sich schwer eine konkrete Vorstellung von dem dadurch entstandenen Vakuum zu machen (zehntes Kapitel). Die Dokumentation des SWR Hacker-Angriff aus dem Netz - Wie Cyberkriminelle unsere Wirtschaft erpressen erfasst die emotionale Lage solcher Niederlagen sehr gut.

»Das Gefühl besiegt zu werden ist die evidente Wahrheit, dass der Gegner uns überlegen ist. Eine Wahrheit die in den Ursachen so versteckt sein könnte, dass sie vorher nicht zu sehen war. Die aber beim Ausgang immer klar und bündig hervortritt. Die man auch vielleicht vorher erkannt hat, der man aber in Ermangelung von etwas Reellerem Hoffnung auf den Zufall, Vertrauen auf Glück und Vorhersehung, mutiges Wagen entgegenstellen musste. Nun hat sich dies alles unzulänglich erwiesen und die ernste Wahrheit tritt uns streng und gebieterisch entgegen.«

Selbst Clausewitz sagte schon, der ganze Krieg setzt menschliche Schwäche voraus. Im Zeitalter digitaler Auseinandersetzungen ist dies nicht anders. Das schwächste Glied der Kette ist der Mensch.

Der aktive Zweck gehört in der Regel dem Angreifer - also den digitalen Erpressern. So ist die Hauptschlacht auch deren bevorzugtes Mittel. Aber auch der digitale Verteidiger hat im Normalfall nur dieses eine wirksame Mittel (elftes Kapitel).

Fünftes Buch: Die Streitkräfte

Clausewitz betrachtet die Bedingungen zum Kampf, aber nicht den Kampf selbst.

Hier werden die folgenden Begriffe definiert (zweites Kapitel):

1. Kriegstheater - ist ein selbständiger Teil des ganzen Kriegsraumes.
   Kann mit den Daten des digitalen Verteidigers verglichen werden.

2. Armee - ist diejenige Streitmasse auf dem Kriegstheater.
   Kann mit dem Security Operations Center des digitalen Verteidigers verglichen werden.

3. Feldzug - ist die Begebenheit eines Kriegstheaters.
   Kann mit der Verschlüsselung durch digitale Angreifer verglichen werden.

Mehrere Faktoren können zu einer Überlegenheit der Streitkräfte führen. Einerseits in der einfachen Überlegenheit der Zahl. Aber auch eine große Überlegenheit in der Ausstattung kann zu einem moralischem Übergewicht führen (drittes Kapitel).

Im Bereich der digitalen Verteidigung ist die Bewaffnung auf mehreren Ebenen möglich: Der Identität, dem Endpunkt, bei den Daten selbst, bei der (Mail-)Kommunikation und so weiter. Das richtige Verhältnis dieser Waffen muss immer im Einzelfall abgewogen werden (viertes Kapitel).

Idealerweise setzt ein digitaler Verteidiger eine Avantgarde oder Vorhut ein um Anomalien frühzeitig erkennen zu können. Daraufhin kann er seine Hauptmacht gezielt in Position bringen (siebtes Kapitel).

Der digitale Angreifer benötigt eine funktionierende Kommunikation zu seiner Operationsbasis. Dafür verwendet er Energie um diese Kanäle offen zu halten. Desto weiter er in die Infrastruktur vorgedrungen ist, desto mehr Energie muss er zum Aufrechterhalten investieren. Hingegen ist der digitale Verteidiger in seiner eigenen Infrastruktur zu Hause und hat die größte Auswahl an Möglichkeiten. Somit  hat er auch eine gesicherte Verbindung zu seinem Security Operations Center (fünfzehntes Kapitel).

Sechstes Buch: Verteidigung

Die stärkste Form der Kriegsführung ist laut Clausewitz die Verteidigung. Dies erkennt man auch schon daran, dass das sechste Buch den größten Umfang in seinem Werk einnimmt. Der digitale Verteidiger gibt diese Stärke nur auf, wenn er die Verteidigung vernachlässigt. Entweder indem er passiv bleibt oder sogar die falschen Erkennungsmethoden einsetzt.

Verteidigung darf aber nicht passiv gesehen werden, wenn sie die stärkste Form der Kriegsführung werden soll. Im ersten Teil besteht die digitale Verteidigung aus Abwarten. Aber nur um dann aus der starken Position heraus aktiv zurückzustoßen und den digitalen Angreifer niederzuwerfen (erstes Kapitel). Hat der Verteidiger einen bedeutenden Vorteil errungen, muss er diesen nutzen (fünftes Kapitel). Die Verteidigung hat auf jeden Fall nichts mit Not und Verwirrung zu tun.

»Verteidigung ist das Prinzip des Abwartens mit dem positiven (aktiven) Handeln zu verbinden, sobald der Vorteil des Abwartens erschöpft ist.«

Der Zweck der Verteidigung ist das Erhalten. Das Erhalten ist leichter als dazu zu gewinnen. Jedes Unterlassen eines digitalen Angriffs landet in der Waagschale des digitalen Verteidigers.

»In der Taktik ist jedes Gefecht ein verteidigendes, wenn wir dem Feinde die Initiative überlassen und sein Erscheinen vor unserer Front abwarten. Von diesem Augenblick an können wir uns aller offensiven Mittel bedienen, ohne dass wir die Vorteile (das Abwarten und den der Gegend) der Verteidigung verlieren. In der Strategie tritt zuerst der Feldzug an die Stelle des Gefechts, und das Kriegstheater an die Stelle der Stellung. Dann der ganze Krieg wieder an die Stelle des Feldzugs und das ganze Land an die Stelle des Kriegstheaters.«

Die Überraschung, der Vorteil der Gegend und der Überfall von mehreren Seiten führen im Gefecht zum Sieg. In der digitalen Auseinandersetzung hat der Verteidiger den Vorteil, dass er die eigene Infrastruktur (Gegend) kennt. Mit den geeigneten Mitteln kann er den Feind von mehreren Seiten niederwerfen.

Der digitale Angreifer hingegen hat nur den Vorteil der Überraschung (zweites Kapitel).

Die Hauptprinzipien der strategischen Wirksamkeit sind folgende (drittes Kapitel):

Hauptprinzipien Verteidiger Angreifer Der Vorteil der Gegend. Also der eigenen digitalen Infrastruktur. Im Vorteil   Die Überraschung, entweder im eigentlichen Überfall, oder durch die unvermutete Aufstellung größerer Kräfte auf gewissen Punkten. Kann im Verlauf des Gefechts unaufhörlich überraschen. Also digitale Zugriffe entziehen, usw. Vorteil im Überfall Der Überfall von mehreren Seiten.   Durch den größeren Raum nur für denjenigen möglich, der die Initiative hat. Der Beistand des Theaters durch Festungen und alles, was dazugehört. In der digitalen Auseinandersetzung, die Verteidigungsmittel. Die Verteidigende Armee genießt den Beistand ihrer Festungen und ist ihren Hilfsquellen näher.   Der Beistand der Mitarbeiter des Unternehmens. Im Vorteil   Die Benutzung großer moralischer Kräfte. Gleichgewichtig Gleichgewichtig

Tabelle 2: Hauptprinzipien strategischer Wirksamkeit

Der digitale Verteidiger wird in der Taktik und Strategie als stehend gedacht. Dagegen ist der Angreifer in Bewegung. In der Taktik hat er den Vorteil, die Wahl eines konzentrischen (zur Mitte) oder exzentrischen (außerhalb der Mitte) Angriffs zu haben (viertes Kapitel).

Die Verteidigung der gesamten digitalen Infrastruktur, wartet auf den Angriff der gesamten digitalen Infrastruktur. Die Verteidigung der Daten/Identität/Endpunkte, wartet auf den Angriff der Daten/Identität/Endpunkte. Jede darauf folgende aktive Tätigkeit hebt den Begriff der Verteidigung nicht auf (achtes Kapitel).

Die Verteidigung besteht aus dem Abwarten und anschließendem Handeln.

Die Verteidigung kann in verschiedenen Stufen geschehen.

1. Sobald der Feind in die digitale Infrastruktur eindringt.

2. Indem er eine Stellung in der Nähe des digitalen Perimeters einnimmt.

3. Indem der tatsächliche digitale Angriff abgewartet wird.

4. Indem man den Widerstand in das innere der digitalen Infrastruktur verlegt.

Die Vorteile des Abwartens nehmen mit jeder Stufe zu. Mit jeder Stufe wächst das Übergewicht des digitalen Verteidigers.

»Der Zweck des Angriffs ist in den Besitz (eines bedeutenden Teils) unseres Kriegstheaters zu kommen. So erfolgt der Zweck, dass bei den ersten drei Stufen der Verteidigung, d. h. wenn sie an der Grenze geschieht, schon die Nichtentscheidung des Angreifers ein Erfolg sein kann.«

Entschließt sich der Feind gar nicht anzugreifen, weil die Investitionen in digitale Verteidigung ihn bereits abgeschreckt haben, so war der digitale Verteidiger erfolgreich. Und der Return-on-Invest in die digitale Verteidigung hat sich bewiesen.

Der Verteidiger hat zwei Möglichkeiten den Feind niederzuwerfen. Entweder durch das Schwert des Verteidigers. Oder der Angreifer geht durch seine eigene Anstrengung zu Grunde.

Solange der Verteidiger den Feind abwartet kann er sich danach einer Taktik bedienen, welche im Anschluss einer vollkommenen Angriffsschlacht gleicht. Hier gibt es keine Grenze bei der Abstufung. Der offensive Teil der Schlacht, muss aber immer Bestandteil der Verteidigung bleiben (neuntes Kapitel).

Der digitale Verteidiger weiß nie, welche Ressourcen zum Sieg beitragen und somit zum Return-on-Invest beitragen. Am Ende sind es immer die Summe aller Maßnahmen. Der Angreifer weiß hingegen, welche Taktiken er nutzt, was sie kosten und was er dafür zu zahlen bereit ist (Schlussbemerkung zum ersten bis neunten Kapitel).

Mit den damaligen Festungen, können parallelen zu heutigen Stützen der digitalen Verteidigung gezogen werden (zehntes Kapitel). Firewallsysteme, Endpoint Detection and Response, Schutz für die Kronjuwelen, Datensicherungen und so weiter. Zur Umgehung von Festungen konnten unbequeme Nebenwege genutzt werden. Dies entspricht digitalen Schwachstellen oder Fehlkonfigurationen. Sie sind auch nicht bequem, benötigen mehr Energie beim Angreifer, funktionieren aber.

Festungen gehören bevorzugt an die Grenzen. Der digitale Perimeter befindet sich heute in den meisten Fällen am Endpunkt und bei der digitalen Identität. Hier müssen digitale Verteidiger die passenden Verteidigungsmittel vorhalten.

Übergangspunkte in die digitale Infrastruktur gehören durch den digitalen Verteidiger ordentlich gesichert. Sei es in der Taktik durch Firewall-Systeme, Conditional Access oder ähnliche Maßnahmen (neunzehntes Kapitel).

Desto mehr der digitale Verteidiger mit einer Gefechtskombination überraschen kann, desto größer wird sein Vorteil. Die Verteidigungsstellung nähert sich ihrem Ideal, je versteckter ihre Stärke ist (zwölftes Kapitel).

Aufgrund der Menge an anfallenden Logdaten sieht der Verteidiger oft den Wald vor lauter Bäumen nicht (einundzwanzigstes Kapitel). Hat der digitale Verteidiger diesen Umstand erkannt, kann er ihn aber mit passenden Mitteln, wie SOAR/SIEM oder Machine Learning beheben.

Digitale Angreifer benötigen gewisse Punkte um tief in die digitale Infrastruktur eindringen zu können. Seien es die digitalen Kronjuwelen oder Identitäten mit digitalen Generalschlüsseln (Domänen-Admins).

»Wenn es eine Gegend gibt, ohne deren Besitz man es nicht wagen darf, in das feindliche Land einzudringen, so wird sie mit Recht der Schlüssel des Landes genannt.«

Das Ziel digitaler Angreifer ist es einen Sieg zu erreichen der alles mit sich fort reißt (siebenundzwanzigstes Kapitel). Dieses Prinzip haben sich alle digitalen Erpresser bisher zu Nutze gemacht. Dies führt zu einem Vergleich mit dem Schwerpunkt der Mechanik. Ein aktiver digitaler Verteidiger kann sich dieses Prinzip auch zu Nutze machen. Indem er den Eindringling mit aller Macht und Stärke niederwirft und ihn verdrängt. Die Hauptschlacht ist also der Stoß eines Schwerpunkts gegen den anderen Schwerpunkt (achtundzwanzigstes Kapitel).

»Wir glauben also, dass ein Verteidiger, der sich mit vereinigter Macht in einer gut gelegenen Stellung befindet, das Vorbeigehen des Gegners ganz ruhig abwarten kann, und dass, wenn dieser ich nicht in seiner Stellung aufsucht und wenn die Wirkung auf dessen Verbindungslinie den Umständen nicht entsprechen sollte, ihm in dem Seitenanfall ein vortreffliches Mittel zur Herbeiführung der Entscheidung bleibt.«

Selbst ein schwerer digitaler Angreifer mit mehreren 10.000 Bitcoins in der Hinterhand, wird nicht seine ganzen Rücklagen investieren um einen deutsches kleines- oder mittelständisches Unternehmen niederzuwerfen.

Es gibt in der Strategie immer eine Ökonomie der Kräfte (neunundzwanzigstes Kapitel). Es geht um den Grundsatz: So viel wie nötig, so wenig wie möglich.

Digitale Auseinandersetzungen sind von Unvollkommenheit und Zufällen übersäht. Auf diesem Gebiet kann der digitale Verteidiger Früchte ernten (dreißigstes Kapitel). Seine Gegner sind nicht perfekt. Auf der Gegenseite ist der digitale Verteidiger in seiner Infrastruktur zu Hause und arbeitet mit deutlich weniger unvorhersehbaren Variablen.

Überall wo der digitale Verteidiger mit seinen Streitkräften ist, muss der digitale Angreifer aktiven werden. Genau an diesen gedeckten Stellen kann der digitale Verteidiger den Vorteil des Abwartens verwenden.

»Gewöhnlich gelten die Verteidigungen, welche sich der aktiven oder gar offensiven Mittel am Meisten bedienen, für die besseren. Allein teils hängt dies sehr von der Natur der Gegend, der Beschaffenheit der Streitkräfte und selbst von dem Talent des Feldherren ab.«

Skizzen zum siebten Buch: Der Angriff

Die Seitenzahl vom Angriff ist deutlich geringer, als das von der Verteidigung. Das Buch ist das skizzenhafteste geblieben, und sollte wohl eher "Einiges vom Angriff" heißen (Vorbemerkung).

Der Angriff ist unabdingbar mit der Verteidigung durchmischt. Hat ein digitaler Angreifer eine digitale Identität gekapert, wechselt er die Strategie. Dann möchte er diese erhalten und muss somit verteidigen. Jeder Angriff endet mit einer anschließenden Verteidigung (zweites Kapitel).

Die Angriffsmittel bestehen aus den Streitkräften des digitalen Angreifers und aus dessen Festungen außerhalb des feindlichen Gebiets. Solche Festungen können beispielsweise Command-and-Control Server sein.

Die digitale Infrastruktur des Verteidigers ist ein Gegenstand der erobert werden kann. Der digitale Angreifer muss aber nicht immer den ganzen Gegenstand erobern um in Friedensverhandlungen ein Ass im Ärmel zu haben (drittes Kapitel).

Digitale Angreifer werden mit weiterem Fortschreiten immer mehr geschwächt (viertes Kapitel). Hat er eine digitale Identität gekapert muss er diese verteidigen. Bekommt er anschließend Kontrolle über einen Endpunkt, muss er auch diesen verteidigen. Kann er einen privilegierten Benutzer erobern, muss er diesen auch noch verteidigen. Und das Ganze ist mit der Unsicherheit gepaart die Kommunikation zur Operationsbasis verlieren zu können.

Ist der Angreifer physisch und moralisch überlegen, so ist er erfolgreich. Dem steht entgegen, dass sich die Kraft des digitalen Angreifers mit weiterem Fortschreiten erschöpft. Erhält sich der Angreifer das Übergewicht bis zum Frieden, so hat er seinen Zweck erreicht (fünftes Kapitel).

Um sein Ziel zu erreichen möchte der digitale Angreifer das feindliche Security Operations Center und dessen Werkzeuge niederwerfen. Das ist das Mittel zum Ziel (sechstes Kapitel). Dabei kann er mehrere Abstufungen verfolgen:

1. Nur das nötigste vernichten.

2. Oder so viel wie möglich vernichten.

3. Die Schonung seiner Ressourcen als Hauptgesichtspunkt.

4. Nur bei günstiger Gelegenheit anzugreifen.

Hat der digitale Verteidiger die richtigen Werkzeuge und Stellen ausgewählt, zwingt er den Gegner diese anzugreifen (neuntes Kapitel). Viele Defensivstellungen digitaler Verteidiger verfehlen aber dieses Ziel.

»Defensivstellungen zwingen den Angreifer, diese entweder anzugreifen oder sein Vorschreiten aufzugeben. Nur solche die das bewirken sind zweckmäßig und geeignet.«

Alle Vorteile des Verteidigers kann der digitale Angreifer nur durch Überlegenheit wieder gut machen (fünfzehntes Kapitel). Vorsicht ist die Grundlage digitaler Verteidigung. Kühnheit und Zuversicht sind die Grundlage digitaler Angreifer. Auch kann der digitale Angreifer seine Kräfte besser beurteilen, als der Verteidiger (sechzehntes Kapitel).

Erobert der digitale Angreifer eine Festung schwächt er den Verteidiger. Dies bringt dem Angreifer ein intensives Fortschreiten (siebzehntes Kapitel). Kann er beispielsweise alle Datensicherungen löschen, bevor die Verschlüsselung beginnt hat er einen solchen Fortschritt erreicht. Digitale Angreifer wählen die Festungen danach aus, ob sie bequem zu behalten sind, ob er die Mittel zur Eroberung dafür hat oder ob sie ihm in der Friedensverhandlung einen Vorteil gewähren. Der digitale Angreifer zielt darauf ab aus seinem Angriff eine Verteidigung machen zu können.

Nicht in jeder digitalen Auseinandersetzung kann der Angreifer den Gegner komplett niederwerfen. Es tritt dann ein Kulminationspunkt des Sieges ein (einundzwanzigstes Kapitel). Dieser ergibt sich aus dem Übergewicht einer beteiligten Partei.

Das Übergewicht des digitalen Angreifers ist nicht der Zweck, sondern nur das Mittel. Der Zweck ist den Feind niederzuwerfen. Oder zumindest einem Teil der digitalen Infrastruktur zu schaden. Um daraus einen Vorteil in den Friedensverhandlungen zu erzielen.

Die Geschäftsleitung muss im Fall einer wichtigen digitalen Auseinandersetzung eingebunden werden:

»Führt der Fürst sein Heer selbst nicht an, ist er demselben nicht mehr nahe. Durch das Hin- und Herfragen ergibt sich ein Zeitverlust. Die größte Vollmacht eines Heerführers kann den weiten Raum seiner Wirksamkeit nicht ausfüllen.«

Der IT-Sicherheitsbeauftrage (Feldherr) muss abschätzen und erraten, ob der Feind nach einem Stoß noch die gleiche Festigkeit zeigt. Erraten, wie groß die Schwächung ist wenn ein Kommunikationskanal geschlossen wird. Hier ist eine gewisse Treffgenauigkeit des IT-Sicherheitsbeauftragten gefragt.

»So geschieht es denn, dass die große Mehrheit der Feldherren, lieber weit hinter dem Ziel zurückbleibt, als sich ihm zu sehr zu nähern. Nur wer mit geringen Mitteln großes tut, hat das Ziel glücklich getroffen.«

Skizzen zum achten Buch: Kriegsplan

Es gibt nur einen Erfolg und zwar den Enderfolg. Ein digitaler Angreifer ist nur erfolgreich, wenn er den Verteidiger auch tatsächlich erpressen kann. Davor hat er nichts gewonnen und nichts verloren (drittes Kapitel).

Die Theorie fordert, dass die Verteidigungsstrategie komplett durchdacht wird. Von ganz vorne bis ganz hinten. Angefangen vom Eindringen des Feindes, einer Unterstützung im Schadensfall (Incident Response) bis zu einer schnellen Wiederherstellung (MTTR) im schlimmsten Fall.

Um diese Strategie abzuleiten muss einerseits die Landschaft digitaler Angreifer verstanden werden. Darüber hinaus muss der digitale Verteidiger sich selbst kennen. Diese beiden ineinandergreifenden Verhältnisse muss der IT-Sicherheitsbeauftragte überblicken.

»Das Urteil über Zweck und Mittel eines bevorstehenden Krieges kann also nur aus dem Gesamtüberblick aller Verhältnisse entstehen. Und dies kann nie nur rein objektiv sein. Sondern durch die Geistes- und Gemütseigenschaften der Fürsten, Staatsmänner und Feldherren bestimmt wird, sei es, dass diese Personen vereinigt sind oder nicht.«

Hat ein digitaler Verteidiger resiliente Datensicherungen kann er standhaft bleiben. Das heißt für den digitalen Angreifer, dass er seinen Zweck trotz komplettem Niederwerfen des Gegners nicht erreicht hat. Deshalb setzen digitale Angreifer auch vermehrt auf das Klauen von sensiblen Daten um weitere Erpressungsmöglichkeiten zu haben.

Folgende Umstände führen hauptsächlich zum Niederwerfen des Gegners (viertes Kapitel):

1. Zerstörung der digitalen Streitkräfte (Security Operations Center, beim Verteidiger).

2. Eroberung digitaler Kronjuwelen (Geschäftsgeheimnisse, beim Verteidiger).

3. Ein wirksamer Stoß gegen zentrale digitale Identitäten.

Dagegen verfolgt der digitale Verteidiger oft ein beschränktes Ziel. Nämlich den Erhalt der eigenen digitalen Infrastruktur (fünftes Kapitel). Dabei entscheidet die Geschäftsführung über den Umfang der digitalen Verteidigung und ist deren erste Intelligenz. Die zuständige Fachabteilung ist letztendlich nur das dazu notwendige Instrument (sechstes Kapitel).

Einen Erfolg wird der digitale Verteidiger aber nur erreichen, wenn seine Strategie aktiv ist und auf Entscheidungen beruht. Ein bloßes passives Abwarten führt keinen strategischen Erfolg herbei (achtes Kapitel). Dies ist der Hauptunterschied zwischen klassischer Denkweise in deutschen KMU und der heute notwendigen Sichtweise.

• Früher konnten digitale Verteidiger Systeme zur Verteidigung installieren (Firewall oder Antivirus) und passiv laufen lassen.

• Heutige Angriffsweisen fordern ein aktives Security Operations Center um digitale Angriffe erfolgreich abzuwehren.

Hier weist Clausewitz schon darauf hin, dass der Chief Information Security Officer (CISO) auf der Ebene der Geschäftsführung anzusiedeln ist:

»Soll die Politik den Mitteln zum Krieg angemessen sein, so bleibt, wo der Staatsmann und der Soldat nicht in einer Person vereinigt sind, nur ein gutes Mittel übrig, nämlich den obersten Feldherren zum Mitglied des Kabinetts zu machen. Das ist aber nur möglich, wenn das Kabinett in der Nähe des Kriegsschaulatzes ist, und die Dinge ohne Zeitverzögerung geschehen können.«

Kriegspläne digitaler Angreifer konzentrieren sich auf die Schwerpunkte ihrer Opfer und handeln so schnell wie möglich. Dies bringt sie in den Friedensverhandlungen in eine starke Stellung. Jeder unnütze Weg und jede Verschwendung wird vermieden. Diese Denkweise müssen digitale Verteidiger ebenfalls adaptieren.

Im Endeffekt möchte die digitale Verteidigung folgendes erreichen:

»Das Notwendige und Allgemeine wollen wir herausheben, dem Individuellen und Zufälligen einen Spielraum lassen, aber alles Willkürliche, Ungeordnete, Spielende, Phantastische oder Sophistische entfernen. Haben wir diesen Zweck erreicht, so sehen wir unsere Aufgabe als gelöst an.«

Fazit

In der Strategie sind Zweck und Mittel immer zu unterscheiden. Der digitale Verteidiger hat die Erhaltung seiner Infrastruktur zum Zweck. Der digitale Verteidiger hat die stärkere Stellung, aber nur wenn er seine Verteidigung aktiv gestaltet. Clausewitz benennt Anfang des 19. Jahrhunderts bereits die größte Schwäche von heutigen Ransomware-Opfern. Deren passive Denkweise in der digitatlen Verrteidigung. Eine clevere Geschäftsleitung erkennt diesen Umstand. Die Verteidigung anschließend aktiv zu gestalten ist dann nur noch eine Sache der Umsetzung.