Den größten Wandel der vergangenen zwei Jahrzehnte sieht die Runde in der explosionsartigen Vergrößerung der Angriffsfläche. Wo früher Firewalls, Endpunktsicherheit und kabelgebundene Systeme im Vordergrund standen und praktisch alles lokal im eigenen Rechenzentrum lief, lösen heute Cloud-Computing, IoT, Remote-Infrastruktur, APIs, SaaS-Anwendungen, Lieferketten und KI-Systeme mit nicht-menschlichen Identitäten die klaren Netzwerkgrenzen auf. Kelly Jackson Higgins erinnert an die Anfangszeit, in der sich alles um die Arbeitsplatzrechner, Server und die zugehörige Infrastruktur drehte.
Als eigentlichen Wendepunkt nennen die Beteiligten die Pandemie. Über den Umzug in die Cloud sei lange geredet worden, doch erst als Mitarbeiter ins Homeoffice geschickt wurden – teils mit eigenen Geräten in privaten WLAN-Netzen –, sei die Kontrolle über das hauseigene Netzwerk verloren gegangen. Terry Sweeney und Fahmida Rashid ordnen ein, dass die Bewegung in Richtung Cloud mit Anbietern wie Azure, AWS und Google bereits vor der Pandemie begann; 2020 habe diese Infrastruktur dann einem beispiellosen Belastungstest unterzogen – bis hin zur Frage, ob das Internet den gleichzeitigen Andrang auf Zoom, Teams und WebEx überhaupt tragen könne. Sweeney merkt zudem an, dass Sicherheit beim Wechsel in die Cloud oft erst nachträglich bedacht worden sei.
Parallel dazu verschob sich auch die Denkweise der Branche. Werbeversprechen wie “unhackbar”, “kugelsicher” oder “hackerfest”, die früher fast täglich in Mitteilungen auftauchten, sind verschwunden – wer sie heute verwende, mache sich zur Zielscheibe. Higgins datiert den Umschwung auf etwa 2012, als sie auf der RSA-Messe ein Startup entdeckte, das für das US-Verteidigungsministerium ein Gerät vorstellte, das Angreifer im Netzwerk nicht abwehrte, sondern beobachtete, Erkenntnisse sammelte und den Schaden eingrenzte. Aus dem Leitbild “den Gegner am Tor aufhalten” sei erst die Frage geworden, wann ein Angriff erfolgt – und schließlich die Annahme, dass man bereits kompromittiert ist. Das Schlagwort heißt heute Resilienz: handlungsfähig bleiben und sich schnell erholen.
Trotz aller technischen Fortschritte hapert es nach Einschätzung der Redaktion weiter an den Grundlagen. Rashid verweist darauf, dass Social Engineering einst als ausgefeilter Angriff galt – etwa beim Vorfall um RSAs SecurID, der mit einem Phishing-Link begann. Beim Anlagenverzeichnis sei man nach 20 Jahren noch immer schlecht aufgestellt. Higgins ergänzt das seit zwei Jahrzehnten diskutierte Prinzip der minimalen Rechtevergabe: Identitäten seien längst nicht mehr nur Nutzer am PC, sondern auch KI-Agenten, Maschinenidentitäten und kurzlebige API-Identitäten – häufig mit zu weitreichenden Rechten ausgestattet. Sweeney kritisiert, dass es keine branchenweite Anstrengung gebe, diese nicht-menschlichen Identitäten zu standardisieren; entsprechende Konzepte kämen bislang vor allem von Startups, während große Identitätsanbieter wie Active Directory und LDAP noch nach Antworten suchten.
Mit Blick nach vorn warnt die Runde davor, die Grundlagen im Überschwang um KI zu vernachlässigen. Seals verweist auf einen Bericht über per “Vibe Coding” erstellte Schadsoftware, die ihr Ziel verfehlte – aufgehalten durch Netzwerksegmentierung, starke Passwörter und Multifaktor-Authentifizierung. Genau diese Grundlagen, so das Fazit, müssten zuerst sitzen, bevor man sich um alles andere kümmere.
