Cybersicherheitsexperten fordern mehr Transparenz bei Datenpannen, um branchenweite Lerneffekte zu ermöglichen — ähnlich wie in der Luftfahrt oder Medizin. Derzeit werden Sicherheitsverstöße oft vertuscht statt öffentlich analysiert.
Die Cybersicherheitsbranche muss ihre Herangehensweise an Datenpannen grundlegend überdenken. Das fordern Sicherheitsexperten wie Adam Shostack und Adrian Sanabria, die auf der kommenden RSAC Conference in San Francisco (23.–26. März) ihre These vertreten: Nur durch detaillierte Offenlegung von Sicherheitsvorfällen kann die Industrie das Cyberrisiko nachhaltig senken.
Shostack, Gründer von Shostack and Associates, und Sanabria, Leiter von The Defender’s Initiative, kritisieren, dass der Cybersicherheitssektor formal strukturierte Rückmeldeprozesse nach großen Sicherheitsverstößen völlig vermissen lässt. In anderen sicherheitskritischen Bereichen — wie Luftfahrt, Medizin oder Gesundheitswesen — sind solche Feedbackschleifen Standard. Flugzeugunglücke oder Behandlungsfehler werden akribisch untersucht, um künftige Vorfälle zu vermeiden.
In der Cybersicherheit ist die Situation anders: Bruchenmeldungen werden typischerweise als rechtliche Risiken oder Schande behandelt, die unter den Teppich gekehrt wird, statt sie als branchenweit nutzbare Lernmöglichkeiten zu sehen. “Wenn du einen Fehler gemacht hast, gib es zu und erzähl uns, was passiert ist,” sagt Shostack. “Das sollte das Leitprinzip sein.”
Sanabria betont, dass erfolgreiche Cyberangriffe selten auf eine Ursache zurückgehen. Stattdessen sind es Ketten kleinerer Fehler: fehlende Patches, fehlkonfigurierte Systeme, schwaches Monitoring, unzureichendes Testing. “Es gibt dutzende Kontrollen, die den Angreifer hätten stoppen sollen — und keine hat funktioniert.” Wenn Organisationen diese Details offenbarten statt sie zu verstecken, könnte die gesamte Branche profitieren.
Es gibt mehrere Gründe, warum transparente Durchleuchtungen von Pannen bislang ausbleiben. Ein wesentlicher ist die Rolle von Unternehmensanwälten, die ihre Mandanten vor Transparenz warnen — aus Angst vor Klagen und Haftung. Shostack weist auf den kulturellen Unterschied zwischen Juristen und Ingenieuren hin: Während Anwälte verpflichtet sind, die Interessen ihrer Mandanten zu schützen, haben Ingenieure eine Verantwortung für öffentliche Sicherheit. “Wenn eine Brücke einstürzt oder ein Flugzeug abstürzt, analysieren wir detailliert, was geschah. Bei Cybervorfällen nicht.”
Zusätzlich fehlte lange regulatorische Struktur. Das Cyber Safety Review Board (CSRB), inspiriert vom National Transportation Safety Board, sollte dieses Modell etablieren. Es veröffentlichte mehrere Reports — doch die aktuelle Trump-Administration entließ alle Mitglieder im Januar, während CSRB gerade die Breaches der Telekommunikationsfirmen durch die chinesische APT Salt Typhoon untersuchte. Damit ist die Institution faktisch handlungsunfähig.
Sanabria hat monatelang öffentlich verfügbare Bruchdaten — Kongressberichte, Regulierungsakten, Klagen, After-Action-Reports — analysiert und findet: “Es gibt einen Schatz an Daten.” Doch die Bruchnarrative werden übersehen und vereinfacht. Beim Equifax-Breach 2017 fokussierten Headlines auf eine ungepatchte Apache-Struts-Lücke. Kongressmaterialien enthüllten später tiefere Probleme: Kommunikationspannen, Testdefizite. “Was alle im Gedächtnis behalten, ist der erste Tag,” erklärt Sanabria. “Die echten Lektionen kommen 18 Monate später — wenn niemand mehr das 171. Seite eines Reports liest.”
Es gibt positive Beispiele: Die British Library veröffentlichte nach einem Ransomware-Angriff 2023 detaillierte After-Action-Reports. Kanadas Datenschutzkommissionäre analysierten den PowerSchool-Breach. Die US FTC gibt detaillierte Beschwerdeschriftsätze ab. Doch diese Quellen gehen meist nicht tief genug, um umfassende Narrative zu vermitteln.
Ohne solide Daten und empirische Erkenntnisse riskiert die Branche, in “Beschäftigungsgeneratoren” zu investieren — Tools und Compliance-Maßnahmen, die echtes Risiko nicht senken. “Jede andere Industrie, die Sicherheit ernst nimmt, baut Feedbackschleifen auf,” mahnt Sanabria. “Ohne Daten ist Risikominderung Glücksspiel.”
Shostack und Sanabria plädieren für institutionalisierte Transparenzmechanismen: anonymisierte Berichte, verzögerte Offenlegungen, regulatorische Schutzbestimmungen für gutwillige Transparenz. Das Ziel ist nicht öffentliche Schande, sondern kollektives Lernen. “Moderne Ingenieurwissenschaften bauen auf Fehlerstudien auf,” schließt Shostack. “Das haben wir in der Cybersicherheit viel zu wenig.”
Quelle: Dark Reading