Im Bullshit-Bingo bei Diskussionen um IT-Sicherheit ist der „Digitale Zwilling“ eine nahezu sichere Bank. Aber, ist das nun die Lösung aller Probleme?
Zuerst gilt das, was bei allen Verarbeitungs- und Unterstützungsprozessen in der IT-Informationssicherheit schon immer richtig war: shit in, shit out. Heißt, die Analyse von Schwachstellen, das Aufzeigen von potenziellen Angriffsmustern oder direkten Angriffspfaden kann immer nur so gut sein, wie die Informationen, auf denen sie fußen.
Habe ich ein eher rudimentäres Abbild meiner Infrastruktur, wird die Alarmierungsquote entsprechend hoch, da ohne spezifische Informationen bzw. detaillierter Attributierungen meiner Assets die Risikobeurteilung erst einmal davon ausgehen muss, dass der spezifische Schutz der Komponenten gering und die Korrumptionsgefahr entsprechend hoch ist.
Es bieten sich – wie so oft im Leben – zwei grundsätzlich unterschiedliche Ansätze der Erstellung eines Zwillings an. Erstens, das Sammeln aller relevanten Informationen im Vorfeld. Zweitens die iterative Reifung des Modells.
Wer seine Brötchen als Berater in der Risikoanalyse verdient, weiß, dass das Sammeln aller Informationen im Vorfeld nahezu aussichtslos ist. Alle verfügbaren Unternehmensressourcen werden gebraucht, um das Tagesgeschäft am Laufen zu halten. Verschärfend kommen die Aufgaben dazu, die der Gesetzgeber, gerne mit wenig Vorlauf für die Umsetzung, formuliert und strafbewehrt einfordert. Zu besseren, weil praxisnäheren Ergebnissen kommt man also dann, wenn das erste Modell feuerrot blinkt und die Verantwortlichen Eifer an den Tag legen, um aufzuzeigen, dass die gelebte Wirklichkeit tatsächlich deutlich besser aussieht. In vielen kurzfristigen Iterationen reift das Modell erheblich schneller zu Aussagefähigkeit, als der Vorfeld-perfekt-Sammel-Anlauf.
Habe ich nun meinen digitalen Zwilling so weit, dass ich valide Ableitungen treffen kann, stellt sich die Frage, was ich mit den gewonnenen Informationen anfange.
Am Beispiel Log4J lässt sich gut verdeutlichen, dass ein sehr detailliert modellierter Zwilling hilft, überhaupt die Stellen zu identifizieren, an denen sich entsprechende Java-Scripte verbergen. Nicht gesagt ist damit, ob auch die Gefährdung für die IT-Infrastruktur eher gering oder dramatisch hoch ist. Der Kontext, in dem sich Log4J befindet, entscheidet darüber, ob dringender Handlungsbedarf besteht oder Gelassenheit bei der Behebung des einmal erkannten Übels ohne Schaden bleibt.
Wäre es da nicht enorm hilfreich, wenn sich der Digitale Zwilling aus aktuellen Daten, zu jedem getriggerten Zeitpunkt selbst formt? Der Berater also nicht seine Beratungstage mit dem Sammeln von Informationen, dem Modellieren und Diskutieren, um die Richtigkeit der Informationen zu bestätigen, verbringen muss?
Wie so etwas in der Praxis für IT/OT und Cloud aussehen kann, zeigen wir Ihnen erstmals auf der diesjährigen it-sa in Nürnberg. Bleiben Sie gespannt.