Patch me if you can: Passwort mit ins Grab genommen. Dumm gelaufen.

Die Welt ist voller Gefahren. Meist geht – in der IT wie im „richtigen Leben“ – im Großen und Ganzen erstaunlich vieles gut. Nicht so für den Kanadier Gerald Cotten, der am 9. Dezember 2018 in Indien mit nur 30 Jahren plötzlich an Komplikationen einer Vorerkrankung verstarb. Neben der persönlichen Tragödie für Cottens Familie und Freunde gab es ein weiteres Problem – und zwar für Cottens Kunden: Als CEO der größten kanadischen Kryptobörse QuadrigaCX hatte anscheinend nur er allein Zugriff auf die privaten Schlüssel der sogenannten „Cold Wallets“, also der sicheren Speicherorte der Reserven von über 100 000 Menschen. Nun stecken rund 180 Millionen kanadische Dollar (circa 120 Mio. Euro) in Kryptowährungen wie Ether fest: Sie können prinzipbedingt nicht mehr transferiert werden und sind somit wertlos, sollten die Keys nicht doch noch aufgetrieben werden können. Klarer Fall, ein „schwarzer Schwan“, also ein derart unwahrscheinliches Ereignis, dass man es unmöglich hatte betrachten können? Mitnichten.

Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und Über-Cyber-Schreiben: Im Hauptberuf CTO bei der intcube GmbH, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Ereignisse und allgemeingültige Wahrheiten der Informationssicherheit aus.

Denn das Geschrei ist nun natürlich groß: Hätte, hätte, Fahrradkette, Vertretungsregelung, Backup, Notfallplan, Disaster Recovery und so weiter. Wie konnte denn nur der Chef allein?? Und überhaupt, wo war die Regulierung??! Die Frage, ob der Schwan wirklich schwarz war oder möglicherweise doch eine Graugans, die sich keiner anschauen wollte, stellt sich rückblickend manchmal in anderem Licht dar.

Einmaleins des Notfallmanagement

Wenn man die große Politik einmal beiseitelässt, hat hier „einfach“ nur das Risikomanagement gründlich versagt. Nichtverfügbarkeit eines Top-Executive, ob durch Tod, Entführung oder Abwerben durch die Konkurrenz, gehört nun mal zum Einmaleins des BCM (Business Continuity Management) jedes größeren Unternehmens. Nur dass QuadrigaCX kein größeres Unternehmen ist beziehungsweise war. Sondern ein Start-up – mit einem einzigen Angestellten, dem nun verstorbenen Chef. Was lehrt uns das? Die folgende Auflistung bedeutet keine Priorisierung, versucht immerhin aber eine Sortierung vom Speziellen zum Allgemeinen:

Erstens: Kryptowährungen sind nur etwas für Wagemutige. Bitcoin und Co. haben wieder einmal ihre Eignung als „Mathevernichtungswaffen“ („Weapons of Math Destruction“, WMD) bewiesen. „Guns don’t kill people, people kill people“ inklusive, geschenkt.

Zweitens: Jede Branche, jede Organisation und jeder von uns hat seine oder ihre blinden Flecken. Dass niemandem auffiel, dass die Verfügbarkeit von schwindelerregenden Vermögenswerten einzig im sterblichen Hirn eines Jungunternehmers verankert war, scheint rückblickend zwar verrückt und wäre in der Form bei einer Bank niemals vorgekommen. Dafür wissen aber andere nicht, dass ihr Brandbekämpfungssystem festplattenkillenden Lärm erzeugen würde, und wieder andere glauben, dass ihr MPLS-„VPN“ Verschlüsselung macht. Alle kochen in der IT mit Wasser, auch wenn sich Temperatur und Geschmack im Einzelnen unterscheiden mögen.

Drittens: Raus kommt man aus dieser gefährlichen Betriebsblindheit ohne externen Blick nicht. Ein Management (oder Manager) allein kann einfach nicht den Test machen, ob der Laden ohne sie oder ihn noch laufen würde.

Viertens: Ein jeder kehre vor seiner eigenen Tür. Denn versagt haben im Prinzip die Risikoprozesse aller Kunden von QuadrigaCX, die ihr Geld niemals einem Unternehmen mit derart wenig Reife hätten anvertrauen dürfen. Allerdings können Lieferketten lang sein heutzutage, auch für Verbraucher, und man kann nicht jedem XYZ as a Service selbst auf die Finger schauen. Daher braucht es die Regulierung oder aber durch bestimmte Stakeholder eingeforderte Rechenschaftspflicht und Audits.

Spiel mit Wahrscheinlichkeiten

Lassen sich solche blinden Flecken vermeiden oder verkleinern? Lange Zeit galt im Risikomanagement die Bewertung der Eintrittswahrscheinlichkeit als Königsdisziplin, für die man sich teure Experten ins Haus holen musste, auf dass sie in lange Excel-Tabellen willkürlich „1 %“ oder „10 %“ eintrügen. Es stellt sich heraus, dass in der heutigen komplex vernetzten Welt das Was (kann passieren?) noch relevanter ist als das Wie oft (passiert es?). Erst beim kreativen und systematischen Durchdenken und -spielen von Szenarien, was alles schiefgehen könnte, komme ich dazu, mir über alle Eventualitäten Gedanken zu machen.

Ein Schwan wird ja dadurch schwarz, dass ich die Augen schließe. Wir sollten versuchen, dies durch bewusstes Hingucken und (gezieltes) Ausblenden zu ersetzen. Etwa indem man ganz konkret den „Scope“ der Risikobewertung angibt. Oder weniger schwülstig ausgedrückt: auch das auflistet, was man als so unwahrscheinlich ansieht, dass es keinen Einfluss auf das eigene beziehungsweise das Organisationshandeln hat.

P. S.: Sollte sich doch noch herausstellen, dass Gerald Cotten seinen Tod in Indien nur inszeniert hat, würden sämtliche Argumente oben weiterhin zutreffen.

P. P. S.: Sollten Sie dieses lesen, wissen Sie immerhin, dass meine Wette, ohne weitere Backups für diese Kolumne auszukommen, diesmal gut gegangen ist.

Diese Kolumne ist in iX 03/2019 erschienen.

(ur)