Die Zeit ist reif für Cyber Security Management
Cyber Security als Geschäftsprozess etablieren
Jedes Unternehmen kann – unabhängig von seiner Größe und Branche – einer Cyber-Attacke zum Opfer fallen. Obwohl das Risiko bekannt ist, handelt die Mehrheit der Firmen alles andere als adäquat. Doch woran liegt das? Und was sollten Unternehmen tun?
Man liest immer wieder von spektakulären Cyber-Angriffen. „Uns kann das nicht passieren“, denken dann viele. Damit liegen sie falsch. Und diese Annahme kann fatale Folgen haben.
Mangelndes Verständnis für Cyber Security
Aber warum ist das so? Nun, vielerorts fehlt das Verständnis für Cyber Security – von den Risiken über die Folgen einer Cyber-Attacke bis hin zu geeigneten Vorkehr- und Gegenmaßnahmen. Bereits 2016 hat Gartner herausgefunden, dass 99 Prozent der Schwachstellen, die zu Einbrüchen führen, länger als ein Jahr bekannt sind. Seitdem hat sich die Technologie rasant weiterentwickelt. Der Umgang mit der allgegenwärtigen Bedrohung jedoch nicht.
Cyber Security ist komplex
Warum also gelingt es nicht, dieses Problem in den Griff zu bekommen? Eine Ursache besteht sicherlich darin, dass Cyber Security ein extrem komplexes Handlungsfeld ist. Viele Firmen wissen einfach nicht, an welchen Stellen und womit sie anfangen sollen. Dass es sehr viele gute Referenzen gibt, auf die Unternehmen zurückgreifen könnten, verschärft die Situation eher, als sie zu entlasten.
Das sind die wichtigsten Referenzen:
- Das MITRE ATT&CK Framework listet alle bekannten Angriffstechniken tagesaktuell auf und erklärt, wie man sie erkennt und mögliche Angriffe abwehrt. Eine Heatmap zeigt, welche Technologie in welcher Branche besonders oft angewendet wird. So erfahren Unternehmen, wie sie am wahrscheinlichsten angegriffen werden, und können ihre kritischsten Infrastrukturen, Daten und Systeme gezielt schützen.
- Das SANS Institute bietet ein umfangreiches Angebot an über 60 Schulungen und Zertifizierungen für Cyber-Security- Experten.
- Mit CIS Control 1 und CIS Control 2 verschaffen sich Unternehmen einen ganzheitlichen Überblick über ihr Netzwerk, inventarisieren ihre Endgeräte sowie Applikationen und kontrollieren ihr Inventar wirkungsvoll.
- Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Anlaufstelle, um Unternehmen mit kritischen Infrastrukturen (KRITIS) gegen externe Angriffe zu schützen.
- Das National Institute of Standards and Technology (NIST) zielt mit seinen Cyber-Security-Programmen darauf ab, die Entwicklung und Anwendung von Sicherheitstechnologien und -methoden zu fördern, um die Herausforderungen der Informationssicherheit zu bewältigen.
Vor diesem Hintergrund sollten Unternehmen wissen, was zu tun ist. Doch die Theorie in die alltägliche Praxis zu übertragen – darin besteht die eigentliche Herausforderung.
Es liegt nicht an der Technologie
Das heißt jedoch nicht, dass es keine geeigneten Tools gäbe. Das Gegenteil ist der Fall. Es gibt eine Vielzahl an leistungsstarken Security-Lösungen. Dementsprechend ist es nicht das Tooling, welches als Bremser wirkt. Es braucht vielmehr ein Umdenken in den Unternehmen. In diesem Kontext kommt die Cloud Security Studie 2021 von IDG Research, Arvato Systems und weiteren Partnern zu folgenden Ergebnissen:
- Security by Default ist die Ausnahme bei Cloud-Projekten – obwohl Unternehmen wissen, dass spätere Anpassungen in Sachen IT-Sicherheit sehr teuer sind.
- Der Cloud Provider ist der wichtigste Cyber-Security-Partner: Doch um die IT-Sicherheit langfristig hochzuhalten, ist zumeist zusätzliche Unterstützung durch ein externes Security Operations Center (SOC) nötig.
- Die Mehrheit der Unternehmen stellt kein Zusatzbudget für Cloud Security bereit. Viele glauben, der Cloud Provider sorge für die gebotene IT-Sicherheit. Das ist ein Irrglaube. Er tut das nur mit entsprechender Beauftragung.
- Büros gelten als sicherer als Remote-Arbeitsplätze. Selbst wenn das so sein sollte – was fraglich ist –, entspricht ein solcher Ansatz nicht mehr der Unternehmensrealität. Stattdessen wird die Komplexität der zu betreibenden Umgebung immer größer – bis hin zu Mobile-Work-Szenarien, bei denen Produktionsprozesse von überall her abzusichern sind.
Vorbereitet sein
Um dem entgegenzuwirken, sollten Unternehmen eine Reihe an Maßnahmen ergreifen:
- Mit geeigneten Technologien und Schutzmaßnahmen eine proaktive, kontinuierliche Bedrohungsanalyse etablieren.
- Durch die Nutzung von CIS Control 1 und CIS Control 2 sicherheitsrelevante Geräte und Datenquellen identifizieren.
- Die richtige Sensorik betreiben und Ressourcen gezielt koordinieren, um Geräte und Umgebungen zu schützen.
- Eindringlinge zuverlässig erkennen und im Angriffsfall schnell und richtig reagieren (Assume-Breach-Paradigma: Jedes Unternehmen muss davon ausgehen, einmal Opfer einer Cyber-Attacke zu werden).
- Sicherheitsziele definieren und fortlaufend managen.
Richtig handeln
Das bedeutet nichts Geringeres, als Cyber Security – wie jeden anderen Geschäftsprozess auch – operativ zu steuern. Ein Beispiel aus dem Schwachstellenmanagement (Vulnerability Management): Der Security Scan einer Umgebung liefert detaillierte Ergebnisse über die zum Vermessungszeitpunkt existierenden Risiken (Risk Score Metrik). Der gemessene Wert könnte zunächst bei 20.000 liegen, zwei Wochen später bei 25.000. Laut Scan hat sich das Gesamtrisiko erhöht. Darauf, ob man in der Zwischenzeit an der Problembehebung gearbeitet hat und ob das Vulnerability Management zuverlässig funktioniert, lassen solche Einzelbetrachtungen keine Rückschlüsse zu. Denn IT-Sicherheit ist kein statisches Thema.
Ein ewiger Kreislauf
Darum besteht die Lösung nicht darin, einen Security Score zu erstellen, dem aggregierte Zahlen auf Wochenebene zugrunde liegen. Vielmehr müssen Unternehmen die aktuelle Situation hinsichtlich Schwachstellen auf Detailebene sowie in Echtzeit untersuchen und ihre Security-Prozesse entsprechend anpassen – und zwar nicht im Rahmen eines Einmal-Projekts, sondern fortlaufend. Dazu gehört auch, Lücken zu klassifizieren (einfach, mittel, schwer) und neue Veröffentlichungen (siehe MITRE ATT&CK) in die Analyse einfließen zu lassen: Gibt es neue Schwachstellen? Führen sie womöglich dazu, dass eine Medium-Schwachstelle zu einer kritischen wird? Braucht es mehr Personal und adaptierte Prozesse, um der neuen Situation gerecht zu werden?
Möglichst wenig Angriffsfläche bieten
In der Praxis verzichten viele Unternehmen auf ein solches Vorgehen. Sie haben keine Maßnahmen in die Wege geleitet, um Angriffsflächen zu identifizieren und zu schließen. Dabei gilt: Je länger eine Schwachstelle besteht, desto leichter hat es der Hacker – zumal hier das Dilemma des Verteidigers zum Tragen kommt: Der Angreifer muss EINE Lücke finden, um sie gezielt ausnutzen zu können. Firmen hingegen müssen idealerweise alle Lücken schließen. Da das gemäß Assume-Breach-Paradigma jedoch unmöglich ist, lautet die Devise: Die Angriffsfläche so gering wie möglich halten.
Fazit
Cyber Security ist die wesentliche Grundvoraussetzung für moderne, digitale Geschäftsprozesse. Um die besondere Komplexität des gesamten Handlungsfelds zu beherrschen, braucht es adäquate Methoden und geeignete Tools. Bewährte Vorgehensweisen aus dem Business Process Management zu adaptieren und Cyber Security als Geschäftsprozess zu behandeln, ist der erste Schritt auf dem Weg hin zu mehr IT-Sicherheit.