Mit einem begrenzten Budget für IT-Sicherheit gleichzeitig die eigene Rentabilität und Wettbewerbsfähigkeit bewahren und die treuhändische Verantwortung gegenüber Kunden, Investoren und Mitarbeitern wahrnehmen – vor diesem Spagat stehen viele öffentliche und privatwirtschaftliche Unternehmen. In diesem engen Handlungsspielraum ist es weder praktikabel noch kosteneffizient, alle Bestandteile des eigenen Netzwerks gleichermassen zu schützen. Die individuelle Priorisierung der eigenen Bedrohungen und Schwachstellen bestimmt für Unternehmen die Sicherheitsstrategie und die entsprechenden Gegenmassnahmen.
Gastbeitrag von Franz Kaiser, Country Manager Schweiz, Fortinet
Dafür muss zuerst festgelegt werden, welche Assets unter allen Umständen schützenswert sind. Hier ist ein Konsens zwischen Geschäftsführung und dem IT-Sicherheitspersonal wichtig: Erstere schliessen meist die eigene Reputation bei Kunden in ihre Vorstellung von erfolgreichem Datenschutz ein. Die Verantwortlichen für Cybersicherheit hingegen konzentrieren sich meist auf den tatsächlichen Schutz geschäftskritischer Datensätze. Diese unterschiedlichen Auffassungen gilt es zu harmonisieren.
Nicht alle Sicherheitsrisiken sind gleich
Die modernen Cyber-Bedrohungen sind stetig im Wandel. Aus der langen Liste der Varianten, Ableger und Iterationen stechen jedoch einige Archetypen heraus, die besonders gefährlich für sensible Assets sind: Neben tatsächlichem Einbruch und Diebstahl gehören Spyware, Connection Hijacking, verseuchte Websites und Apps, Botnets für Cryptomining und Machine-to-Machine (M2M)-Angriffe zu den häufigsten Sicherheitsrisiken. Doch nicht alle dieser Sicherheitsrisiken gefährden das Netzwerk gleichermassen. Indem man den potenziellen wirtschaftlichen und monetären Schaden eines Risikofaktors gegen die entstehenden Kosten seiner Bekämpfung aufwiegt, kann man eine sinnvolle Priorisierung der Abwehrmassnahmen ableiten. Unter Umständen ergibt sich daraus, dass es sinnvoller ist, eine Bedrohung lediglich auf ein akzeptables Mass zu reduzieren, statt sie vollständig zu beseitigen. Falls der Aufwand Spam-Nachrichten komplett zu eliminieren beispielsweise doppelt so gross ist, wie sie um 99 Prozent zu reduzieren, dann kann ein Unternehmen vielleicht auch mit zwei bis drei Spam-Nachrichten pro Tag leben.
Mit den eigenen Schwachstellen vertraut sein
Doch nicht nur externe Bedrohungen gefährden Unternehmen. Meist gibt es sogar mehr interne Risikofaktoren für die IT-Sicherheit als externe. Innere Schwachstellen existieren unabhängig von der äusseren Bedrohungslage des Unternehmens. Es sind unter anderem Mitarbeiter, Auftragnehmer oder anderen Personen mit Infrastrukturzugriffsrechten, die dem Unternehmen vorsätzlich schaden wollen. Gefährlich sind ausserdem fragmentierte, unkoordinierte Abwehrmechanismen und eine überlagerte IT-Landschaft mit Systemen vieler verschiedener Hersteller. Zusätzliche Risiken entstehen durch mangelnde Sensibilisierung von Mitarbeitern und unzureichend ausgebildete Security-Fachleute oder nicht-besetzte IT-Security-Personalstellen. Ausserdem fehlt oftmals eine eindeutige Definition und Priorisierung der zu schützenden Assets. Genauso problematisch ist eine unklare Rollenverteilung und Kompetenzdefinition zwischen Führungsebene und Sicherheitsverantwortlichen. Viele Unternehmen fokussieren sich zudem übermässig auf abstrakte Compliance statt auf echten Schutz. Denn wenn sich Geschäftsprozesse schneller ändern, als Sicherheitsstrategien- und -investitionen nachziehen können, entstehen daraus neue IT-Schwachstellen.
Jedes Mal, wenn Unternehmen in neue Technologien investieren oder ihre IT-Infrastruktur erweitern, vergrössern sie damit ihre potenzielle Angriffsfläche. Ausserdem werden die Methoden der Angreifer immer professioneller und komplexer. Sie entwickeln fortwährend neue Angriffsstrategien und nutzen so das oftmals nur mangelhaft abgesicherte Wachstum der digitalen Geschäftslandschaft aus. Umgekehrt bedeutet das für Unternehmen: Sie müssen sich ihren internen und externen Risikofaktoren bewusst sein und erkennen, gegen welche Gefahren sie sich besonders zur Wehr setzen müssen.
Unterschiedliche Angreifer, unterschiedliche Motive
Cyber-Kriminelle unterscheiden sich stark hinsichtlich ihrer Kompetenz und Zielsetzung. Weniger versierte Angreifer, Hacker und Insider nutzen meist bereits bekannte Schwachstellen aus und setzen vergleichsweise leicht zu konternde Angriffsmethoden ein. Bei professionelleren Akteuren, Terroristen oder staatlich gesponserten Hackern ist die Wahrscheinlichkeit ungleich grösser, dass sie Zero-Day- und bisher unbekannte Schwachstellen ausnutzen. Bei der Priorisierung ihrer unternehmenskritischen Assets sollten Unternehmen stets bedenken: Auch wenn ihr Netzwerk an sich nicht über Informationen verfügen, die für einen fortgeschrittenen oder staatlich gesponserten Hacker interessant sind, können sie dennoch als Einfallstor der Cyber-Kriminellen in andere Organisationen dienen. So wurden die Computer eines Heizungs- und Lüftungsunternehmen zum Vektor, um Transaktionsdaten von Debit-Karten von Kunden einer grossen Baumarktkette zu stehlen.
Enge Kooperation zwischen CISOs und Führungsebene notwendig
Business-Entscheider und Cyber-Sicherheits-Experten im Unternehmen müssen auf einer Linie sein, was Rollen, Verantwortlichkeiten und Prioritäten im Security-Bereich angeht. Ein gegenseitiges Verständnis ist für den Aufbau und Erhalt einer erfolgreichen Partnerschaft unabdingbar. Dazu müssen sie untereinander klar definieren, wer für was zuständig ist – sowohl auf der Geschäfts- als auch auf der Security-Ebene.
Führungskräfte auf Management-Ebene sollten klar herausstellen, was sie infolge von schlechter Cyber-Sicherheit befürchten und wie für sie ein erfolgreiches Security-Programm aussieht. Sie müssen die Assets, Personen und Prozesse identifizieren, die sie für das Unternehmen als geschäftskritisch erachten. Ausserdem definieren sie die Ziele und Budgets der Cyber-Sicherheits-Investitionen und Prozesse. Im Gegenzug müssen Security-Experten Bedrohungen und Sicherheitslücken erkennen und melden, Programme und Gegenmassnahmen empfehlen sowie die Wirksamkeit von Cyber-Sicherheits-Investitionen messen, überwachen und weitergeben. Sie treffen die Personal- und Beschaffungs-Entscheidungen im Security-Bereich und sind für die operative Ausführung des Cyber-Sicherheits-Programms verantwortlich.
Denn nur mit einer effektiven Zusammenarbeit zwischen Business- und Security-Führungskräften können sie ihre Aufgaben effektiv erfüllen. Das Management kann ohne die Informationen der Security Experten und ohne deren Beratung schlichtweg keine Prioritäten, Ziele und Budgets festsetzen. Auf der anderen Seite brauchen Security-Experten den kaufmännischen Blickwinkel der Geschäftsführung. Obwohl Führungskräfte auf beiden Seiten die jeweiligen spezifischen Rollen des anderen respektieren, arbeitet keiner von ihnen isoliert in einem Silo.
Security Fabric: Dynamisch & dauerhaft
Letztlich ist ein prioritätsorientierter Ansatz für Cybersecurity ein starkes Argument für eine Sicherheitsarchitektur, die auf einer umfassenden und anpassungsfähigen Security Fabric basiert. Denn die einzige Konstante in Business und Cyber-Sicherheit ist ihr steter Wandel. Geschäftsziele, Prozesse, Prioritäten, Marktbedingungen, Organisationsstrukturen und Stakeholder-Communities ändern fortwährend und immer schneller. Das kann man auch an der Geschwindigkeit, mit der immer neue Bedrohungen auftauchen, beobachten. Im Zuge der vierten industriellen Revolution verändern digitale Technologien jeden Aspekt unserer politischen und sozio-ökonomischen Beziehungen. Cyber-Sicherheits-Programme und -Prozesse müssen mit diesem Wandel Schritt halten. Wie schnell sie sich anpassen lassen ist dabei weniger wichtig, als dass dies reibungslos passiert. Veränderungen, die wiederkehrende Reinvestitionen, schnelle Abschreibungen und den kontinuierlichen Austausch von Hardware erfordern, werden zunehmend untragbar. Stattdessen ist es empfehlenswert, eine Technologiebasis aufzusetzen, die Software-seitig neue Funktionen hinzufügen kann und weiterhin das nötige Entwicklungspotenzial und die Flexibilität bietet, um die erwarteten, künftigen Leistungsanforderungen zu erfüllen.
