Cyberresilienz: Security ist mehr als die Abwehr von Cyberkriminellen
Hacker bekämpfen und Angriffe abwehren – für viele Unternehmen sind das die zentralen Aufgaben der IT-Security. Doch eine echte Cyberresilienz benötigt mehr. Wir zeigen Ihnen fünf Bausteine hierfür.
Oft sind Unternehmen der Meinung, dass ihr IT-Sicherheitsansatz bereits ausreicht. Doch das ist in vielen Fällen ein Trugschluss. Wie der Security-Hersteller Palo Alto Networks erklärt, haben viele Führungskräfte noch nicht verstanden, wie wichtig das Thema Cyberresilienz für die Sicherheit ist und was es damit auf sich hat. Cyberresilienz bedeutet, dass Unternehmen widerstandsfähig gegen Angriffe sind, die auf die Sicherheit ihrer IT-Systeme abzielen. Während sich herkömmliche Sicherheitsmaßnahmen in der Regel darauf beschränken, Angriffe abzuwehren, werden bei diesem Sicherheitsansatz auch geschäftliche Ziele mit einbezogen. Resiliente, also widerstandsfähige Unternehmen können demnach auch bei einem Cybersicherheitsvorfall weiterhin wichtige Dienste bereitstellen, da sie einen taktischen Plan für den Betrieb in einem beeinträchtigten Zustand haben.
Fünf wichtige Bausteine für Cyberresilienz
Im Vorfeld sollten Unternehmen ihren aktuellen Status in Sachen Cyberresilienz ermitteln. Im Gegensatz zur herkömmlichen Bewertung des Sicherheitsrisikos wird dabei ein zusätzlicher Schwerpunkt auf die betrieblichen Anforderungen und Ziele des Unternehmens gelegt. Neben technischen Schutzmaßnahmen geht es dabei um Prozesse wie Service Continuity Management, das Situationsbewusstsein und das Management externer Abhängigkeiten. Um Cyberresilienz zu erreichen, empfiehlt Palo Alto, folgende Aspekte zu beachten:
1. Die Angriffsfläche verstehen
Unternehmen sollten ihre Angriffsfläche, einschließlich der Vermögenswerte und Daten, genau im Blick haben. Dabei ist es auch wichtig, die möglichen Auswirkungen von Schatten-IT und dem Einsatz cloudbasierter Anwendungen im Auge zu behalten. Nach Möglichkeit sollte die Verwendung von nicht autorisierter Software, Hardware oder Anwendungen so weit wie möglich eingeschränkt werden. Für die kritischen Geschäfts- und Dienstinfrastrukturen – Palo Alto spricht von den Kronjuwelen – gilt: identifizieren, priorisieren, überwachen und schützen. So können beispielsweise kleine Schritte wie die Nutzung der Anwendungszulassungsliste, die Deaktivierung überflüssi
ger Systemfunktionen und die Anwendung des Prinzips der geringsten Privilegien das Risiko von Angriffen erheblich verringern.
2. Stresstest für die Kronjuwelen
Es ist unabdingbar, kritische Infrastrukturen, Dienste, Fähigkeiten und organisatorische Abhängigkeiten regelmäßig einem Stresstest zu unterziehen. Das kann komplexe Szenarien für das Eindringen in Netzwerke, technische Tests und den kontrollierten Einsatz von Bedrohungen in den kritischsten Bereichen einer Organisation beinhalten. Unternehmen sollten taktische Übungen durchexerzieren, die speziell auf die kritischen Anlagen abzielen. Das kann etwa durch „Purple Teaming“erreicht werden. Dabei werden offensive Taktiken und Techniken strategisch eingesetzt, um den Erfolg defensiver Cybersicherheits-Maßnahmen zu testen. Weiterhin wird aufgezeigt, wie sich schwache oder unzureichend funktionierende Defensivkontrollen verbessern lassen. Darauf sollten zielgerichtete „Lessons-Learned“Sessions mit spezifischen Projekten, Initiativen oder Maßnahmen zur kontinuierlichen Verbesserung folgen.
3. Alternative Servicebereitstellung praktizieren
In den meisten Unternehmen sind die Verantwortlichen der Meinung, dass sie über einen funktionierenden Backup-Plan für die Servicebereitstellung verfügen. Dies können ein alternativer Geschäftsstandort, gewartete Netzwerk-Backups oder Prozesse zur Auslagerung von Serviceaufgaben an einen Partner oder Dritte sein. Die meisten Unternehmen haben jedoch keine Ahnung, wie sie einen Plan zur alternativen Servicebereitstellung tatsächlich umsetzen sollen. Sie sind sich nicht einmal sicher, wie sie eine vollständige Wiederherstellung des Netzwerks mit Hilfe von Backups bewerkstelligen würden – oder ob sie das überhaupt könnten. Viele Pläne klingen in der Theorie gut, sind aber in der Praxis bei weitem nicht so effektiv und effizient wie gedacht.
Für Unternehmen ist es daher wichtig, alternative Wege und Prozesse zur Bereitstellung kritischer Dienste zu ermitteln, regelmäßig zu testen und kontinuierlich zu verbessern. Funktionieren diese Abläufe wie gut geölte Maschinen, können die Betriebe schnell reagieren, wenn etwa Kernressourcen während eines Zwischenfalls nicht verfügbar sind, und so Geschäftsunterbrechungen und damit verbundene Kosten minimieren. Diese Übungen sind in der Regel planungsintensiv und manchmal auch kostspielig. Im Endeffekt sparen Unternehmen, die von Ransomware oder einer anderen Cyberbedrohung betroffen sind, jedoch wertvolle Zeit und Geld, wenn sie dafür sorgen, dass ihre alternativen Bereitstellungspläne funktionieren.
4. Schwierige Gespräche führen
Unter welchen Umständen würden Sie ein Lösegeld zahlen? Wie würden Sie das Vertrauen Ihrer Kunden aufrechterhalten, wenn Gerüchte in Umlauf geraten? Wen würden Sie anrufen, um zu verhindern, dass sich ein aktiver Vorfall wie ein Lauffeuer ausbreitet? Es ist wichtig, dass sich die Unternehmensführung über die Antworten auf diese und ähnliche Fragen einig ist. Führungskräfte sollten sicherstellen, dass die Entscheidungsbäume definiert und mit den wichtigsten Interessengruppen abgestimmt sind, um Diskussionen im Ernstfall zu vermeiden. Bei personellen Veränderungen der Beteiligten sollten diese Entscheidungsbäume überprüft und gegebenenfalls aktualisiert werden. Das Führen von schwierigen Gesprächen, bevor es zu einem Vorfall kommt, spart wertvolle Zeit und ermöglicht es Unternehmen, sich auf das Wesentliche zu konzentrieren: die Aufrechterhaltung wichtiger Abläufe und die Wiederherstellung eines normalen Zustands.
5. Cyberresilienz erreicht die Vorstandsetage
Es ist nicht ungewöhnlich, dass das Thema Cybersicherheit in Vorstands- oder Geschäftsführungs sitzungen nicht auf der Tagesordnung steht. Verantwortliche scheuen sich davor, Führungskräfte mit Kennzahlen zum Sicherheitsbetrieb, Informationen über neue Risiken oder Bedrohungen und Berichten über den Status von Tools und Technologien zu überfrachten, weil sie fürchten, dass diese Daten zu technisch sind. Robuste Unternehmen sind jedoch erfolgreich darin, das Thema Sicherheit in ihrer gesamten Belegschaft zu verbreiten – auch in den höchsten Führungsetagen.
Erkenntnisse und Datenpunkte aus der eigenen IT gilt es mit wichtigen Kennzahlen (KPIs) und Sicherheitsmetriken zu korrelieren, die in der Vorstandsetage bekannt gemacht werden sollten. Aussagekräftige Metriken sind nicht unbedingt gleichbedeutend mit hochtechnischen und damit möglicherweise wenig verständlichen Metriken. Diese Kennzahlen sollen klar zeigen, welche Rolle die Cybersicherheit für den Erfolg des Unternehmens spielt. Zudem lassen sich diese Informationen als Grundlage für datengestützte Entscheidungen in Bezug auf Geschäftsinvestitionen, Ressourcen, strategische Fahrpläne und Budgetzuweisungen nutzen.