IT-Sicherheits-Verantwortliche haben heutzutage mehr zu leisten, denn je. Die Angriffe auf Unternehmen aller Art werden immer ausgeklügelter und vielfältiger. Die Abhängigkeiten des Unternehmens von einer funktionierenden IT nehmen in aller Regel weiter zu. Und die Finanz- und Reputationsrisiken, beispielsweise bei einem Abfluss sensibler Daten, steigen ebenso. Gleichzeitig wird die zu sichernde IT-Landschaft immer komplexer und vernetzter, was sich wiederum auf die Menge theoretischer und praktischer Angriffsszenarien auswirkt. Um dieser Situation gerecht zu werden, müssen sich Verantwortliche sehr systematisch, basierend auf einer Risiko-Analyse, ein möglichst komplettes Bild geeigneter Massnahmen machen und diese priorisiert entlang der Zeitachse umsetzen. Für eine solche «Cyber Security Roadmap» stehen verschiedene Frameworks zur Verfügung, wie beispielsweise NIST, ISO oder CIS.
Outsourcing und internes Know-how richtig balancieren
Die Umsetzung einer jeden Cyber Security Roadmap ist zeitkritisch. Schliesslich geht es darum, das Zeitfenster für desaströse Angriffe und Schäden, die aufgrund fehlender Controls als fahrlässig eingestuft werden könnten, zu minimieren. Und natürlich stossen die allermeisten Unternehmen dabei auf limitierte Ressourcen in Form von Finanzen und Personal. Da liegt es nah, Outsourcing von Aufgaben in Betracht zu ziehen, dorthin, wo ein reifer Service einfach eingekauft und schnell implementiert werden kann. Zudem lassen sich Skalen- und Offshoring-Effekte nutzen und initiale Investitionen und Personalkosten sparen. Allerdings gibt es bei jedem Outsourcing-Engagement auch Nachteile, die man realistisch einschätzen sollte. Andernfalls kann es sein, dass das Gesamtschutzniveau nicht zu-, sondern abnimmt. Ein paar Beispiele:
- Jeder Outsourcing-Partner erhöht die Komplexität der Cyber Security Supply Chain. Das, was für die Risiken betreffend Supply Chain Angriffen generell gilt, gilt hier also auch.
- Outsourcing-Partner erhalten oft sehr wertvolle Informationen über die interne Infrastruktur eines Unternehmens, die für jeden höherwertigen Angriff die Voraussetzung sind. Wenn beispielsweise das junge OT-Security-Monitoring-Unternehmen aus dem einschlägigen Ausland damit wirbt, gleichzeitig das Asset-Inventar und Vulnerability-Management auf dem Shopfloor für Sie in den Griff zu bekommen, dann kann dieses Unternehmen sehr sensible Informationen über die Angreifbarkeit Ihrer Infrastruktur sammeln. Ob der Dienstleister oder jenes Unternehmen, welches ihn vielleicht in ein paar Jahren übernehmen wird, vertrauenswürdig ist oder auch nur in der Lage ist, Ihre Daten zu schützen, lässt sich schwer oder gar nicht beantworten.
- Während Cyber Security Outsourcer wie SOCs, Angriffsmuster zwischen ihren verschiedenen Kunden korrelieren können und dadurch einen grossen Vorteil bieten, haben sie andererseits in der Regel sehr wenig Kontextinformationen über Ihre interne IT und Ihre Business-Prozesse, um Angriffsmuster auch in ein Gesamtbild für Sie einordnen zu können. Hier sollte beim Prozessdesign auf eine enge Zusammenarbeit mit Ihren internen Spezialisten geachtet werden.
- Verteilt man sein Cyber Security Outsourcing auf mehrere Dienstleister, entstehen potentiell Medien- und Informationsbrüche, die den Überblick und die Einschätzung der Situation und sinnvoller Gegenmassnahmen weiter erschweren.
- Nicht zuletzt wird jedes Outsourcing von Cyber Security Controls zumindest von mittleren und grossen Unternehmen dann kontraproduktiv, wenn der Aufbau von internem Know-how und Spezialisten-Personal auf der Strecke bleibt und die personelle Anbindung an die individuelle Business-IT sowie OT verloren geht. Hier gilt es also, das richtige Mass zu finden.
Agil denken wie die Angreifer
Ein weiterer Aspekt, den es für eine wirksame Cyber Security Roadmap zu berücksichtigen gilt, ist die Dynamik des Umfelds, die ein Repriorisieren jederzeit erlauben sollte. Die Widersacher lassen sich bei gezielten Angriffen nicht davon beeindrucken, wieviel Aufwand ein Unternehmen in Abwehrmassnahmen steckt. Sie konzentrieren sich auf die Lücken, die unbeachtet bleiben. So lässt sich Kevin Mitnick – bekannter Hacker und später Security-Consultant – zitieren: “You could spend a fortune purchasing technology and services, and your network infrastructure could still remain vulnerable to old-fashioned manipulation.”. Um diese Lücken zu finden und zu schliessen, ist es notwendig, immer wieder aktuelle Angriffs-Szenarien mit den eigenen Abwehrmassnahmen abzugleichen und nach Lücken zu suchen. Wenn Sie die Perspektive der Angreifer einnehmen, lassen sich oftmals weisse Flecken finden, die mit überschaubarem Aufwand geschlossen werden können und die dafür sorgen, dass Sie Angriffe frühzeitig erkennen oder besser abwehren. Dazu brauchen Sie allerdings Security-Spezialisten, die einerseits einen guten Überblick über Ihr Unternehmen haben und andererseits genügend Freiräume haben, um sich ständig auf dem Laufenden zu halten und sich in Trusted Groups mit anderen Experten auszutauschen. Als CERT mit 25 Jahren Erfahrung im Trusted Community Management sehen wir den regelmässigen und aktiven Austausch auf hohem Vertrauensniveau als einen der effektivsten Mittel an, um bei der Cyber Abwehr mit den Angreifern Schritt halten zu können.
Fazit
Aufgrund der komplexen Ausgangslage müssen Cyber Security Vorhaben heute sehr systematisch und ganzheitlich mithilfe von Risikoanalysen und Cyber Security Roadmaps angegangen werden. Um die nötige Schnelligkeit und Kosteneffizienz bei der Umsetzung zu erreichen, sind Outsourcing-Engagements oft sinnvoll, beinhalten aber ihrerseits nicht zu vernachlässigende Risiken und Limitierungen. Zudem muss der hohen Dynamik auf Angreiferseite Rechnung getragen werden können, was eine gewisse Agilität bei der Massnahmenumsetzung voraussetzt. Als kritischer Erfolgsfaktor für das rechtzeitige Erkennen und Abwehren komplexer Angriffe sind interne Sicherheitsexperten zu sehen, die auf operativer Ebene einen guten Überblick über das eigene Unternehmen haben und mit Peers auf hohem Vertrauensniveau vernetzt sind.
