Jede moderne Organisation muss sich heute systematisch mit ihren Cyber-Risiken beschäftigen und daraus kurz-, mittel- und langfristige Massnahmen ableiten. Wichtig ist, dass man bei der Umsetzung auch die aktuelle Entwicklung der Bedrohungslage im Auge behält.
IT-Sicherheits-Verantwortliche haben heutzutage mehr zu leisten, denn je. Die Angriffe auf Unternehmen aller Art werden immer ausgeklügelter und vielfältiger. Die Abhängigkeiten des Unternehmens von einer funktionierenden IT nehmen in aller Regel weiter zu. Und die Finanz- und Reputationsrisiken, beispielsweise bei einem Abfluss sensibler Daten, steigen ebenso. Gleichzeitig wird die zu sichernde IT-Landschaft immer komplexer und vernetzter, was sich wiederum auf die Menge theoretischer und praktischer Angriffsszenarien auswirkt. Um dieser Situation gerecht zu werden, müssen sich Verantwortliche sehr systematisch, basierend auf einer Risiko-Analyse, ein möglichst komplettes Bild geeigneter Massnahmen machen und diese priorisiert entlang der Zeitachse umsetzen. Für eine solche «Cyber Security Roadmap» stehen verschiedene Frameworks zur Verfügung, wie beispielsweise NIST, ISO oder CIS.
Die Umsetzung einer jeden Cyber Security Roadmap ist zeitkritisch. Schliesslich geht es darum, das Zeitfenster für desaströse Angriffe und Schäden, die aufgrund fehlender Controls als fahrlässig eingestuft werden könnten, zu minimieren. Und natürlich stossen die allermeisten Unternehmen dabei auf limitierte Ressourcen in Form von Finanzen und Personal. Da liegt es nah, Outsourcing von Aufgaben in Betracht zu ziehen, dorthin, wo ein reifer Service einfach eingekauft und schnell implementiert werden kann. Zudem lassen sich Skalen- und Offshoring-Effekte nutzen und initiale Investitionen und Personalkosten sparen. Allerdings gibt es bei jedem Outsourcing-Engagement auch Nachteile, die man realistisch einschätzen sollte. Andernfalls kann es sein, dass das Gesamtschutzniveau nicht zu-, sondern abnimmt. Ein paar Beispiele:
Ein weiterer Aspekt, den es für eine wirksame Cyber Security Roadmap zu berücksichtigen gilt, ist die Dynamik des Umfelds, die ein Repriorisieren jederzeit erlauben sollte. Die Widersacher lassen sich bei gezielten Angriffen nicht davon beeindrucken, wieviel Aufwand ein Unternehmen in Abwehrmassnahmen steckt. Sie konzentrieren sich auf die Lücken, die unbeachtet bleiben. So lässt sich Kevin Mitnick – bekannter Hacker und später Security-Consultant – zitieren: “You could spend a fortune purchasing technology and services, and your network infrastructure could still remain vulnerable to old-fashioned manipulation.”. Um diese Lücken zu finden und zu schliessen, ist es notwendig, immer wieder aktuelle Angriffs-Szenarien mit den eigenen Abwehrmassnahmen abzugleichen und nach Lücken zu suchen. Wenn Sie die Perspektive der Angreifer einnehmen, lassen sich oftmals weisse Flecken finden, die mit überschaubarem Aufwand geschlossen werden können und die dafür sorgen, dass Sie Angriffe frühzeitig erkennen oder besser abwehren. Dazu brauchen Sie allerdings Security-Spezialisten, die einerseits einen guten Überblick über Ihr Unternehmen haben und andererseits genügend Freiräume haben, um sich ständig auf dem Laufenden zu halten und sich in Trusted Groups mit anderen Experten auszutauschen. Als CERT mit 25 Jahren Erfahrung im Trusted Community Management sehen wir den regelmässigen und aktiven Austausch auf hohem Vertrauensniveau als einen der effektivsten Mittel an, um bei der Cyber Abwehr mit den Angreifern Schritt halten zu können.
Aufgrund der komplexen Ausgangslage müssen Cyber Security Vorhaben heute sehr systematisch und ganzheitlich mithilfe von Risikoanalysen und Cyber Security Roadmaps angegangen werden. Um die nötige Schnelligkeit und Kosteneffizienz bei der Umsetzung zu erreichen, sind Outsourcing-Engagements oft sinnvoll, beinhalten aber ihrerseits nicht zu vernachlässigende Risiken und Limitierungen. Zudem muss der hohen Dynamik auf Angreiferseite Rechnung getragen werden können, was eine gewisse Agilität bei der Massnahmenumsetzung voraussetzt. Als kritischer Erfolgsfaktor für das rechtzeitige Erkennen und Abwehren komplexer Angriffe sind interne Sicherheitsexperten zu sehen, die auf operativer Ebene einen guten Überblick über das eigene Unternehmen haben und mit Peers auf hohem Vertrauensniveau vernetzt sind.