Die zunehmende Vernetzung und Digitalisierung von Unternehmen stellt die IT-Sicherheit vor neue Herausforderungen. Chief Information Security Officer (CISO) und IT-Security-Verantwortliche müssen ihre Unternehmen gegen aufziehende Cyber-Sturmfronten wetterfest machen.
Traditionelle Konzepte, die IT-Sicherheit als separate Disziplin sehen, sind dem digitalen Transformationsprozess oft nicht gewachsen. Unternehmen technisieren sich auf allen Ebenen in immer kürzeren Zyklen und die digitale Angriffsfläche wird stetig größer. Zudem nutzen Angreifer zunehmend modernste Technologien wie künstliche Intelligenz (KI) und Internet of Things (IoT) für ihre Zwecke. So entsteht eine neue Bedrohungslage, gegen die klassische Sicherheitsmaßnahmen nur bedingt helfen.
Der CISO muss also seine Strategie an die durchdigitalisierte Unternehmenswelt anpassen. Es fehlt jedoch an handfesten Anhaltspunkten, wie das konkret umgesetzt werden kann. Wo liegen die größten Risiken? Wie kann man sie minimieren? Wie lässt sich mittel- und langfristig Resilienz sicherstellen?
Keine Panik
CISOs erledigen ihre Aufgabe aktuell meistens gut. Nach dem Report "2018 State of Cyber Resilience" des Beratungshauses Accenture sind die erfolgreichen Angriffe weltweit im letzten Jahr stark gesunken. Nur eine von acht gezielten Attacken konnte die Sicherheitsmaßnahmen großer Unternehmen überwinden. 2017 lag die Erfolgsquote der Hacker noch bei einem Drittel.
Zudem ist die generelle Bedrohungslage in Deutschland laut der Studie "White Hat, Black Hat und das Aufkommen von Gray Hat; Die tatsächlichen Kosten von Cyber-Kriminalität" (PDF-Download) von Anti-Malware-Lösungsanbieter Malwarebytes gar nicht so ernst. Demnach verbuchten lediglich 44 Prozent der befragten deutschen IT-Entscheider in den letzten zwölf Monaten einen großen Sicherheitsvorfall. 56 Prozent meldeten überhaupt keine Zwischenfälle. Das ist die niedrigste Angriffsrate weltweit. Zum Vergleich: In den USA lag der Wert bei durchschnittlich 1,8 Angriffen pro Unternehmen und Jahr.
Doch die Unternehmen sollten sich auf solchen Zahlen lieber nicht ausruhen. Die Krux daran ist nämlich, dass es sich bei den Angriffen größtenteils um bekannte Vektoren handelte, die auf bestehende Systeme abzielten. Der CISO hat also die bekannten Baustellen unter Kontrolle. Die Sicherheitsmaßnahmen von heute werden aber wahrscheinlich nicht gegen die Gefahren von morgen helfen.
Wie können Unternehmen also eine vorwärts gerichtete IT-Sicherheit etablieren?
Risikofaktoren identifizieren
Sollen die aufkommenden Risiken gesenkt werden, müssen die Verantwortlichen erst einmal die Zukunftsthemen kennenlernen. Hierzu befragte Accenture im Rahmen der Studie "Securing the Future Enterprise Today -2018" (PDF) 1.400 C-Level-Führungskräfte inklusive CISOs. Es kristallisierten sich diese Kernbereiche heraus:
IoT - zur Kontrolle von Industrieanlagen, Verwaltung physischer Umgebungen, Prozessüberwachung, Effizienzsteigerungen von Lieferketten usw.;
Cloud-Computing - für mehr Flexibilität im IT-Betrieb und Zugang zu spezialisierten Services wie KI-Analytics, Anwendungen für virtuelle Arbeitsumgebungen oder BYOD-Szenarien;
Datenaustausch mit Dritten - für die Kommunikation und Zusammenarbeit in einem immer größer werdenden Ökosystem aus strategischen Partnern, Auftragnehmern und anderen Drittparteien;
KI - für das lernende, zunehmend von Algorithmen gesteuerte Unternehmen.
Diese Technologien erstrecken sich alle weit über die Grenzen der klassischen Kern-IT der Server und Netzwerke hinaus auf das gesamte Unternehmen. Sie bieten vielfältige Mehrwerte bezüglich Effizienz, Skalierbarkeit oder Bedienfreundlichkeit und werden immer mehr zu geschäftskritischen Komponenten.
Viele Unternehmen haben aber ihr Verhalten in Sachen IT-Sicherheit noch nicht geändert. Sie ziehen die Experten erst hinzu, wenn Technologieentscheidungen längst getroffen sind. Daher besteht die Aufgabe der Security-Abteilung oft noch hauptsächlich darin, Bedrohungen aufzuspüren und zu minimieren, anstatt sie von vornherein auszuschließen. So besagt beispielsweise eine aktuelle weltweite Befragung von Trend Mirco unter 1.150 C-Level-IT- und Sicherheitsverantwortlichen, dass sie lediglich für 38 Prozent der IoT-Projekte in den Unternehmen überhaupt konsultiert werden. Das ist umso besorgniserregender, als das Ausmaß der Sicherheitsrisiken des Internet of Things noch gar nicht konkret umrissen ist.
Dies führt unter anderem dazu, dass das von den Sicherheitsexperten angenommene Risiko durch die neuen Technologien und die ergriffenen Schutzmaßnahmen innerhalb der Sicherheitsstrategie auseinanderklaffen. Laut Accenture schätzen die Verantwortlichen das Risiko durchschnittlich um 30 Prozent höher ein als das gegenwärtig erreichte Sicherheitsniveau.
Es bedarf Veränderungen bis in die Unternehmens-DNA
Um die Sicherheitslage zu verbessern, muss sich die Planung und Ausführung von Cybersicherheits-Maßnahmen grundlegend verändern. Zum einen gilt es, die vorhandene Sicherheits-Infrastruktur zu pflegen. Zum anderen müssen gerade die neuen, digitalisierten Geschäftsprozesse von Beginn an sicher eingeführt werden.
Wichtig ist dabei das richtige Maß. Die Überbetonung neuer Technologien ist ebenso fatal wie ein zu starker Fokus auf bekannte Gefahren. Am Anfang sollte stets ein robuster Grundschutz stehen. Er richtet sich gegen bekannte Risiken wie mangelndes Patch-Management oder fehlende Mitarbeitersensibilisierung für Social Engineering. Der Vorteil: Diese Sicherheitsmaßnahmen sind relativ kostengünstig und decken dabei den größten Teil der aktuellen Schwachstellen ab. So bleibt genügend Budget für Sicherheitsinitiativen gegen aufkommende Angriffsvektoren übrig.
Diese Initiativen gestalten sich jedoch umso tiefgreifender. Vor allem wird den Geschäftsbereichen selbst Verantwortung übertragen. Sie müssen Prozesse, Produkte und Dienste in enger Abstimmung mit dem CISO und seinem Team entwickeln und dabei den Sicherheitsaspekt im Geiste eines "Security by Design"-Ansatzes im Auge behalten. Gleiches gilt für die Sensibilisierung der Mitarbeiter.
Dazu gilt es, eine kohärente Security-First-Strategie und einen dedizierten Investitionsplan für die nötigen Technologien zu erarbeiten. Zudem müssen Unternehmen genau planen, wie sie die Verantwortlichkeiten für IT-Sicherheit neu organisieren und verteilen wollen. Schließlich sollten neben den eigenen Mitarbeitern auch strategische Partner und Auftragsnehmer bezüglich IT-Sicherheit geschult werden.
Auch die Zusammenarbeit jenseits der Unternehmensgrenzen sollte ausgebaut und gefördert werden. In Zeiten von IoT-gestützten DDoS- Angriffen durch Botnets, boomenden Malware-as-a-Service-Märkten und staatlich subventionierten Großangriffen erhöht Silodenken die Angriffsfläche. Reger Austausch mit Verbänden, Behörden und dem Wettbewerb, wie ihn beispielsweise auch der Verfassungsschutz fordert, hebt kontinuierlich das allgemeine Sicherheitsniveau.
So gelingt die Herkulesaufgabe
Die Liste an nötigen Veränderungen ist lang und alles umzusetzen mag auf den ersten Blick wie eine Herkulesaufgabe scheinen. Daher schlägt Accenture einige Schritte vor, die dem CISO helfen sollen, seine Sicherheitsstrategie fit für die zukünftige Arbeitswelt zu machen.
1. Mehr Austausch etablieren
Bevor konkrete organisatorische Veränderungen angegangen werden können, gilt es, die zentrale Bedeutung von IT-Sicherheit für das Business deutlich zu machen. In Zeiten von datengetriebenem Geschäft bedeutet eine Datenpanne einen schwerwiegenden Schaden - wirtschaftlich, aber auch für die Reputation. Dies zu verhindern hat also strategische Bedeutung für das Unternehmen. Der IT-Sicherheit sollte daher dieselbe strategische Aufmerksamkeit zukommen wie anderen Geschäftsbereichen.
Daher sollte der CISO sich ständig mit der Geschäftsführung austauschen. So erfährt er frühzeitig, wenn beispielsweise Unified Communication & Collaboration eingeführt werden soll oder eine Cloud-Migration ansteht. Entsprechend kann er die IT-Sicherheitsstrategie anpassen.
Auch in den Fachabteilungen gilt es eng zusammenzuarbeiten, indem Mitarbeiter an allen Standorten bestimmte Security-Rollen erhalten. Diese berichten in regelmäßigen Abständen an den CISO. So entsteht eine anhaltende Security-Awareness in den Prozessen aller Bereiche und das Sicherheitsniveau wird über kurz oder lang angehoben.
2. Vom Neinsager zum Enabler
Oft steht der so wichtigen Zusammenarbeit im Wege, dass der CISO für das restliche Management nicht sichtbar genug ist und als Hindernis für das Geschäft wahrgenommen wird. In der klassischen Rolle kommt die IT-Sicherheit oft erst nach der Entscheidung für eine Initiative hinzu und das Management nimmt aufkommende Einwände als Hemmnis wahr. Auf der anderen Seite priorisiert der CISO oft die Sicherheit höher als den Mehrwert für das Geschäft, was wiederum auf das Unverständnis der Geschäftsführung trifft.
CISOs sollten daher von Anfang an tiefen Einblick in businessrelevante Entscheidungen haben. Dazu bedarf es eines Vertrauensverhältnisses zwischen dem CISO und dem restlichen Management. Der Sicherheitsverantwortliche muss ein Gespür für die jeweiligen Bedürfnisse von Vorstand, CEO und den Geschäftsbereichen entwickeln. So kann er die nötigen Sicherheitsmaßnahmen an deren Anforderungen ausrichten, ohne den Geschäftsfortschritt zu behindern. Damit nimmt der CISO die Rolle eines Enablers ein, der aktiv am Vorankommen des Unternehmens mitwirkt, anstatt eines ewigen Neinsagers, der an allem etwas auszusetzen hat.
In der Praxis dreht sich also alles um Kommunikation. Der CISO sollte im Gespräch mit dem Management erörtern, welche Unternehmensbereiche die wichtigsten digitalen Assets beinhalten und wo ein erfolgreicher Angriff den meisten Schaden anrichten könnte. Ist ein formalisierter, regelmäßiger Austausch darüber nicht möglich, kann es sinnvoll sein, eine Vermittlerrolle zwischen Security, Vorstand, CEO und den Bereichen einzuführen. Diese sorgt dafür, dass Sicherheit stets im breiten Kontext des gesamten Unternehmens betrachtet und diskutiert wird und bei Business-Entscheidungen der Sicherheitsaspekt nicht außen vor bleibt.
Um die gemeinsam beschlossenen Maßnahmen für Sicherheit und Compliance überprüfen zu können, bedarf es entsprechender Metriken für die Erfolgsmessung. Traditionelle Pass/Fail-Bewertungen bei Performance-Tests sind zu technisch, um den Wert für das Geschäft widerzuspiegeln. Es sollte auch beurteilt werden können, ob die beschlossenen Maßnahmen das zukünftige Geschäft absichern und ob das ganz Unternehmen resilienter wird.
3. Mitarbeiter zum Teil der Lösung machen
So wasserdicht und zukunftssicher die Sicherheitsstrategie auch ist, der Mensch bleibt das schwächste Glied - egal ob sein Fehlverhalten fahrlässig oder böswillig ist. Es gilt also unter dem Stichwort "Awareness" die Schwachstelle Mitarbeiter aktiv anzugehen.
In technischer Hinsicht gibt es zwar zahlreiche Lösungsansätze, die Datenabflüsseaus dem Inneren vermeiden sollen. Je nach Unternehmensgröße, Branche und Sektor hält sich jedoch deren Einsetzbarkeit in Grenzen. So setzen viele Lösungen beispielsweise die Überwachung von individuellen Mitarbeitern voraus, was nur unter großem organisatorischen Aufwand und mit dem Risiko der Persönlichkeits- und Datenschutzverletzung durchführbar ist - wenn überhaupt.
Die Resilienz muss also antrainiert werden. Schulungen zu aktuellen Angriffsstrategien wie zum Beispiel Deepfakes bilden eine solide Grundlage. Die Sicherheitsverantwortlichen sollten den Grad der Awareness mit regelmäßigen Phishing-Test oder Ähnlichem evaluieren und die Maßnahmen entsprechend anpassen. Da es sich hierbei um einen kritischen Teil der Sicherheitsstrategie handelt, sollten auch entsprechende Budgets dafür bereitstehen.
Damit die Mitarbeiter mitzeihen, ist es ratsam, Anreize dafür zu schaffen und Werkzeuge bereitzustellen. So können verschiedene Qualifizierungsstufen bei den Weiterbildungen eingeführt werden, die mit Incentives einhergehen. Dies kann mit einem Security-Champion-Programm gekoppelt werden, das Mitarbeiter und Führungskräfte belohnt, die sich aktiv für gute IT-Hygiene in ihren Abteilungen einsetzen. Damit wird auch die nötige Verlagerung der IT-Sicherheitsaufgabe in die Abteilungen vorangetrieben.
4. Kunden schützen
Die zunehmende Digitalisierung des Geschäfts führt dazu, dass die personenbezogenen Daten, die gesammelt und verarbeitet werden, explodieren. Naturgemäß steigt die Sensibilität bei den Kunden dafür, was mit ihren Daten passiert. Vertrauen in den Datenschutz spielt, auch mit der Einführung der DSGVO, eine entscheidende Rolle für das Kundenengagement und somit für das Business als Ganzes.
Nach dem Motto "Tue Gutes und rede darüber" sollte der CISO dafür Sorge tragen, dass die Bemühungen um den Schutz sensibler Informationen von den Mitarbeitern proaktiv nach außen getragen werden. Das geht über die vom Gesetzgeber geforderte Datenschutzerklärung hinaus. Informieren Sie Kunden in verständlicher, klarer Form darüber, was genau mit ihren Daten geschieht und wie sie geschützt werden.
Darüber hinaus kann es sinnvoll sein, eine leicht auffindbare Plattform mit weiterführenden Informationen, Mehrwerten und direkten Kommunikationsmöglichkeiten aufzubauen. Dort erhalten Kunden Informationen darüber, wie sich das Unternehmen schützt und wie sie selbst ihr Sicherheitslevel erhöhen können. Erarbeiten Sie eine formale Policy, wie Kunden gefundene Schwachstellen an Ihre Sicherheitsteams kommunizieren können! So werden die Anwender aktiv in die Verbesserung des Produkts mit einbezogen, was sowohl das Engagement als auch Vertrauen in das Unternehmen steigert.
5. Das Ökosystem härten
Partner, Dienstleister und Lieferanten sind heute ebenso wichtig für die IT-Sicherheit wie die Mitarbeiter. Unternehmen stehen in ständigem digitalen Austausch mit ihnen, sodass eigentlich externe Schwachstellen schnell zu internen Datenpannen werden können. Auch hier gilt also: Sicherheit ist geschäftsrelevant. Daher sollten die Drittparteien aktiv in die IT-Sicherheitsstrategie miteinbezogen werden.
Der CISO sollte sichere Kanäle zum Informations- und Datenaustausch bereitstellen, damit Unternehmen und Kunden verlässlich zusammenarbeiten können. Zudem sollte ein formales Framework für die Zusammenarbeit erarbeitet und implementiert werden, dass die nötige Resilienz auf technischer und organisatorischer Ebene definiert. Schließlich gilt es, die Compliance der Partner mit diesen Vorgaben regelmäßig zu prüfen und zu bewerten.
Natürlich bietet rege Kommunikation auch hier Mehrwerte. Austausch über die Unternehmensgrenzen hinweg gewährt Einblicke in neue Angriffsvektoren und Abwehrstrategien. Dadurch verbessert sich wiederum das eigene Sicherheitsniveau und das der Partner.
Fazit
Mit der Digitalisierung hat sich auch die Bedrohungslandschaft grundlegend verändert und vergrößert. Um den aktuellen und kommenden Gefahren die Stirn zu bieten, muss der CISO seine Rolle neu definieren und vom Neinsager zum Enabler werden. Dazu sollte IT-Security ebenso dezentral wie die moderne Unternehmenslandschaft aufgestellt werden. Interne und externe Kommunikation spielen eine zentrale Rolle, wenn es gilt, nicht nur die bekannten, sondern auch die neuen Bedrohungen in den Griff zu bekommen.