Widerstandsfähigkeit erfordert die Fähigkeit, Veränderungen so zu bewältigen, dass die Abläufe im Unternehmen nicht gestört werden. Die Veränderung kann positiv sein, wie z. B. die Gewinnung eines neuen Partners, oder negativ, wie z. B. die Tatsache, das Ziel eines Cyberangriffs zu sein.
Der Ausgangspunkt für Sicherheitsteams ist immer die Planung. Die Verwendung eines risikobasierten Ansatzes, bei dem die Bedrohung, die Schwachstelle, die Wahrscheinlichkeit und die Auswirkungen betrachtet werden, ist Teil der gesamten Risikoabwägung. Um das Risiko zu ermitteln, werden potenzielle Szenarien wie folgt durchgespielt: Angenommen, es gibt eine Bedrohung, dann wird die Wahrscheinlichkeit eingeschätzt, dass sie sich auf uns auswirkt, und schließlich wird untersucht, wie wir eine etwaige Schwachstelle ausschalten und die Auswirkungen verringern können. Kontinuitäts- und Wiederherstellungs-pläne werden um diese Szenarien herum aufgebaut.
CISOs prüfen zunehmend, wie sie angesichts anderer, nicht bedrohlicher Veränderungen ein hohes Maß an Kontinuität aufrechterhalten können. Ein Gleichgewicht zwischen Risiko und Chancen, Kontrolle und Anpassungsfähigkeit, wie z. B. die Leitung des sicheren Einsatzes eines externen Beraterteams oder die Sicherstellung, dass ein neuer Lieferant in die zu betreuenden Systeme eingebunden werden kann, ohne das Risiko zu erhöhen, ist Teil eines Resilience-Profils.
Sie holen sich die Unterstützung der Führungsteams in ihrem gesamten Unternehmen. Dies ist keine Frage der Technologie oder der Sicherheit, sondern eine geschäftliche Herausforderung.
Sie entwickeln eine Vertretung auf Vorstandsebene, die sich für die Widerstandsfähigkeit einsetzt.
Sie sorgen dafür, dass die Prozesse eingerichtet sind und von allen Beteiligten umgesetzt werden.
Sie entwickeln weiterhin sowohl allgemeine als auch branchenspezifische Threat-Intelligence.
Sie führen flexible Technologien ein, die einen besseren Überblick über ihre Bestände bieten und die zentrale Möglichkeit, neue Richtlinien und Kontrollen zu implementieren.
Bei der Widerstandsfähigkeit geht es darum, auf der Grundlage eines risikobasierten Ansatzes zu ermitteln, was das Unternehmen tolerieren kann. Gemeinsam mit CIO und/oder Vorstand sollten die Sicherheits-verantwortlichen als FachexpertInnen die Risiken nicht nur klar lenken und benennen, sondern auch entsprechende Maßnahmen aufzeigen, damit das Unternehmen die richtige Entscheidung treffen kann.
Wenn die Kosten für die Vorbeugung in die Millionen gehen, aber der Gesamtschaden (falls er eintritt) nur in die Tausende geht, dann sollte das bei der Entscheidung eine Rolle spielen, und es wäre unter Umständen vertretbar, das Risiko einzugehen. Allerdings geht es nicht nur um die finanzielle Seite, sondern auch um den Ruf und die langfristigen Auswirkungen, die eine Datensicherheits-verletzung haben kann. Alles sollte in Betracht gezogen werden, und dann sollte eine Entscheidung darüber getroffen werden, was das Unternehmen tolerieren kann (und was nicht).
Außerdem sollte eine Liste von Ressourcen aufgestellt werden, auf die keinesfalls verzichtet werden kann (gelegentlich auch als „Kronjuwelen“ bezeichnet), sowie von Ressourcen, ohne die der Betrieb für eine begrenzte Zeit aufrechterhalten werden kann. Und dann können Sie Ihre Sicherheit auf der Grundlage des Bedrohungsmodells darauf aufbauen. Es ist nicht immer möglich oder machbar, für jede einzelne Ressource das höchste Sicherheitsniveau zu gewährleisten.
Kein CISO verfügt über ein unbegrenztes Budget oder unbegrenzte Ressourcen. Man kann einfach nicht alles regeln und alles schützen. Und das ist auch in Ordnung. Sie versuchen, das zu schützen, was Ihnen als Unternehmen am wichtigsten ist, und alles, was damit zusammenhängt. Mit diesem Ansatz bauen Sie Ihre Widerstandsfähigkeit auf und setzen dies proaktiv und so schnell wie möglich fort.
Widerstandsfähigkeit bedeutet, dass wir in der Lage sind, mit den Bedrohungen umzugehen, denen wir ausgesetzt sind, und nicht sofort alles in sich zusammenstürzt, wenn es einer Bedrohung gelingt, Schaden anzurichten. Widerstandsfähigkeit wird durch die Kombination von Schutz und Incident-Response-Planung erreicht.
Der erste Schritt auf dem Weg zur Widerstandsfähigkeit besteht darin, sich der Bedrohungen bewusst zu werden, denen wir ausgesetzt sind. Sie können keine Maßnahmen ergreifen, um sich zu schützen, wenn Sie keine Ahnung von der Art dieser Bedrohungen haben. Die Grundvoraussetzung für eine erfolgreiche Widerstandsfähigkeit ist die genaue Einsicht in die Bedrohungen und eigenen Schwächen.
Mit diesem Wissen können Sie Schutzmaßnahmen ergreifen, die die Wahrscheinlichkeit verringern, dass Sie von Bedrohungen betroffen sind, und sicherstellen, dass die Auswirkungen auf ein Minimum reduziert werden, falls aus einer Bedrohung Schaden entsteht.
Wir müssen jedoch akzeptieren, dass kein Schutz jemals alles abdecken kann und wir auch nicht genau vorhersehen können, wie sich die Bedrohungen verändern und weiterentwickeln werden. Daher müssen wir uns darauf vorbereiten, schnell und effektiv zu reagieren, wenn wir Opfer einer Bedrohung werden.
Wenn wir dafür sorgen, dass unsere Systeme keine Single-Points-of-Failure haben, können wir sicherstellen, dass der Betrieb auch dann weiterläuft, wenn eine Komponente aufgrund einer Bedrohung außer Betrieb genommen werden muss. Durch die Planung und das Üben unserer Reaktionen auf Zwischenfälle können wir Bedrohungen aus dem Weg räumen und den Normalbetrieb so schnell wie möglich wieder aufnehmen.
Als Sicherheitsberaterin schaue ich mir bei der Bewertung der Widerstandsfähigkeit unter anderem an, wo ein Unternehmen bei Themen wie Datenklassifizierung sowie Identitäts- und Zugriffsmanagement steht. Das ganzheitliche Konzept dieser Bereiche muss unter Sicherheitsaspekten auf seine Tauglichkeit hin überprüft werden.
Einer der effektivsten Wege, um in einem Unternehmen Widerstandsfähigkeit zu erreichen, ist die Bildung eines Teams, auch wenn es sich nur um ein inoffizielles Team handelt – ein auf Zusammenarbeit ausgelegtes Umfeld, und nicht um eine etablierte Unternehmensorganisation.
Das ist wichtig, denn man ist bei diesem Prozess nie allein.
Wenn ich zum Beispiel mit Entwicklerteams zusammen-arbeite, müssen sie sich darüber im Klaren sein, dass ein Teil der Entwicklung einer Anwendung nicht nur die Funktionalität betrifft, sondern die Sicherheit. Wir machen die Anwendung für unsere Kunden sicher, damit sie unbesorgt mit uns Geschäfte machen können.
Um die Widerstandsfähigkeit zu erhöhen, muss sichergestellt werden, dass das Unternehmen die hierfür erforderliche Vision und die Maßnahmen für gute Sicherheitsstandards teilt und dass Penetrationstests, Code-Scans und Datenklassifizierung zum richtigen Zeitpunkt durchgeführt werden.
Ich finde es toll zu sehen, wie SicherheitsexpertInnen tatsächlich Projekte voranbringen. Es ist ein anderer Aspekt als der, der traditionell mit der Sicherheit verbunden war. Die Kommunikation mit den SicherheitsexpertInnen hilft dem Unternehmen, die Sicherheit von Anfang an in das Projekt zu integrieren. Und das erhöht die Widerstandsfähigkeit, da der Aufwand für die nachträgliche Verbesserung der Sicherheit entfällt, vor allem, wenn ein Vorfall entdeckt wurde.
Einer der Bereiche, in die man unbedingt proaktiv Zeit investieren muss, ist die Fähigkeit, genaue und aussagekräftige Threat-Intelligence im richtigen Kontext zu erhalten. Dies kann sehr schwierig sein, da es viele verschiedene Anbieter und Tools gibt, die sehr detaillierte Threat-Intelligence liefern, aber oft nicht in der Lage sind, diese Informationen aufzubereiten und in einen größeren Kontext zu stellen. So ist es zum Beispiel angesichts der gegenwärtigen Unruhen in der Welt wichtig, die Cyberkriminalität unter geopolitischen Gesichtspunkten zu betrachten.
Die Fähigkeit, Zusammenhänge aufzuzeigen, schafft einen echten Mehrwert für das Unternehmen. Wenn Sie den Führungskräften auf der Grundlage der realen Gegebenheiten zeigen können, welche Bedrohungen für die Erbringung von Dienstleistungen, den Betrieb und die kritischen Funktionen bestehen, können die Verantwortlichen die Tragweite Ihrer Maßnahmen nachvollziehen. Das gibt der Unternehmensleitung die Gewissheit, dass das Unternehmen widerstandsfähig ist.
Ein wichtiger Aspekt der Widerstandsfähigkeit besteht darin, sich auf Aktivitäten zu konzentrieren, die auch tatsächlich der Geschäftstätigkeit des Unternehmens entsprechen. Es ist schön und gut, Tests durchzuführen, um die eigene Widerstandsfähigkeit zu prüfen, aber angesichts der neuen Arbeitsmodelle, die sich in den letzten Jahren herausgebildet haben, sind die Tests, die in einer Reihe von Frameworks beschrieben werden, derzeit womöglich nicht sonderlich sinnvoll.
„Es ist schön und gut, Tests durchzuführen, um die eigene Widerstandsfähigkeit zu prüfen, aber angesichts der neuen Arbeitsmodelle, die sich in den letzten Jahren herausgebildet haben, sind die Tests, die in einer Reihe von Frameworks beschrieben werden, derzeit womöglich nicht sonderlich sinnvoll.“
Ein besserer Ansatz wäre es, darauf zu achten, wo andere in letzter Zeit Opfer geworden sind, und sicherzustellen, dass die von Ihnen unter-nommenen Maßnahmen zur Erreichung von Widerstandsfähigkeit auf das abgestimmt sind, was in der realen Welt vor sich geht. Dabei sollten Sie sich auf die Dinge konzentrieren, die sich am ehesten auf Ihre Branche und speziell Ihr Unternehmen auswirken werden. So können Sie die Widerstandsfähigkeit unter realen Bedingungen testen.
Um diesen Gedanken weiterzuführen: Ransomware ist weit verbreitet, aber wie testet man die Widerstandsfähigkeit gegen Ransomware? Der Wert ergibt sich aus der Betrachtung der Ransomware-Arten, von denen die meisten Unternehmen betroffen sind. Zielen diese Ransomware-Varianten auf bestimmte Branchen und Unternehmen ab? Was bedeutet das für Sie, und wie können Sie Ihre Widerstandsfähigkeits-tests modellieren, um auf diese realen Szenarien zu reagieren und dabei auf das zurückzugreifen, was ähnlichen Unternehmen widerfahren ist?
Allzu oft hat die Theorie nicht viel mit der Praxis im Unternehmen zu tun. Im Fall von Ransomware führen Sie womöglich einen Widerstands-fähigkeitstest durch, obwohl manchen Teams im Unternehmen jegliches technisches Verständnis für die Systeme fehlt und sie nicht einmal wissen, was Ransomware ist und wie sie sich auf ihre Arbeitsabläufe auswirken kann. Wenn Sie jedoch aufzeigen, dass ein Service nicht mehr verfügbar ist oder dass Daten gestohlen und erpresst werden können, dann können die an diesen Aktivitäten für die Widerstandsfähigkeit beteiligten Gruppen eine genaue Vorstellung davon bekommen, wie sehr dies das Unternehmen beeinträchtigen würde.
Sie können aber auch feststellen, dass bestimmte Funktionen für einen kurzen Zeitraum eingestellt werden können, ohne dem Unternehmen zu schaden. Diese Arten von Aktivitäten für die Widerstandsfähigkeit sind von großem Wert, da sie eine klare Verbindung zwischen dem Unternehmen und der Technologie herstellen.
Widerstandsfähigkeit ist weit mehr als nur Sicherheit, aber natürlich ist Sicherheit ein wichtiger Bestandteil. Sicherheit ist wie die Königsfigur auf dem Schachbrett der Widerstandsfähigkeit. Wenn unsere Prozesse zusammenbrechen und sich nicht mehr erholen, ist das Spiel vorbei. Doch wir sind von anderen Fachbereichen umgeben, die ihre eigenen Maßnahmen ergreifen müssen, um das Unternehmen als Ganzes zu schützen. Es gibt viel zu schützen, und da wir nur begrenzte Spielräume haben, müssen wir sehr überlegt vorgehen. Aus diesem Grund gibt es einen starken Trend zu risikobasierter Sicherheit.
Es könnte zum Beispiel einen Server geben, auf dem keine wichtigen Informationen gespeichert sind. Aber der Server hat eine bekannte Schwachstelle, die gepatcht werden muss. Es handelt sich um einen Back-End-Server, den wir für DevOps verwenden. Sie haben denselben Server mit derselben Schwachstelle, aber er ist mit dem Internet verbunden, und es befinden sich Kundendaten darauf.
Unsere Risiken sind unterschiedlich, auch wenn es sich um dieselbe Schwachstelle handelt. Patches haben für Sie eine weitaus höhere Priorität.
In einer Welt, in der wir nur begrenzte Möglichkeiten haben, müssen wir uns auf die Dinge konzentrieren, die wichtig sind. Kümmern Sie sich zuerst um die kritischen Probleme und erarbeiten Sie dann einen Plan zur Behebung der anderen Schwachstellen, denen Sie möglicherweise ausgesetzt sind. Dazu benötigen Sie eine genaue, auf Vorhersagen basierende Threat-Intelligence, die auf die Gegebenheiten in Ihrem Unternehmen zugeschnitten ist. Dieser Aufbau von Widerstandsfähigkeit auf der Grundlage von Prioritäten wird viele operative Sicherheitsprobleme angehen, die wir in der Vergangenheit erlebt haben.
„In einer Welt, in der wir nur begrenzte Möglichkeiten haben, ... kümmern Sie sich zuerst um die kritischen Probleme und erarbeiten Sie dann einen Plan zur Behebung der anderen Schwach-stellen, denen Sie möglicherweise ausgesetzt sind.“
