Wenn es darum geht, Bedrohungen für die betriebliche Widerstandsfähigkeit zu erkennen, sind vor allem Menschen und Beziehungen der entscheidende Faktor für den Informationsaustausch. Andere Abteilungen im Unternehmen kennen ihre Bereiche besser, als es mein Team das je tun wird.
Sie wissen auch, welche Auswirkungen im Ernstfall für ihren Geschäftsbereich zu erwarten sind. Die Formulierung eines „Erfolgspfads“ hat sich als sehr hilfreich erwiesen, um das Team dazu zu bringen, einen Schritt zurückzutreten und zu überlegen, welche Untergangsszenarien ihre Pläne zunichtemachen und es ihnen unmöglich machen würden, zu arbeiten.
Wir haben standardisierte Designmuster und Teamnormen eingeführt, um diese Untergangsszenarien zu entschärfen. Designmuster können in Form von standardisierten technischen Architekturen, Anforderungen oder betrieblichen Prozessen vorliegen. Teamnormen bestehen in der Regel aus übergreifenden Schulungen, festgelegten Rollen, Kommunikationsmodi und Eskalationen.
Der größte Gewinn aus unserem proaktiven Ansatz machte sich im März 2020 bemerkbar, als das Unternehmen gezwungen war, den Betrieb kurzfristig und auf unbestimmte Zeit vollständig auf Telearbeit umzustellen. Im Jahr 2019 hatten wir aufgrund von Gesprächen mit anderen Teams im gesamten Unternehmen erkannt, dass es in unserer IT-Infrastruktur vier entscheidende Probleme gab, die unsere Widerstandsfähigkeit stark einschränken würden.
Viele kritische Geschäftsprozesse hingen von der IT-Infrastruktur ab, die im Büro untergebracht war. Dort fehlte es jedoch an Redundanz bei Strom, Internet und Kühlung.
Das Management der IT-Infrastruktur, insbesondere der Telefonanlage des Unternehmens, erforderte spezielle Sachkenntnisse, die wir intern nicht hatten. Für das Gerätemanagement waren wir extrem auf externe Ressourcen angewiesen, und im Falle eines Problems wussten wir nicht, wie schnell wir den Service wiederherstellen konnten.
Wir besaßen nicht das nötige Team, um unsere internen IT-Systeme ausreichend zu überwachen und zu schützen, und der Managed-Service-Provider war dieser Aufgabe nicht gewachsen.
Der Remote-Zugang erwies sich bei Telefonaten mit Kunden als schwierig.
Um das Risiko längerer Ausfälle zu vermeiden und die Remote-Arbeit zu erleichtern, haben wir beschlossen, unsere gesamte interne IT-Infrastruktur auf Cloud-basierte Services umzustellen. Als die Umstellung auf Vollzeit-Telearbeit erfolgte, wurden wir nicht kalt erwischt.
In meiner langjährigen Tätigkeit im medizinischen Bereich habe ich erlebt, wie die Security Resilience ein Unternehmen unterstützen kann. Vor allem, als es mein Team mit einer sehr raffinierten Malware-Variante zu tun hatte, die auf eine bestimmte Marke von weit verbreiteten Intensivstationen abzielte.
Medizinische Geräte für die Intensivstation (ICUMDs) werden zur genauen Überwachung, Stabilisierung und Behandlung von Intensivpatienten eingesetzt, die oft bewusstlos und praktisch voll auf diese Geräte angewiesen sind, um zu überleben. Die Malware betraf die Spritzenpumpe (zur Verabreichung einer bestimmten Medikamentenmenge) und die Pumpenüberwachungsfunktion, was lebensgefährlich werden konnte.
Bei der Analyse dieser Geräte haben wir sowohl aktuelle Sicherheitslücken als auch künftige Bedrohungen festgestellt. Es wurde uns klar, dass wir Schlüsselbereiche wie Software-Updates, Patching und Zugriff mit einem ganz anderen Ansatz angehen mussten als bei anderen IT-basierten Geräten. Wir haben einen äußerst durchdachten Prozess für die Phasen der Identifizierung, Erkennung und Reaktion in unsere Security-Resilience-Strategie aufgenommen.
Auf diese Weise haben wir die Malware in einer isolierten Testumgebung identifiziert. Wie sich herausstellte, wurde die Malware über einen infizierten Patch des Herstellers eingeschleust. Damals war keine Sicherheitssoftware für Endpunkte in der Lage, diese Malware zu erkennen, und wenn wir die üblichen Sicherheitsprozesse befolgt hätten, hätten wir das Leben von Hunderten von PatientInnen in Gefahr gebracht. Es war unvorstellbar, dass jemand etwas so Bösartiges entwickeln würde, das den Verlust von Menschenleben zur Folge haben könnte.
Für viele SicherheitsexpertInnen, die an vorderster Front arbeiten, ist Security Resilience die Fähigkeit eines Unternehmens, sich an bekannte und unbekannte Bedrohungen anzupassen. Die kontinuierliche Umgestaltung von Unternehmen in Krisenzeiten ist eine Schlüsselstrategie für den Aufbau der Widerstandsfähigkeit von Unternehmen.
Die Beschaffung von Lösungen ist nur ein Teil des Dreigestirns aus Menschen, Prozessen und Technologie. Genauso wichtig ist es, über Personal zu verfügen, das die Lösungen unterstützt. Oftmals gelingt es Unternehmen nicht, ihr Cybersicherheitspersonal zu halten, weil ihnen keine aktuellen Gehaltsdaten vorliegen und sie keine Möglichkeit haben, das exponentielle Wachstum dieser Personen in diesem Bereich und ihren Marktwert zu verstehen. Es muss eine engere Beziehung zwischen Cybersicherheit, Finanzen und Personalwesen bestehen, um Sicherheitsprogramme aufzubauen und zu unterstützen.
In einer früheren Funktion war die Implementierung eines flexiblen, modularen GRC-Systems die wirkungsvollste Lösung. Was jedoch dazu beitrug, das Interesse mehrerer Abteilungen zu wecken, war die Fähigkeit, funktions-übergreifend zu sein und Anbietermanagement, Anbieterrisikomanagement, Richtlinienmanagement und IT-Risikomanagement abzudecken. Somit war dies nicht nur eine zentralisierte Lösung für das Risikomanagement, sondern auch ein Repository für die Unternehmens-richtlinien.
Mit der Bereitstellung einer Lösung für das Anbietermanagement wurde auch eine Lösung für das Risikomanagement von Anbietern bereitgestellt, mit der wichtige Anbieter in eine Risikostufe eingeordnet werden können. Auf diese Weise konnten die Risikoprofile der einzelnen Anbieter sowie das Gesamtrisikoprofil Dritter ermittelt werden. Das Kosten-Nutzen-Verhältnis einer solchen Lösung ist leicht zu rechtfertigen, wenn man die manuellen Prozesse in jedem der Anwendungsfälle betrachtet.
Die GRC-Lösung begann mit einem Modul und wurde im Laufe der Zeit auf vier Module erweitert, da auch andere Abteilungen den Zugang suchten, um ihre Dokumentation zu zentralisieren oder die Lösung für ihre Kernprozesse zu nutzen.
Vor ein paar Jahren arbeitete ich mit einem Einzelhandelsunternehmen zusammen, das mit seiner Zulieferkette große Risiken einging. Angriffe auf die Lieferkette sind seit kurzem eine beliebte Angriffsmethode. Dies ist jedoch kein neues Phänomen, und ich wurde kontaktiert, um diesem Unternehmen nach einer ziemlich schweren Datensicherheitsverletzung zu helfen. Die Verletzung war nicht auf die unternehmenseigene Abwehr zurückzuführen, sondern auf eine Schwachstelle bei einem der Hauptlieferanten des Unternehmens.
Ich habe eine Überprüfung der Zulieferer geleitet und unter anderem die kritischen Zulieferer bewertet (das Unter-nehmen hatte etwa 200 Zulieferer). Dann mussten wir untersuchen, mit welchen Unternehmen sie persönliche und vertrauliche Daten austauschen. Anschließend haben wir alle Anbieter auf der Grundlage der Klassifizierung der Informationen in Stufen eingeteilt.
Anschließend haben wir alle Hauptlieferanten geprüft. Das half dem Kunden, weil er dadurch ein genaueres Bild davon bekam, welche seiner Lieferanten riskant waren. Infolgedessen konnten wir eine deutliche Verbesserung bei dem Verfahren für die Lieferantenauswahl feststellen. Nun ging es nicht mehr nur um die Qualität der Waren, sondern auch um Sicherheitsaspekte.
Ein weiterer wichtiger Aspekt der Widerstandsfähigkeit ist die Möglichkeit, nicht nur zu erkennen, wenn etwas nicht in Ordnung ist, sondern dies auch schnell zu tun. Dabei handelt es sich um Konzepte, die als mittlere Zeit bis zur Entdeckung (MTTD) und mittlere Zeit bis zur Reaktion (MTTR) bekannt sind.
Es wird immer Bedrohungen und Vorfälle geben. Widerstandsfähigkeit ist erreicht, wenn sowohl die Wahrscheinlichkeit eines Vorfalls verringert als auch die verursachten Auswirkungen minimiert werden.
Die Arbeit im Bereich der Cyber Threat Intelligence (CTI) im Vereinigten Königreich wird immer eine erhöhte Alarmstufe erfordern. Glücklicherweise haben wir unsere Infrastruktur so gestaltet, dass die Angriffsfläche und die Gefährdung anfälliger Services geringer sind.
Dieses Bekenntnis zu einer „Best Practice“-Architektur bietet zudem ein hohes Maß an Widerstandsfähigkeit. Für uns geht es vor allem darum, sachkundige EntwicklerInnen zu haben, die sich der Erstellung von sicherem Code verschrieben haben und dafür sorgen, dass dieser ordnungsgemäß und unter strikter Einhaltung der ISO 27001-Norm bereitgestellt wird.
Als nahezu virtuelles Unternehmen befinden sich unsere Daten und E-Mails alle in Software-as-a-Service-Clouds (SaaS-Clouds), um die ultimative Zugänglichkeit und den Datenschutz zu gewährleisten, den diese erstklassigen Anbieter bieten. Wer in der CTI-Welt arbeitet, ist sich der Bedrohungen bewusst, denen alle Unternehmen ausgesetzt sind, auch das eigene.
Wir haben einen Chief Compliance Officer, der mit uns zusammenarbeitet, und alle Ebenen des Unternehmens kämpfen täglich gegen Angreifer in der physischen und virtuellen Welt. Dies fördert eine starke Sicherheitskultur und eine funktionierende Widerstandsfähigkeit.
„Für uns geht es vor allem darum, sachkundige EntwicklerInnen zu haben, die sich der Erstellung von sicherem Code verschrieben haben und dafür sorgen, dass dieser ordnungsgemäß und unter strikter Einhaltung der ISO 27001-Norm bereitgestellt wird“.
Ein Beispiel für den Aufbau von Widerstandsfähigkeit stammt aus meiner Zeit als erster Chief Privacy Officer von Cisco. Sobald es um das Aufsetzen von Verträgen ging, stießen wir häufig auf Misstrauen und Unsicherheit, wenn Kunden Collaboration-Produkte oder andere datenschutzsensible Produkte kaufen wollten. In langen Verhandlungen drehte sich alles um grundlegende Fragen wie „Wo werden die Daten gespeichert?“ und „Wer verwaltet die Anmeldedaten unserer Belegschaft und Kunden?“
Ich war in der Ausstellung des Londoner Verkehrsmuseums, als mir die Lösung einfiel: Die Übersichtlichkeit der Karten für die Londoner U-Bahn war perfekt! Wie wäre es, wenn wir den Kunden in einer leicht verständlichen Infografik zeigen könnten, um welche Daten es sich handelt, und wo und wie lange sie gespeichert werden?
Genau das haben wir im Cisco Trust Center entworfen und veröffentlicht, und die Ergebnisse waren sofort greifbar, messbar und nachhaltig. Wenn Menschen systemische, komplexe Probleme visualisieren können, können sie gemeinsam planen, sich einsetzen und etwas aufbauen.
Mein derzeitiges Unternehmen ist PrivacyCode, Inc. Wir bieten eine Plattform an, mit der Akteure, die komplexe rechtliche und politische Anforderungen ausarbeiten und durchsetzen müssen, diese effektiv in verwertbare, messbare und handlungsorientierte Aufgaben für technische Teams umsetzen können.
In einer Welt des ständigen Wandels und der zunehmenden Komplexität schafft und stärkt eine klar kommunizierte und strukturierte Führung die Widerstandsfähigkeit. Ich bin immer auf der Suche nach einfachen und leicht umzusetzenden Schritten zur Lösung großer Herausforderungen.
„In einer Welt des ständigen Wandels und der zunehmenden Komplexität schafft und stärkt eine klar kommunizierte und strukturierte Führung die Widerstandsfähigkeit.“
