Firmenfachbeitrag
29.08.2022, 07:30 Uhr
Cyber-Resilienz als Aufgabe des Managements
Cyber-Angriffe gehören heutzutage unbestritten zu den grössten Gefahren für Unternehmen. Umso wichtiger ist es, dass eine effektive Cyber-Resilienz-Strategie vorhanden ist – mit dem Management als oberste Instanz.
Cyber-Sicherheit ist angesichts der zunehmenden Cyber-Kriminalität ein essenzielles Thema für den Geschäftserfolg. Aus einem Angriff können massive Schäden resultieren, die mitunter existenzbedrohend sein können. Mögliche Schäden sind unter anderem der Verlust von Kundenvertrauen und Reputation, Umsatzeinbussen, Folgekosten für Ersatz und Wiederherstellung, Rechtskosten, Bussen, Kompensationszahlungen für Verzögerungen usw. Sicherheitsmauern und Abwehr allein reichen längst nicht mehr aus, um diese Risiken abzuwehren. Gefordert ist Cyber-Resilienz – sprich, die Verschmelzung von Cyber-Sicherheit, Risiko-Management, Geschäftskontinuität und Resilienz-Praktiken. Dadurch wird die Fähigkeit verbessert, Angriffen standzuhalten oder sich möglichst rasch davon zu erholen. Genau deshalb gehört das Thema Cyber-Resilienz auf die Traktandenliste der Geschäftsleitung bzw. des Verwaltungsrates. Denn es geht nicht darum, mit sämtlichen Technologien vertraut zu sein, operative Massnahmen vorzugeben oder diese zu überprüfen. Wichtiger ist, anhand gezielter Fragen jene Informationen zu erhalten, anhand derer sowohl die aktuelle Gefahrensituation als auch die Widerstandsfähigkeit des Unternehmens eingeschätzt werden können. Dem Verwaltungsrat kommt zudem eine weitere entscheidende Rolle zu: Gemäss Schweizer Obligationenrecht ist dieser verpflichtet, ein integrales Risiko-Management auszugestalten, dieses zu implementieren und zu überwachen.
Selbsteinschätzung als erster Schritt
Eine effektive Strategieerarbeitung bedingt zuallererst eine ehrliche Selbsteinschätzung bezüglich der aktuellen Cyber-Resilienz. Dazu gehört die Beantwortung von strategisch wichtigen Fragen wie beispielsweise: Wird das Management regelmässig über Themen der Cyber-Resilienz informiert? Wie gut ist das Unternehmen auf einen Sicherheitsvorfall vorbereitet? Besteht ein dokumentiertes Datenschutz- und Cyber-Sicherheitsprogramm? Verstehen und befolgen die Mitarbeitenden entsprechende Richtlinien? Werden regelmässig unabhängige Bewertungen durchgeführt? Verfügt das Unternehmen über grundlegende Cyber-Resilienz-Vorgaben für Business Continuity, Disaster Recovery, Incident Response und der kontinuierlichen Verbesserung sowie Kommunikation? Dies sind nur einige von vielen Fragen, die jedoch zentral sind und daher eindeutig beantwortet werden sollten.
Grundsätze beim Aufbau einer Cyber-Resilienz-Strategie
Das Management trägt die Verantwortung für die Identifikation, Einschätzung, Steuerung und Überwachung von Cyber-Risiken sowie der entsprechenden Widerstandsfähigkeit. Dabei kann die Handlungsverantwortung selbst übernommen, an ein bestehendes Gremium (z.B. Prüfungs- oder Risikoausschuss) oder an ein spezifisches Experten-Team delegiert werden. Nicht delegiert werden kann hingegen die Führungsverantwortung. Deshalb empfiehlt es sich, den Umfang, die Zuständigkeiten sowie die Art und Weise, in der diese Zuständigkeiten wahrgenommen sollen, schriftlich festzulegen; einschliesslich der Strukturen und Prozesse zur Überprüfung der Cyber-Resilienz.
Weiter sollte Cyber-Resilienz in die unternehmensweite Risikobetrachtung miteinbezogen werden. Dem Management obliegt auch die Verantwortung, sicherzustellen, dass Cyber-Resilienz und die Cyber-Risikobewertung in die Geschäftsstrategie, in das unternehmensweite Risiko-Management sowie im Budget und der Ressourcenallokation integriert sind. Zudem müssen aktuelle Bedrohungen und Entwicklungen dokumentiert und dem Management rapportiert werden.
Cyber-Resilienz-Massnahmen aufbauen und die Umsetzung kontrollieren
Für den Aufbau sowie die Umsetzungskontrolle der Cyber-Resilienz-Massnahmen dient das bewährte Cyber Security Framework (CSF), bestehend aus den fünf Komponenten Identify, Protect, Detect, Respond und Recover.
Im ersten Schritt «Identify» steht die Vorbereitung im Vordergrund. Dazu gehören unter anderem das Betreiben eines angemessenen Risiko-Managements, die Identifizierung von Sicherheitsrisiken, das Zuweisen von Aufgaben, Kompetenzen sowie Verantwortlichkeiten oder das Kennen und Inventarisieren der unternehmenskritischen Daten und Prozesse. Im zweiten Schritt «Protect» erfolgt die eigentliche Umsetzung der Cyber-Resilienz-Massnahmen: die Mitarbeitenden-Sensibilisierung, der Aufbau eines Sicherheits-Frameworks nach Standards wie ISO 27001 oder NIST CSF, Identitäts- und Zugriffs-Management, Implementierung von angemessenen Sicherheits- und Abwehrmassnahmen sowie das regelmässige Patch- und Schwachstellenmanagement aller IT-Systeme. Mit «Detect» erfolgt die wirksame Sicherheitsüberwachung zur Erkennung von Angriffsspuren, Lateral-Movement und weiteren typischen Angriffstechniken anhand der Cyber-Killchain. Hilfreich sind auch die Segmentierung und Überwachung der Netzwerke sowie periodisch simulierte Cyber-Angriffe, um potenzielle Einfallstore frühzeitig zu erkennen. Zu Schritt vier, «Respond», gehört die aktive Auseinandersetzung im Falle eines erfolgreichen Angriffs im Sinne der Entwicklung sowie dem Üben von Incident-Response-Notplänen für eine effektive und effiziente Reaktionsplanung, Kommunikation sowie Analyse der Vorfälle und Schadensminderung. Ebenso sollte in diesem Schritt ein kontinuierlicher Verbesserungsprozess zur Optimierung der Cyber-Resilienz implementiert werden. Nicht zuletzt ist «Recover» ein wichtiger Bestandteil, um sich mit dem Wiederaufbau nach einem potenziell erfolgreichen Cyber-Angriff auseinanderzusetzen, um rasch wieder handlungsfähig zu sein. Entsprechend gehören dazu die Entwicklung und das Testen eines Cyber-Notfall-Wiederherstellungsplans inkl. Kommunikation sowie Nachbearbeitung und das regelmässige Erstellen von Offline-Backups sämtlicher Systeme.
Ein umfassendes CSF wird in enger Zusammenarbeit mit der Geschäftsleitung erarbeitet, welche auch die Umsetzung steuert und sicherstellt, dass Cyber-Resilienz übergreifend abgestimmt wird.
Externe Unterstützung als Schlüsselfaktor
Anhand dieser keineswegs abschliessenden Übersicht wird klar, dass Cyber-Resilienz zwingend vom obersten Management orchestriert werden muss. Denn es stellt sich längst nicht mehr die Frage, ob ein Cyber-Angriff erfolgreich ist, sondern wann. Ein besonderes Augenmerk gilt daher den Komponenten «Detect» und «Respond», da im Notfall jede Sekunde zählt. Umso wichtiger ist es, frühzeitig einen erfahrenen Partner zu evaluieren, auf den bei einem Angriff Verlass ist und der dabei unterstützt, möglichst schnell aus dem Not- in den Normalbetrieb zurückzukehren.
Zum Autor
Franco Cerminara: Chief Consulting Officer, InfoGuard AG
Über InfoGuard: Die InfoGuard AG ist spezialisiert auf umfassende Cyber Security. Zu den Kompetenzen zählen massgeschneiderte Dienstleistungen im Bereich der Sicherheitsberatung und Security Audits sowie in der Architektur und Integration führender Netzwerk- und Security-Lösungen. Cloud, Managed und Cyber Defence Services erbringt der Schweizer Cyber-Security-Experte aus dem ISO 27001 zertifizierten InfoGuard Cyber Defence Center in der Schweiz. InfoGuard hat ihren Hauptsitz in Baar / Zug und eine Niederlassung in Bern. Ihre über 180 Sicherheitsexpert*innen sorgen tagtäglich für die Cyber Security bei über 300 Kunden in der Schweiz, Deutschland und Österreich. InfoGuard ist ISO/IEC 27001:2013 zertifiziert und Mitglied bei FIRST (Global Forum of Incident Response and Security Teams).
Mehr Informationen: www.infoguard.ch
Dieser Beitrag wurde von der InfoGuard AG zur Verfügung gestellt und stellt die Sicht des Unternehmens dar. Computerworld übernimmt für dessen Inhalt keine Verantwortung.