Gastbeitrag
16.11.2018, 08:30 Uhr
Bereit für den nächsten Angriff
Mit der Digitalisierung steigt das Risiko von Cyberattacken – auch auf Schweizer Unternehmen. Deshalb ist es wichtig, seine Cyber Resilience systematisch und nachhaltig zu stärken. Der Schlüssel liegt in der schnellen Erkennung und der noch schnelleren Reaktion auf Cyberattacken.
Response Team in Aktion: Fachleute überwachen in einem speziellen Cyber Defence Center die Firmen-IT und reagieren rasch im Fall eines Cyberangriffs
(Quelle: InfoGuard)
Täglich finden neue Cyberattacken auf Unternehmen und Organisationen statt. Bedrohlicher als die schiere Menge der Angriffe ist ihre zunehmende Qualität, Effizienz und Professionalität. Erschwerend kommt hinzu, dass es nicht selten Wochen, Monate oder gar Jahre dauert, bis ein erfolgreicher Angriff von den Betroffenen entdeckt wird. Denn professionelle Hacker sind listig und unterlaufen so manches Detektionssystem.
Neue Technologien wie Cloud und Mobile Computing, die Virtualisierung, das «Internet der Dinge», Blockchain etc. sorgen zudem für immer neue Herausforderungen und Bedrohungen im Security-Ökosystem. Cyber Security muss einerseits die klassischen Risiken bewältigen wie zielgerichtete Malware, Datenverlust, Sicherheits-Updates, starke Authentifizierung, Zugriffsrechte etc. Andererseits ergeben sich dadurch laufend anspruchsvolle Aufgaben, die neue Technologien und damit auch Risiken mit sich bringen. Darüber hinaus gilt es, zahlreiche regulatorische Vorgaben wie beispielsweise die GDPR zu erfüllen.
Stärken Sie Ihre Abwehr gegen Cyberattacken
Vor diesem Hintergrund ist es unerlässlich, mehr in die Erkennung und Reaktion auf Cyberattacken zu investieren. Cyberrisiken haben sich in den letzten Jahren zu den grössten operativen Risiken für Unternehmen entwickelt. Dabei gilt es unter anderem, unternehmenskritische Elemente der IT-Infrastruktur vor Ausfall, Fehlfunktionalität oder Manipulation zu schützen. Klassische IT-Sicherheit ist dabei aber nur ein Teil und umfasst lediglich den Schutz der Systeme. Dieser ist zweifelsohne notwendig, aber heutzutage nicht mehr ausreichend. Entscheidend ist die Widerstandsfähigkeit des gesamten Unternehmens – sprich, dass die Prozesse, Mitarbeitenden und die IT-Infrastruktur auf interne und externe Risiken vorbereitet sind und das Unternehmen im Ereignisfall schnell reagieren kann.
Cyberrisiken ganz auszuschliessen, ist heutzutage unmöglich. Ein systematischer Sicherheitsansatz ist daher das A und O einer erfolgreichen Cyber-Security-Strategie. Dabei müssen sowohl das Risikomanagement, der Schutz der Informationen, die Erkennung und Reaktion auf Sicherheitsvorkommnisse als auch die Wiederherstellung und Optimierung berücksichtigt werden.
Risikomanagement als Managementaufgabe
Gemäss dem Schweizerischen Obligationenrecht ist das Risikomanagement eine implizite Aufgabe des Verwaltungsrates. Mit den Revisionen in den Jahren 2008 und 2013 wurde zudem das interne Kontrollsystem und der Risikobericht explizit im Obligationenrecht vorgeschrieben. Die Empfehlungen des Swiss Code of Best Practice for Corporate Governance gehen mit der weiter gefassten Definition des Internen Kontrollsystems (IKS) noch stärker in Richtung umfassendes Risikomanagement. Dies beinhaltet alle Tätigkeiten zur Identifikation, Einschätzung, Steuerung und Überwachung von Risiken bezüglich der Zielerreichung im Unternehmen. Es betrachtet sowohl finanzielle, operative (beispielsweise Cyberrisiken) sowie strategische und marktspezifische Risiken.
Obwohl das Risikomanagement nicht explizit als Aufgabe des Verwaltungsrates genannt ist, ist dieser aufgrund der nicht delegierbaren gesetzlichen Aufgaben wie Rechnungslegung, Finanzkontrolle, Überwachung etc. verantwortlich. Seit der Aktienrechtsrevision 2008 trägt der Verwaltungsrat zudem die Verantwortung, dass ein internes Kontrollsystem existiert. Seit 2013 müssen ordentlich revisionspflichtige Unternehmen anstelle des Jahresberichts einen Lagebericht mit einer Risikobeurteilung erstellen.
Unternehmen sind also gut beraten, sich konsequent mit aktuellen und neuen Risiken auseinanderzusetzen und der Informationssicherheit das nötige Gewicht beizumessen. Die Cyber-Security-Strategie bildet dabei den bereichsübergreifenden, strategischen Rahmen. Internationale Standards wie ISO 27001 oder das NIST Cyber Security Framework bieten dazu anerkannte Modelle für die Errichtung, Umsetzung, Überprüfung und kontinuierliche Verbesserung der eigenen Cyber Resilience.
(ICT-)Sicherheitsmauern reichen nicht aus
Unternehmen müssen sich auf Cyberattacken vorbereiten. Der Schutz von Netzwerken und Unternehmenswerten wird aber immer schwieriger; insbesondere vor anspruchsvollen Attacken, die durch herkömmliche Ansätze nicht erkannt werden. Denn traditionelle Sicherheitssysteme wie Intrusion Detection und Anti-Virus-Lösungen haben den Fokus auf der Erkennung von Angriffen, wenn bereits erste Barrieren überwunden oder Muster bekannt sind. Heutzutage gilt es aber, den Fokus nicht nur auf den Schutz und die Abwehr zu legen, sondern insbesondere die Detektion und die rasche Reaktion auf sicherheitsrelevante Ereignisse ins Zentrum zu stellen. Man darf sich daher nicht mehr nur auf (immer) höhere ICT-Sicherheitsmauern verlassen – denn Angreifer werden leider immer einen Weg finden ...
Zudem wirkt es sich extrem nachteilig für die Cyber Resilience aus, wenn man den Wald vor lauter Bäumen nicht mehr sieht. Viele Unternehmen wenden 60 oder mehr Cyber-Security-Tools der verschiedensten Hersteller an, viele davon mit einem sehr dedizierten Anwendungsfeld. Eine
solche Vielfalt macht es fast unmöglich, im Gefahrenfall (oder auch nur in der täglichen Routine) schnell und umfassend zu agieren. Deshalb braucht es zur Verteidigung technologische Unterstützung in Form einer zentralen Security-Intelligence-Plattform und entsprechenden Agenten auf den Endgeräten. Sie sammelt automatisch alle Informationen aus den Infrastrukturkomponenten, vergleicht diese mit externen Threat Feeds und untersucht sie in Echtzeit auf Angriffe. Ergänzt wird dieses System mit Breach-Detection-Systemen, die den Datenverkehr mithilfe von Data Science, maschinellem Lernen und Verhaltensanalysen durchsuchen und auswerten.
solche Vielfalt macht es fast unmöglich, im Gefahrenfall (oder auch nur in der täglichen Routine) schnell und umfassend zu agieren. Deshalb braucht es zur Verteidigung technologische Unterstützung in Form einer zentralen Security-Intelligence-Plattform und entsprechenden Agenten auf den Endgeräten. Sie sammelt automatisch alle Informationen aus den Infrastrukturkomponenten, vergleicht diese mit externen Threat Feeds und untersucht sie in Echtzeit auf Angriffe. Ergänzt wird dieses System mit Breach-Detection-Systemen, die den Datenverkehr mithilfe von Data Science, maschinellem Lernen und Verhaltensanalysen durchsuchen und auswerten.
“Detect and Respond sind entscheidend für die Stärkung der Cyber Resilience„
Franco Cerminara
Wird eine Cyberattacke erkannt oder befindet sich ein Angreifer bereits im internen Netz, muss ein Unternehmen jederzeit in der Lage sein, schnell zu reagieren, indem etwa auf jedem Endgerät eine Analyse gestartet werden kann. Nur auf diese Weise lässt sich die gesamte Infrastruktur flächendeckend nach Indicators of Compromise (IoC) wie Prozess- und Directory-Pfade, File Hashes oder involvierte externe IP-Adressen durchsuchen. Unternehmen, die nur auf präventive Sicherheit bauen, werden Angriffe nach dem Muster der Advanced Persistant Threats nicht erkennen können und setzen sich einem erheblichen Risiko aus.
Jeder Tag ein «Zero Day»
Da Attacken rund um die Uhr erfolgen, muss ein Unternehmen auch an sieben Tagen der Woche – während 24 Stunden – Cyber Security gewährleisten können. Dazu braucht es entsprechende Ressourcen, Know-how sowie Werkzeuge und dies am besten aus einem dedizierten Cyber Defence Center. Nicht selten sind in Unternehmen jedoch die Teams für IT-Operations sowie für die Cyber Security in verschiedenen Geschäftseinheiten oder zumindest in unterschiedlichen Abteilungen angegliedert und berichten an mehrere Vorgesetzte. Dies fördert leider das Silodenken und auch der Kommunikationsfluss lässt teilweise zu wünschen übrig. Die Aufdeckung und Bekämpfung von Risiken und die kontinuierliche Wartung müssen jedoch Hand in Hand gehen. Nur so lässt sich die Cyber Resilience zielgerichtet und kontinuierlich verbessern.
Der Autor
Franco Cerminara ist Chief Consulting Officer bei InfoGuard. www.infoguard.ch