Vier Fragen zur Cybersicherheit, auf die jeder CISO eine Antwort haben sollte

In Teil 1 unserer sechsteiligen Blog-Reihe zur Verbesserung Ihrer Cybersicherheitsstrategie zeigen wir auf, warum eine leider nur allzu übliche, extrem kleinteilige und verschachtelte Vorgehensweise die Sicherheitslage für alle verschlechtert. Außerdem stellen wir Ihnen die vier Schlüsselfragen, auf die jeder CISO eine Antwort haben sollte.

Die IT-Infrastruktur wächst oft parallel mit einem Unternehmen. Neue Tools, Applikationen, Systeme und Benutzerprofile werden notgedrungen irgendwie auf das bestehende System aufgepfropft, meist ohne dabei strategisch vorzugehen. Rund um diese Ergänzungen entstehen organisatorische Silos, sobald einzelne Abteilungen feststellen, dass neue Tools neue Fähigkeiten für den Einsatz und die Wartung erfordern. Schnell ähnelt das Ganze einem heruntergekommenen alten Haus, an das jede Generation von Hausbesitzern einen neuen Raum angebaut hat.

Bedrohungen lauern in den dunklen Ecken Ihrer Infrastruktur. Unvorhergesehene Schwachstellen, veraltete Technologien, verteilte Rechenzentren, immer größere Netzwerke, allzu neugierige Insider und leichtgläubige Benutzer gibt es zu Genüge. Da die verschiedenen Bestandteile der IT-Infrastruktur des Unternehmens verstreut und aufgeteilt sind, ist es für einzelne Personen oder Abteilungen schwierig, sich eine ganzheitliche Sicht auf das gesamte Netzwerk zu verschaffen.

Lesen Sie die komplette Blog-Reihe zum Thema Cyber Exposure (einige Beiträge sind möglicherweise nur auf Englisch verfügbar):

Vier Fragen zur Cybersicherheit, auf die jeder CISO eine Antwort haben sollte

3 Tips for Identifying Your Organization’s Cyber Exposure Gap

5 Tips for Prioritizing Vulnerabilities Based on Risk

Metrics and Maturity: Benchmarking Your Cyber Exposure Over Time

How Do Your Cyber Exposure Practices Stack Up to Those of Your Peers?

Cyber Exposure: Taking a Holistic Approach to Vulnerability Management

Mangelnde Sichtbarkeit macht es schwierig, isolierte Bedrohungsvektoren zu finden, und noch schwieriger, sie zu beseitigen, sobald sie gefunden wurden. Denn in den meisten Fällen sind die verfügbaren Tools und Maßnahmen nur darauf ausgerichtet, spezifische und nicht integrierte Problembereiche anzugehen. Wir haben die Erfahrung gemacht, dass verschiedene Sicherheitstools punktuell in verschiedenen Bereichen eines Unternehmens eingesetzt werden. Die für Betrieb, Application Security, DevOps, Netzwerksicherheit, maschinelles Lernen, High Performance Computing, Security Operations Center (SOC) sowie Auditing und Compliance zuständigen Teams setzen häufig alle ihre eigenen separaten Tools ein. Und an Sicherheitstools an sich mangelt es durchaus nicht. Auf der RSA Conference 2018 stellten mehr als 600 Anbieter ihre Lösungen vor.

Diese Probleme sind nicht neu. Doch war es noch nie so dringlich, sie anzugehen, da immer größere Angriffsoberflächen entstehen. Bei unserer Arbeit mit IT- und Cybersicherheitsfachkräften hören wir oft von den Herausforderungen beim Schutz all der isolierten Apps – und der verteilten Computer- und Speicherplattformen – die in Unternehmen eingesetzt werden. Operative Technologien (OT) und das Internet der Dinge (IoT) stellen dabei eigene Problembereiche dar, da diese mit dem Internet verbundenen Lösungen oftmals nicht unter der Aufsicht der IT-Abteilung bereitgestellt werden.

In den meisten Fällen integrieren Unternehmen Anwendungen über APIs und betten eine Vielzahl von Clouds in eine einzige Managementplattform ein, um viele Anwendungen auf einmal zu verwalten. Aber auch dieser Ansatz ist nur eine Notlösung. Er kann nicht als Ersatz für eine ganzheitliche Cybersicherheitsstrategie dienen, bei der das Hauptaugenmerk auf der Sichtbarkeit des gesamten Netzwerks liegt und Detailkenntnisse über mögliche Bedrohungen zum Einsatz kommen, dank denen Unternehmen ihre Reaktionen effektiv priorisieren können. Wir nennen diesen Ansatz Cyber Exposure.

Cyber Exposure ist ein neuer Ansatz für das Management und die Messung von Cybersicherheitsrisiken im digitalen Zeitalter. Cyber Exposure verwandelt Sicherheit von statischer und isolierter Sichtbarkeit in dynamische und ganzheitliche Sichtbarkeit für moderne Angriffsoberflächen. Dies ist die Grundlage für die Entwicklung einer Cybersicherheitsstrategie, die alle modernen Angriffsoberflächen berücksichtigt.

Vier Fragen, auf die jeder CISO eine Antwort haben sollte

Die Entwicklung einer ganzheitlichen Cybersecurity-Strategie mithilfe der Disziplin der Cyber Exposure ermöglicht es Ihnen, für jede dieser vier Fragen über Ihr Unternehmen zu jedem Zeitpunkt die richtige Antwort parat zu haben:

• Wie sicher – und wie gefährdet – sind wir? Die Beantwortung dieser Frage erfordert Einblick in sämtliche Aspekte der Angriffsoberfläche des Unternehmens – einschließlich von Cloud-Ressourcen, Containern, industriellen Steuerungssystemen und Mobilgeräten, die die IT-Abteilung möglicherweise nicht auf dem Radar hat. Dazu gehört auch, dass erfasst wird, wo genau Ihr Unternehmen spezifischen Bedrohungen ausgesetzt ist. Wenn Ihr Unternehmen beispielsweise besonders sorgfältig beim Aufspielen von Patches vorgeht, ist die neueste Windows-Schwachstelle für Sie möglicherweise nicht so problematisch wie für ein Unternehmen, das seine Systeme seit sieben Jahren nicht mehr gepatcht hat. Indem Sie sich klarmachen, wo Ihre Sicherheitlücken sind bzw. wo sie sein könnten, erhalten Sie einen Gesamtüberblick über die Gefährdung.
• Wo sollten wir Prioritäten setzen? Die Antworten auf diese Frage sollten auf einer Kombination aus Threat-Intelligence zum Verständnis des Gefährdungspotenzials und der Kritikalität verschiedener Assets basieren, für deren Analyse der geschäftliche Hintergrund und Stellenwert des einzelnen Assets berücksichtigt werden muss. Eine effektive Priorisierung von Schwachstellen muss den geschäftlichen Kontext berücksichtigen, damit Sie Ihre Arbeit, Ihre Ressourcen und Ihr Budget optimieren können. Sie ermöglicht es Ihnen, sich auf den Schutz der gefährdeten Bereiche zu konzentrieren, die Ihr Unternehmen hinsichtlich Arbeitskosten, eventueller Sanktionen, Zeit, Erholung von Rückschlägen und Ansehen am teuersten zu stehen kommen. Zudem beugt sie auch einer nachlassenden Gefahreneinschätzung bei Fehlermeldungen vor, da Sie priorisieren können, wie Ihr Team auf Schwachstellen reagiert, je nachdem, wie kritisch die betroffenen Assets für Ihr Unternehmen sind und mit welcher Wahrscheinlichkeit eine bestimmte Schwachstelle ausgenutzt wird.
• Wie können wir die Gefährdung im Laufe der Zeit reduzieren? Je besser Sie in der Lage sind, diese Frage zu beantworten, desto besser ist es um die Zukunftsfähigkeit Ihres Unternehmens bestellt. Sie müssen die Kennzahlen und KPIs zur Messung Ihrer Leistungen bestimmen. Diese Kennzahlen sollten nach Geschäftseinheit, Region und Asset-Typ aufgeschlüsselt werden können. Ziel ist es, zu verstehen, wie sich Ihr Gefährdungsprofil von Monat zu Monat, von Quartal zu Quartal und von Jahr zu Jahr ändert, damit Sie Management und Vorstand helfen können, zu erkennen, ob sich die Investitionen des Unternehmens in die Cybersicherheit auszahlen.
• Wo stehen wir im Vergleich zu unseren Mitbewerbern? Die Beantwortung dieser Frage zwingt Sie, über den Tellerrand Ihres Unternehmens hinauszuschauen, um zu verstehen, wie sich Ihre Cybersicherheitspraktiken im Vergleich zu denen anderer Unternehmen in Ihrer Branche und denen anderer Branchen entwickeln. Das Abschneiden Ihres Unternehmens im Vergleich zu anderen Vertretern der Branche und zu Best-in-Class-Sicherheit ist ein wichtiger Gradmesser für Ihren Vorstand, um eine Strategiediskussion anzuregen und sicherzustellen, dass der Vorstand seiner treuhänderischen Verantwortung hinsichtlich der Risikosteuerung für das Unternehmen nachkommt. Das Cyberrisiko unterscheidet sich nicht von anderen Geschäftsrisiken und sollte genauso gewissenhaft gesteuert und gemessen werden.

Für ein Verständnis des Gesamtrisikos und der Wirksamkeit Ihrer Cybersicherheitsmaßnahmen ist die Beantwortung dieser vier Fragen von entscheidender Bedeutung. Aber wenn Sie für eine aus vielen Einzelteilen zusammengesetzte IT-Infrastruktur zuständig sind, erscheint Ihnen wahrscheinlich allein schon die Vorstellung, irgendwo mit einer ganzheitlichen Strategie anzusetzen, wie eine gewaltige Herausforderung.

Drei Cybersecurity-Praktiken, die Sie direkt in die Tat umsetzen können

Hier sind drei Tipps, die Sie heute noch anwenden können, um den ersten Schritt auf Ihrem Weg zu einer ganzheitlichen Cybersicherheitsstrategie zu machen.

1. Ob Phishing oder Fische: Genau hinschauen lohnt sich. Denn Schwachstellen befinden sich oft gerade dort, wo man sie am wenigsten vermutet, und der nächste Angriff zielt womöglich genau darauf ab. Beim berühmt-berüchtigten Casino-Aquarium-Hack wurde genau dieser Umstand dem Betreiber einer nordamerikanischen Spielbank zum Verhängnis: Hacker besorgten sich 10 GB sensibler Daten – über die mit dem Internet verbundenen Sensoren in einem dort aufgestellten Aquarium. Angesichts der rasanten Verbreitung von IoT-Geräten, die trickreichen Hackern zahlreiche Angriffsmöglichkeiten bieten, müssen Sicherheitsteams ihre Liste möglicher Schwachstellen kontinuierlich auf den neuesten Stand bringen. Neben IoT-Geräten gibt es jedoch noch so einige andere dunkle Ecken, die es auszuleuchten und vor Bedrohungen zu schützen gilt. Nicht zu unterschätzen sind etwa Schwachstellen bei Cloud-Services und ­­­-Umgebungen, Containern, Videoüberwachungssystemen, industriellen Steuergeräten, Kassenterminals, Klimaanlagen und allen anderen internetfähigen Systemen, die normalerweise nicht in den Arbeitsbereich von IT/SecOps-Teams fallen. So entdeckten die Experten von Tenable Research im September Peekaboo, eine Schwachstelle, von der Hunderttausende mit dem Internet verbundene Kameras in Videoüberwachungssystemen betroffen sein könnten. Sorgen Sie dafür, dass Ihre Sicherheitsteams wirklich alles im Blick haben und mit Tools ausgestattet sind, die auch neue Einfallstore aufdecken.
2. Nicht alle Assets sind gleich wichtig. Es ist entscheidend zu wissen, welche Assets für Ihr Unternehmen am kritischsten sind, um auf Bedrohungen wirksam und angemessen reagieren zu können. Das iPad Ihres CFOs ist sicherlich ein interessanteres Ziel als ein iPad, das an der Rezeption zum Anmelden von Besuchern genutzt wird. Konzentrieren Sie sich daher zuerst auf Ihre wichtigsten Assets. Nehmen Sie sich jetzt Zeit dafür, alle einzelnen Assets auf ihre Kritikalität hin zu überprüfen und nach Reaktionszeit zu ordnen. Diese Informationen sollten regelmäßig aktualisiert werden. Die Kennzeichnung und Inventarisierung Ihrer Assets bietet einen idealen Ausgangspunkt für eine Bestandsaufnahme anhand des Kriteriums der Kritikalität. Denken Sie auch daran, Compliance-Anforderungen wie DSGVO, HIPAA und PCI bei der Kritikalitätsbewertung zu berücksichtigen.
3. Setzen Sie Prioritäten. Nur ein kleiner Prozentsatz der vielen tausend Schwachstellen, die sich jedes Jahr auftun, wird tatsächlich auch ausgenutzt. Sie benötigen einen Überblick darüber, welche Schwachstellen derzeit im Internet ausgenutzt werden, sowie Frühwarnungen für diejenigen, die in naher Zukunft wahrscheinlich gefährlich werden könnten. Mithilfe solcher Informationen können Sicherheitsteams ihre Reaktionen auf verschiedene Bedrohungen nach Dringlichkeit ordnen, und zwar auf der Grundlage der Kritikalität des Assets, der Threat-Intelligence-Daten und einer Wahrscheinlichkeitsanalyse.

Mehr erfahren

Lesen Sie die komplette Blog-Reihe zum Thema Cyber Exposure (einige Beiträge sind möglicherweise nur auf Englisch verfügbar):

• Vier Fragen zur Cybersicherheit, auf die jeder CISO eine Antwort haben sollte
• 3 Tips for Identifying Your Organization’s Cyber Exposure Gap
• 5 Tips for Prioritizing Vulnerabilities Based on Risk
• Metrics and Maturity: Benchmarking Your Cyber Exposure Over Time
• How Do Your Cyber Exposure Practices Stack Up to Those of Your Peers?