Sicherheit braucht ein schlüssiges und umsetzbares Management. Ganzheitliche Security-Konzepte müssen in ihrem Umfang, Aufwand und in ihren Vorgaben zu einem Unternehmen passen. Nur dann machen sie Sinn und können gelebt werden.

 

Die sich dynamisch verändernde Bedrohungslage im Cyberumfeld macht es Wirtschaft und Politik schwer, sich schnell und wirksam auf Cyberangriffe einzustellen. Ob staatlich motiviert, automatisiert oder gezielt auf bestimmte Industriezweige – die Angriffe zeigen: Unternehmen werden verwundbarer. Sicherheitsstandards wie die ISO-Normen und gesetzliche Vorgaben sollen für ein stabil hohes Sicherheitsniveau über Branchen und Unternehmensgrößen hinweg sorgen. Seitens der Politik lag der Fokus bisher auf großen Unternehmen, die für die Aufrechterhaltung kritischer Infrastrukturen zuständig sind. Mit NIS2 (Network and Information Security), der überarbeiteten Version der von der EU 2016 festgelegten Cybersecurity-Richtlinie NIS, werden nun auch kleine und mittlere Unternehmen der kritischen Infrastruktur ab 50 oder mehr Mitarbeitenden und einem Jahresumsatz von mindestens zehn Millionen Euro verstärkt in die Pflicht genommen – sofern sie zu einem der 18 Sektoren gehören –, umfassende Maßnahmen für eine hohe IT-Sicherheit zu ergreifen.

 

IT-Sicherheit: Anforderungen (über-)fordern Unternehmen.

Die Anforderungen sind ein wichtiger Impuls und zugleich auch Verpflichtung, in Sachen IT-Sicherheit am Ball zu bleiben. Doch der Anforderungskatalog ist lang: Von Leitlinien für die Informationssicherheit über präventive Maßnahmen bis hin zu Abwehrmechanismen und strengen Vorgaben zum Meldewesen stehen die betroffenen Unternehmen vor großen Herausforderungen. Eine Situation, die sie überfordern kann. Das beginnt schon mit der Auswahl einer passenden IT-Sicherheitslösung. Das Lösungsangebot ist groß, eine Orientierung fällt zunehmend schwer. Hinzukommt die Frage nach der Einführung und Umsetzung der IT-Sicherheitsmaßnahmen. Wann und mit welchen Ressourcen können Organisationen diesen Kraftakt stemmen? Denn schließlich müssen sie auch ihr Kerngeschäft im Blick behalten und darin wirtschaftlich agieren.

 

Technische und prozessuale Maßnahmen verzahnen.

Einige Unternehmen meistern diese Anforderungen mit ihren eigenen Security-Experten und einer fachlich gut aufgestellten IT-Abteilung im Haus. Je nach Unternehmensgröße und Branche mangelt es jedoch bei einer Vielzahl an Organisationen an Budget, Ressourcen oder auch Reputation, um geeignete und rar gesäte Mitarbeitende für ihre Sicherheitsteams zu finden, zumal auch die abverlangten Detection-&-Response-Fähigkeiten eine zusätzliche Belastung darstellen. Darüber hinaus fehlt oft auch das interne Commitment. Dieses ist jedoch erforderlich, um Maßnahmen organisationsweit und verbindlich durchzusetzen.

Da verwundert es nicht, dass eine Lücke klafft zwischen dem, was sich Unternehmen vornehmen und dem, was sie tatsächlich tun. Um den Vorgaben gerecht zu werden, kratzen sie häufig mit rein technischen Maßnahmen nur an der Oberfläche. Darin bestärkt sie auch der Markt. Denn der suggeriert ihnen teilweise, dass die Antworten auf Fragen der IT-Sicherheit nur in technischen Lösungen zu finden sind. Ein ganzheitlicher IT-Sicherheitsansatz ist jedoch erst komplett, wenn auch Sicherheitsprozesse selbst, beispielsweise ein Schwachstellen- oder Incident-Management, betrachtet werden. Deshalb ist es wesentlich, die technischen Maßnahmen auch prozessual in den nachgelagerten Betriebsprozessen zu verankern. Dabei sind auch kleine Schritte sinnvoll. Sie führen eher zu einem adäquaten Reifegrad als der Versuch, den Anforderungen von Anfang an in vollem Umfang zu entsprechen.

Grundsätzlich muss deshalb auch beim Thema Prozesse Grundlagenarbeit geleistet werden. Oder anders gesagt: Die Hausaufgaben müssen gemacht werden. Dabei gilt es, neben den technischen Themen auch die organisatorische, prozessuale Ebene zu berücksichtigen.

 

1. IT-Assets konsistent erfassen

Welche Assets, zum Beispiel Geräte, Know-how, Ressourcen, Systeme und Services, sind im Unternehmen beziehungsweise Unternehmensnetzwerk vorhanden?

 

2. Risiken erkennen und einschätzen

Welchen Risiken sind die Assets ausgesetzt? Sind die Risiken bekannt, können sie priorisiert und eingedämmt werden. Für eine solch komplexe, aber wichtige Aufgabe stehen auch einfache Modelle wie das FAIR Risk Model (Factor Analysis of Information Risk) zur Verfügung. Sie unterstützen dabei, Risiken zu analysieren und zu bewerten. Zudem lassen sich dadurch die ohnehin knappen Ressourcen zielgerichtet lenken.

 

3. Schwachstellen managen

Welche Schwachstellen sind öffentlich bekannt? Darüber können sich Organisationen beziehungsweise die Asset-Administratoren an zahlreichen Stellen informieren, zum Beispiel bei Softwareherstellern, Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder IT-spezifischen Mediendiensten wie heise. Es ist ein Prozess zu etablieren, mit dem Schwachstellen über unterschiedliche Wege und Kanäle erfasst, bewertet und behandelt werden.

 

4. Verhaltens- und Vorgehensweisen im Angriffsfall festlegen

Was ist im Angriffsfall zu tun? Welche Meldewege sind zu berücksichtigen? Sind Standardmaßnahmen (Standard Operating Procedures) definiert? Ein dokumentierter und etablierter Incident-Management-Prozess ebnet den Weg dafür, die erforderliche Qualität der Aktivitäten im Kontext eines Incident Managements sicherzustellen.

 

5. Betriebshandbücher anlegen und pflegen

Existieren – zumindest zu den relevanten Systemen – Dokumente zu deren Betrieb (Aufgabe, Konfiguration, Zugriff, Zuständigkeit, Support und weitere)? Werden diese Dokumente auch gepflegt? Können die Informationen im Bedarfsfall dabei unterstützen, die Systeme wiederherzustellen? Sind sie zudem so aufbereitet, dass dies nicht nur für Experten möglich ist?

 

6. Sensibilisierung und Awareness schaffen

Führen Organisationen regelmäßige, auf einzelne Personengruppen abgestimmte Awareness und allgemeine Security-Trainings in der Belegschaft durch, schaffen sie mehr Sensibilität für IT-Risiken und Gefahren. So bauen sie außerdem Wissen im Mitarbeiterstamm auf.

 

 

Die Hausaufgaben – zumindest grundlegende Sicherheitsprozesse zu standardisieren und zu dokumentieren – betreffen jede Organisation. Sie sind unabdingbar, um sich wirkungsvoll gegen Cyberangriffe zu wappnen. Damit wird ein erstes Management der IT-Sicherheit etabliert, sodass Unternehmen darüber Sicherheitsmaßnahmen orchestrieren können. Um die notwendige Geschwindigkeit zu erreichen, ist es legitim, schon vorab grundlegende technische Maßnahmen zu ergreifen, die zum Beispiel im Kontext einer »Best Practices Cyberhygiene« zu sehen sind.

Der Start mit technischen Basismaßnahmen bei gleichzeitiger Etablierung von grundlegenden Sicherheitsprozessen führt zu einer IT-Security-Strategie, die gelebt und schrittweise verbessert werden kann. Denn auch beim Thema Sicherheit kommt es letztendlich darauf an, die Organisation als solche nicht zu überfordern.

 

Stabile Cyberresilienz aufbauen.

Sind Maßnahmen umgesetzt und erste Aktivitäten im Rahmen der konzeptionellen Sicherheit ergriffen, sollten sie kontinuierlich überprüft werden. Mit definierten Kontrollpunkten lässt sich überwachen, ob die gesteckten Sicherheitsziele erreicht werden. Im Bedarfsfall können Organisationen dann gegensteuern.

Wie entwickelt sich der Security-Reifegrad des Unternehmens? Welche neuen Sicherheitsanforderungen müssen berücksichtigt werden? Wer seine Risiken kennt und ein auch zunächst sehr einfaches Risikomanagement etabliert, kann darauf aufsetzend eine stabile Cyberresilienz aufbauen und Cyberangriffen gut gerüstet entgegentreten.

Gleichzeitig gilt es zu bedenken: Für einen Großteil der von den Regularien betroffenen Unternehmen gehört Cybersecurity nicht zum Kerngeschäft. Daher steht die zentrale Fragestellung im Raum, bis zu welchem Security-Reifegrad sich ein Unternehmen überhaupt entwickeln kann und sollte. Sicherheit ist unternehmensspezifisch und muss nicht immer in einem komplexen Konstrukt enden. Im Gegenteil: Die prozessualen und technischen Schritte müssen einfach und konsumierbar sein. Werden sie zudem kontinuierlich begleitet und geprüft – zum Beispiel von IT-Partnern, Branchenverbänden oder anderen Experten – profitieren Unternehmen von einem IT-Sicherheitsniveau mit Augenmaß, das zu ihrer Organisation passt und umsetzbar ist.

Denn es geht nicht darum, in Rekordzeit und am Fließband Richt- und Leitlinien zu generieren. Deren Notwendigkeit steht insbesondere im Kontext einer Zertifizierung außer Frage. Wichtig ist eine schlüssige und umsetzbare Steuerung der Sicherheit. Security-Konzepte müssen sinnig sein, in ihrem Umfang, Aufwand und in ihren Vorgaben zu einem Unternehmen passen. Nur dann können sie auch gelebt werden.

 

Edgar Reinke, Security-Experte und Strategic Technology Officer bei Damovo

 

 

Cybersecurity hautnah – Damovo auf der it-sa

Cybersecurity ganzheitlich denken: Dazu informiert Damovo auf der it-sa, 10.-12. Oktober 2023, Messe Nürnberg: Halle 7A, Stand 508 (Cisco-Stand)

Wie sich ein ganzheitliches Security-Konzept aufbauen und umsetzen lässt, zeigt Edgar Reinke auf dem Cisco Cybersecurity Day am 11.10.2023 auf, der im Rahmen der it-sa stattfindet. In seinem Vortrag »Ganzheitliche Krisenbewältigung: Cybersecurity als integratives Konzept« vermittelt der Cybersicherheitsexperte einen Fahrplan zur systematisch gesteuerten Sicherheit.

Vortrag Edgar Reinke, Security-Experte, auf dem Cisco Cybersecurity Day:
«Ganzheitliche Krisenbewältigung«: Mittwoch, 11.10.2023, 15:00 Uhr, Raum Kopenhagen/Oslo, Ebene 2 im Kongresszentrum Ost, Messegelände Nürnberg

Anmeldungen zum exklusiven Cisco Cybersecurity Day sind über folgenden Link möglich: www.hybridwork-damovo.com/it-sa-2023