Illustration: Absmeier RosZie
Wie Unternehmen eine bessere Handlungs-, Planungs- und Budgetsicherheit erreichen und sich auf Krisenszenarien vorbereiten.
Unternehmen müssen jederzeit auf einen Cyberangriff vorbereitet sein. Wie gut sie das allerdings in der Realität tatsächlich sind, können die wenigsten von ihnen einschätzen. Eine Antwort darauf liefert die Bestimmung des Reifegrads der IT-Sicherheit. NTT Ltd., ein IT-Infrastruktur- und Dienstleistungsunternehmen, erklärt die wichtigsten Punkte.
Die aufsehenerregenden Cyberangriffe der vergangenen Jahre haben der Wirtschaft eines vor Augen geführt: Die Bewertung der IT-Sicherheit einer Organisation ist heutzutage unerlässlich, um den Wert des Unternehmens sowie dessen Risiken korrekt einschätzen zu können. Gleichzeitig haben sich in puncto Security die Grenzen verschoben: Firmen können sich nicht mehr nur auf die Absicherung des traditionellen Netzwerks verlassen, um ihre wertvollen Güter angemessen zu schützen. Die IT-Landschaft verändert sich rasant weiter, angetrieben durch neue geschäftliche Anforderungen, die einen stärkeren mobilen Zugriff, mehr webbasierte Anwendungen und hybride IT-Umgebungen umfassen. In der Folge müssen Unternehmen die Planung, Gestaltung und den Betrieb ihrer Unternehmenssicherheit strategischer angehen. Seit einigen Jahren entwickeln sich in diesem Umfeld folglich immer mehr Lösungen für das Cyber-Rating. Dabei wird versucht, den Reifegrad von Unternehmen im Hinblick auf ihre IT-Sicherheit zu bewerten.
Das sind die wichtigsten Fragen – und deren Antworten.
- Warum sollte jedes Unternehmen seinen Reifegrad bestimmen?
Jede Firma hat schützenswerte Assets, die nicht in fremde Hände gelangen sollten und von denen ein reibungsloser Geschäftsbetrieb abhängt. Allerdings gibt es kein Standardpaket, um die Gefahren abzudecken. Jedes Unternehmen hat vielmehr ein ganz eigenes Risikoprofil und geht anders mit unvorhersehbaren Situationen um. Deshalb ist es wichtig, den aktuellen Sicherheitsreifegrad der IT-Landschaft zu bestimmen, aber auch anhand des Geschäftsmodells und – daraus resultierend – der individuellen Risikobereitschaft den Soll-Zustand zu definieren. Darauf aufbauend lässt sich eine Roadmap erstellen, um zu beurteilen, wo Prozesse verbessert und Lücken geschlossen werden müssen, damit man nach einem Notfall schnell wieder handlungsfähig ist. Zudem können Unternehmen auf diese Weise einen Plan zur Einhaltung externer Vorschriften und vertraglicher Verpflichtungen sowie zur Anpassung an die Best Practices der Branche anfertigen. Das schließt unter anderem Standards, Richtlinien und Zertifizierungen wie den IT-Grundschutz, BSI 100-x, ISO2700x und NIS ein. Ein Benchmark schafft durch einen strukturierten Marktvergleich Klarheit, wie es um die Effizienz und Effektivität der eigenen Informationssicherheit bestellt ist. - Wie bewertet man den Sicherheitsstand einer Firma?
In die Bemessung des Reifegrads der IT-Sicherheit fließen die unterschiedlichsten Faktoren ein. Das fängt bei der Frage an, ob ein Unternehmen ein Cybersecurity-Programm hat, das sich an der geschäftlichen Strategie orientiert. Genauso wichtig ist die organisatorische und prozessuale Aufstellung: Gibt es genügend Mitarbeiter, die sich dediziert um IT-Sicherheit kümmern? Hat das Unternehmen ein etabliertes Sicherheitsmanagementsystem? Sind Prozesse repetitiv, sodass sich auf Basis der Dokumentation im Notfall alles wiederherstellen lässt? Nutzt das Unternehmen Automatisierung oder muss alles manuell erledigt werden? Gibt es nur Firewalls und Virenscanner oder stehen ganzheitliche Sicherheitslösungen etwa auf Basis von Identitäts- und Zugriffsmanagement sowie Angriffserkennung mittels Machine Learning zur Verfügung? Ziel ist eine umfassende Überprüfung aller personellen, verfahrenstechnischen und technologischen Aspekte der Informationssicherheit und das Identifizieren von Lücken. - Wie lassen sich Lücken schließen?
Konkrete Maßnahmen, um die IT-Sicherheit eines Unternehmens zu erhöhen, hängen unter anderem davon ab, wie groß der Schutzbedarf der eigenen Daten ist und welches Risiko man bereit ist, einzugehen. Eine E-Commerce-Plattform bedarf definitiv höherer Sicherheitsmaßnahmen als eine herkömmliche Unternehmenswebsite. Hinzu kommt, dass nicht jede Firma ein Investitionsbudget in unbegrenzter Höhe zur Verfügung hat. Entsprechend wird immer eine nach Prioritäten geordnete, umsetzbare Sicherheits-Roadmap erstellt, die auf die Möglichkeiten und das Schutzniveau des Unternehmens abgestimmt ist. Bei dieser Roadmap wird aber auch immer betrachtet, wie man auf Basis der existierenden Sicherheitsmaßnahmen schnelle Verbesserungen erreichen kann. - Braucht man einen externen Partner?
Grundsätzlich ist jedes Unternehmen mit entsprechendem Personal in der Lage, den Reifegrad seiner IT-Sicherheit zu verbessern. In der Praxis sieht es allerdings meistens so aus, dass die IT-Mitarbeiter mit Routineaufgaben ausgelastet sind und die Zeit für langfristige, strategische Projekte fehlt. Oftmals herrscht zudem eine gewisse »Betriebsblindheit«, sodass neue Wege gerne außer Acht gelassen werden. Hier können externe Spezialisten eine wichtige Unterstützung sein: Sie helfen bei einem neutralen Blick auf die aktuelle Situation und verfügen zudem über ein umfangreiches Branchen-Know-how.
»Durch das Identifizieren und Schließen von Sicherheitslücken in Richtlinien, Standards, Prozessen und Technologien können Unternehmen das Risiko eines schwerwiegenden Zwischenfalls reduzieren und gleichzeitig alle Anforderungen an die Einhaltung gesetzlicher Vorschriften erfüllen. Das Ziel einer Reifegrad-Messung ist eine maßgeschneiderte, umsetzbare Roadmap«, erklärt Sebastian Ganschow, Director Cybersecurity Solutions bei der NTT Ltd. »Angst allein ist allerdings ein schlechter Ratgeber. Vielmehr gilt es, Angemessenheit, Unternehmensanforderungen und Kosten nicht aus den Augen zu verlieren.«
Auf IT-Desaster angemessen reagieren – Cyberkatastrophe – Und nun?
Da war er – Anfang Juli wurde der erste Cyber-Katastrophenfall Deutschlands ausgerufen. Getroffen hatte es den Landkreis Anhalt-Bitterfeld. Es handelte sich um einen weiteren Fall eines Angriffs mit Hilfe von Ransomware, bei dem im Erfolgsfall Daten auf den Systemen verschlüsselt werden und gegen »Lösegeld« der passende Schlüssel geliefert wird, um die Daten wieder zu entschlüsseln.
Schnell war in Fachkreisen die Rede davon, dass es nur eine Frage der Zeit gewesen ist. Kommunen scheinen besonders schlecht gegen Angriffe geschützt zu sein, da sie oftmals über veraltete Hard- und Software verfügen oder nur kleine IT-Abteilungen beschäftigten. Doch vorangegangene erfolgreiche Angriffe auf Colonial Pipeline oder insbesondere die kürzlich mit unfreiwilliger Hilfe des IT-Dienstleisters Kaseya erfolgten Attacken zeigen, dass selbst Unternehmen, die über mehr Wissen und Mittel zur Abwehr von Cyberangriffen verfügen als kleinere Kommunen, nicht gefeit vor großem Schaden sind.
Natürlich gibt es keinen absoluten Schutz: Die Systeme der Informationstechnologie werden immer komplexer. Fehlerfreie Software existiert nur in der Fantasie von Science-Fiction-Autoren und neben all der Technik spielt auch der Mensch eine gewichtige Rolle und ist somit Garant für kommende weitere erfolgreiche Attacken. Aber es gibt einige organisatorische Punkte, deren Beachtung sich insbesondere in vertraglichen Beziehungen mit Dienstleistern empfiehlt. Es lohnt sich also, einmal in die abgeschlossenen Verträge zu schauen, Rechte und Pflichten zu überprüfen und immer dort, wo notwendig, gegebenenfalls neu zu verhandeln. Dies betrifft auch den oben erwähnten Punkt »kleine IT-Abteilungen« – dies darf überhaupt kein Grund dafür sein, nicht ein notwendiges Niveau an Schutz zu erlangen. Natürlich ist es schwierig – und das nicht nur in öffentlichen Verwaltungen – Budget für die anstehenden Aufgaben zu bekommen. Jedoch sind Angriffe wie der im Landkreis Anhalt-Bitterfeld allgegenwärtig und es kann nicht im Sinne von Bürgermeistern oder Landräten sein, dass sie die nächsten sind, die sich vor die Presse stellen müssen, um den Katastrophenfall auszurufen (und zu erklären, warum sie die IT-Systeme und vor allem auch die Daten der Bürger nicht ausreichend schützen konnten).
Folgende organisatorische und/oder vertragliche Punkte sollten daher regelmäßig überprüft werden:
Datensicherung
Die einfachste Möglichkeit (außer das bereitwillige Zahlen von Lösegeld), verschlüsselte Daten wiederherzustellen, wäre das Rückspielen der nicht kompromittierten Daten aus einer Datensicherung. Neben Anzahl der vorzuhaltenden Generationen (eine einzige reicht hier nicht aus) sollte im Sinne einer zügigen Rücksicherungsmöglichkeit öfters ein Voll-Backup erstellt werden (im Gegensatz zu einem »ewigen« inkrementellen Backup oder das alleinige Vertrauen auf online gehaltene Snapshots) und die Verbindung zu den Backup-Systemen nicht dauerhaft bestehen, sondern nur für den Zeitraum der Datensicherung. Ebenso sollte sich zumindest eine aktuelle Generation des Backups an einem sicheren Ort, beispielsweise einem Datenfernlager, befinden. Alle vorgenannten Punkte gelten sowohl für den Eigenbetrieb als auch im Outsourcing-Fall. Im letzteren gehören sie vertraglich geregelt. Zu den vertraglichen Regelungen gehört auch die Festlegung einer Zeitspanne, die eine Rücksicherung maximal dauern darf. Eine Arbeitsunfähigkeit von zwei Wochen wie im Fall Landkreis Anhalt-Bitterfeld können sich mithin nicht viele Organisationen erlauben.
Schwachstellenmanagement und Patches
Zumindest die wesentlichen Systeme sollten stets über einen aktuellen Patch-Stand verfügen – oftmals sind erst kurz vorher veröffentlichte Schwachstellen der wesentliche Angriffsvektor. Dabei bietet sich eine größtmögliche Automatisierung an, damit die manuellen Eingriffe auf ein Minimum reduziert werden. Zugleich sollten auch immer CERT-Meldungen (etwa vom CERT Bund) und Herstellermeldungen abonniert werden, um auf dem Laufenden zu bleiben.
Wartungsverträge
Eigentlich selbstverständlich ist das Vorhandensein von Wartungsverträgen für Hard- und Software. Natürlich spart es Kosten, keine Wartungsverträge abzuschließen. Das ist jedoch nicht nur töricht, sondern auch fahrlässig. Doch auch bei Vorhandensein von Wartungsverträgen unterbleibt es in gar nicht so wenigen Fällen, notwendige Hotfixe oder Sicherheit-Patches einzuspielen. Die Gründe hierfür können vielfältig sein, zum Beispiel keine Zeit, kein Personal oder Unwissen, ob überliegende Applikationen noch nach dem Einspielen funktionieren.
Das darf jedoch keine Ausrede sein, insbesondere, da aus (scheinbarer) Fahrlässigkeit später durchaus ein (bedingter) Vorsatz abgeleitet werden könnte (»Das haben wir schon immer so gehandhabt«). Auch hier schadet der Blick in vorhandene Verträge nicht und insbesondere sollte überprüft werden, wann gemäß Wartungsvertrag Patches geliefert werden müssen und wie schnell diese getestet und eingespielt werden müssen. Grundsätzlich gilt ein Ermessensspielraum, aber es sollte dafür gesorgt sein, dass als hochkritisch eingestufte Sicherheitslücken unverzüglich geschlossen werden.
Audits
Mit Abschluss eines Outsourcing-Vertrags gehen viele Pflichten auf den Dienstleister über. Nichtsdestotrotz verbleibt Verantwortung beim Auftraggeber. Damit dieser seine Kontrollpflicht wahrnehmen kann, bedarf es einer Berechtigung, Audits durchzuführen. Hier sollten die Verträge insbesondere auf das Recht zu Audits im Bereich der Informationssicherheit geprüft und – so nicht vorhanden – ergänzt werden. Wichtig ist in diesem Zusammenhang der finanzielle Aspekt. Dienstleister stehen nicht unbeschränkt für Audits aller Kunden zur Verfügung und begrenzen deshalb gerne ihren Aufwand vertraglich. Dies ist marktüblich und legitim. Als Auftraggeber sollte jedoch darauf geachtet werden, dass schon bei fahrlässigen Verstößen gegen die Obliegenheiten in der Informationssicherheit jeder Aufwand – auch der des Auftraggebers – zur Beseitigung der Missstände vom Dienstleister getragen werden muss, zumal dann auch andere Kunden des Dienstleisters mittelbar oder unmittelbar Nutznießer sein können.
Ein weiterer Punkt in vielen Verträgen verpflichtet den Auftraggeber zu einer Ankündigung eines Audits mehrere Tage (bis zu zwei Wochen) im Voraus. Dies ist aber nicht im Sinne der IT-Sicherheit. REvil – um nur eine Hackergruppe namentlich zu nennen – kündigt ihre Angriffe auch nicht mehrere Tage im Voraus an. Daher ist zumindest für Audits im Bereich der IT-Sicherheit eine Vorankündigung nicht angemessen, sondern gar kontraproduktiv. Es sollte das Recht bestehen, diese auch unangekündigt durchzuführen (wenn auch nicht unangemessen oft).
Haftung
Auch in der vertraglichen Haftung lohnt ein Blick in den Vertrag. Da fast zeitgleich mit dem Fall Anhalt-Bitterfeld die vorgenannte Angriffswelle über einen Dienstleister erfolgte und diese erfolgreich auf dessen Kunden durchschlug, stellt sich die berechtigte Frage, wie die Haftung bei erfolgreichen Angriffen auf den Dienstleister des Auftraggebers ausgestaltet werden sollte. Grundsätzlich sollte deshalb für Schäden, die im Verantwortungsbereich des Dienstleisters vorsätzlich oder fahrlässig entstanden sind, eine verschuldensunabhängige Haftung vertraglich vorgesehen werden. Für den Eigenbetrieb käme der Abschluss einer spezialisierten Versicherung in Betracht. Aufgrund von Ausschlusskriterien ist in vielen Fällen jedoch eine Investition in organisatorische Maßnahmen (siehe Datensicherung und Wartungsverträge) und Auf- beziehungsweise Ausbau des Personals in IT-Sicherheit sowie das Hinzuziehen von auf IT-Sicherheit spezialisierten Dienstleistern weitaus sinnvoller.
Weitere technische und organisatorische Maßnahmen
Über die Datensicherung hinaus kann – und muss – in weitere technische Maßnahmen investiert werden. Der Einsatz unterschiedlicher Viren-Scanner sowohl auf Client- als auch Server-Seite sollte genauso zum Standard gehören wie eine Absicherung der Netzwerke durch Firewall-Systeme. Bleibt zum Schluss der Risikofaktor Mensch: Steter Tropfen höhlt den Stein. Alle Mitarbeiter mit Zugriff auf IT-Systeme sind nicht nur einmalig, sondern beständig auf die Gefahren hinzuweisen. Kaum einer stört sich in produzierenden Unternehmen an den Hinweisschildern, einen Helm zu tragen, Gehörschutz anzulegen oder die Handläufe bei Treppen zu verwenden. Hier muss sich die IT nicht hinter vermeintlich genervten Anwendern verstecken. Auch die vorgenannten Punkte können vertraglich mit Dienstleistern in Outsourcing-Beziehungen vereinbart werden und es ist sinnvoll, auch hier auf Erfüllung zu bestehen.
Die vorgenannten Punkte zusammen bieten keinen absoluten Schutz, dienen aber dazu, dass im Fall einer Katas-trophe angemessen reagiert werden kann. Dabei ist insbesondere ein Augenmerk darauf zu richten, dass die eingesetzten Systeme aktuell gehalten werden und die Wiederherstellungszeiträume aus der Datensicherung angemessen kurz bleiben.
Christoph Lüder (l.), Marcus Schwertz,
LEXTA – Part of Accenture
www.lexta.com/de
Illustration: © Makstorm/shutterstock.com