Die jüngsten Fälle von Cyberkriminalität beim Anbieter Kaseya, bei dem mehr als 1.500 Firmen betroffen waren, und der aktuelle Fall der Comparis AG, wo offenbar auch persönliche Daten gestohlen wurden, zeigen deutlich, dass die Unternehmen nicht gut geschützt sind.
Cybersicherheit muss immer mehr zu einem strategischen und unverzichtbaren Element werden, daher ist es für Unternehmen wichtig, ein effektives Cybersicherheitsmanagement auf der Grundlage der richtigen organisatorischen Entscheidungen einzuführen.
Die Schaffung einer dedizierten Organisationsstruktur ist ein entscheidender Schritt hin zu einem bewussten und ausgereiften Cyber-Sicherheitsmanagement in Unternehmen. Um einen angemessenen und effektiven Schutz von Unternehmensinformationen zu gewährleisten, ist es für Unternehmen unerlässlich, einen gut definierten strategischen Plan innerhalb der Organisation zu haben. Aus diesem Bewusstsein heraus ergibt sich die Notwendigkeit, eine Organisation mit Führungs- und Lenkungsfunktionen zu strukturieren, die eine klar definierte Strategie entwickeln und diese mit den Geschäftsanforderungen in Einklang bringen kann.
Organisation als Basis für die Sicherheit
Eine korrekte Strategie für das Management der Cybersicherheit erfordert notwendigerweise eine klare und eindeutige Definition der Verantwortlichkeiten, und in dieser Hinsicht scheint der CISO (Chief Information Security Officer) das grundlegende Profil zu sein, das mit dem Management dieses Themas in Organisationen betraut werden sollte.
Der CISO ist die Figur, die die Rolle des Sicherheitsmanagers abdeckt und die technologischen und organisatorischen Fähigkeiten mit weichen Beziehungsfähigkeiten, Kenntnissen des Geschäftsbereichs und der Fähigkeit, ein komplexes Team zu entwickeln und zu leiten, kombiniert.
Der Einsatz eines CISO oder einer gleichwertigen Funktion in Organisationen ist in grosse Unternehmen, Behörden und Non-Profit-Organisationen zur Standardpraxis geworden. Allerdings mehr als die Hälfte der kleinen Firmen unter tausend Mitarbeiter haben keine Cybersecurity Abteilung.
Cyberangriffe werden zunehmend erfolgreich sein, da die Organisatorische Voraussetzungen leider nicht gegeben sind.
Grund dafür: in jeder Firma will man die Kosten der IT-Abteilung minimieren. Hingegen muss die Cybersecurity-Abteilung die Sicherheit maximieren.Somit ist die aktuelle Einbettung der Cyber-Abteilung in die IT-Infrastruktur als der falsche Ansatz wahrzunehmen, da ein klarer Interessenkonflikt herrscht. Nur mit einer Trennung der Rollen sind die Voraussetzungen für eine erhöhte Sicherheit gegeben.
Risiko Minimierung
Aufgrund des Lockdowns und des Home-Office, sowie der aktuell steigenden Corona Fallzahlen ist ein Grossteil der Angestellten von zu Hause aus tätig, was indirekte Zugriffe von Kriminellen auf Firmennetzwerke oftmals aufgrund fehlender Sicherheitsvorkehrungen begünstigt. Auch die Überprüfung der lokalen Konfigurationen der Endgeräte ist heutzutage stark erschwert, weil die Tools nicht zu 100 % miteinander kompatibel sind.
Dann müssen wir ein weiteres Element hervorheben, das zur Risikominimierung notwendig ist, nämlich das richtige Management des menschlichen Faktors, der nach wie vor die erste Schwachstelle und den Hauptaktionsbereich für Organisationen darstellt.
Dies gilt umso mehr in dieser Zeit, in der sich mehrere Aktivitäten unseres Arbeitslebens radikal verändert haben und die Cyber-Bedrohungen aufgrund des massiven Rückgriffs auf Smart- und Remote-Working zugenommen haben.
Für kleine Unternehmen ist es ratsam, das NIST-Framework (National Institutes of Standards and Technology) zu verwenden. Das Modell ist Risikobasierend und kann relativ schnell eingeführt werden. Für grössere Unternehmen gibt es weitere Framework wie z. B. ISO27001, bei denen alle Prozesse innerhalb eines Unternehmens berücksichtigt werden müssen. Die Ausbildung von Cybersecurity-Experten hat nach wie vor absolute Priorität und muss an führenden Universitäten aktiv gefördert werden.
Zero Trust Modell
Die Zero Trust-Architektur bietet eine effektive Methode für die Unternehmenssicherheit an. Sein Grundprinzip ist die Regulierung und Authentifizierung des privilegierten Zugriffs auf Daten und Systeme. Ihre Einführung ist jedoch eine sehr schwierige und komplexe Aufgabe, die sich über Rechenzentren, private und öffentliche Clouds und eine wachsende Anzahl von End-Geräten erstreckt. Die Komplexität des Datenflusses nimmt exponentiell zu und die Überwachung von Anomalien wird zu einer extremen komplexen Aufgabe.
Zero Trust ermutigt die Cybersecurity-Teams, eine völlig neue Denkweise anzunehmen, indem es die notwendigen Werkzeuge zur Verfügung stellt, um eine gründliche Risikoanalyse dessen durchzuführen, was innerhalb und außerhalb des Unternehmensperimeters geschieht.
Traditionell lag der Schwerpunkt auf der Bewertung und dem Management externer Bedrohungen. Die jüngste Vergangenheit hat aber gezeigt, dass Bedrohungen wie z. B. schleichende und fast unsichtbaren Sicherheitsverletzungen, die wochen- oder sogar monatelang schlummern, ein ebenso großes Risiko für das Unternehmen darstellen können. Mit dem Zero-Trust-Sicherheitsmodell können Sie daher das gleiche Risikoniveau auf interne und externe Verbindungen anwenden, um Bedrohungen zu qualifizieren, sie zu überwachen und ihre Auswirkungen zu minimieren .
Richtlinien und Policies können Systeme und Prozesse neu automatisch konfigurieren. In einer Zero Trust-Umgebung wird allen Benutzern, Geräten und Anwendungen ein Profil zugewiesen, das auf Techniken wie der digitalen Identität, der Überprüfung des Gerätezustands und der Anwendungsvalidierung basiert.
Angesichts neuer Bedrohungen und eines sich verändernden Geschäftsumfelds bietet die Automatisierung via Security-Cloud-Lösungen die Möglichkeit an, sich blitzschnell von neuen Bedrohungen zu schützen.
Awareness ist ein Muss
In der Tat muss man auch feststellen, dass Technologie und Sicherheit zwei sehr unterschiedliche Dinge sind. Ersteres hängt davon ab, wie viel eine Person weiss, letzteres davon, wie eine Person reagiert.
Nichtsdestotrotz ist eine Awareness-Kampagne notwendig und muss langfristig geplant werden.
Nur durch die Kombination verschiedenen Elementen wie Organisation, technische Lösungen und Bewusstsein werden die Firmen in der Lage sein, die Cyberangriffe erfolgreich abzuwehren. Deshalb muss die Cybersicherheit zu einem strategischen Element innerhalb jeder Firma werden.