19. Juni 2019
Resilienz und Cyber-Risikominimierung durch optimierte Betriebs- und Angriffs-Sicherheit
Damit die Angriffs- und Betriebs-Sicherheit eines ICT-Systems zugunsten einer möglichst hohen Resilienz und Datenschutz sowie -sicherheit aufrechterhalten werden kann, braucht es prozessuale und technische Methoden und Massnahmen. Im Weiteren sind die zu klassifizierenden Hauptrisiken und schlechter schützbaren Risiken im laufenden Riskmanagement abzubilden und proaktiv möglichst zu minimieren gegen die zunehmend dynamische Bedrohungslage.
Entsprechend ist die Cyber-Resilienz und das Cyber-Risk-Management eine kritische Herausforderung für die meisten Organisationen und in deren Verantwortung für die Führungsetage und Entscheider.
Security & Compliance Automation als Lösung?
Für IT-Fachkräfte und Supportorganisationen im Alltag ist es zunächst schwierig, konkrete Massnahmen für eine verbesserte Resilienz zu erarbeiten und diese budgetbelastenden Posten der Führungsetage und Entscheider verständlich verkaufen zu können. Es gibt jedoch bereits viele und bewährte «Best Practices».
Vier Dimensionen der Cyber-Resilienz können hierbei herausgearbeitet werden:
- Bedrohungsschutz (Threat Protection)
- Anpassungsfähigkeit (Adaptability)
- Beständigkeit (Durability)
- Fähigkeit zur Wiederherstellung (Recoverability)
Die Sicherheitsfrage lässt sich entsprechend nicht auf Knopfdruck lösen und es gibt keine Universallösung für alle Sicherheitsprobleme in der vielfach angestrebten Vision einer «Security & Compliance Automation». Die umfassende Verteidigung mittels einer mehrschichtigen Sicherheit und die Ausrichtung auf «Security & Compliance Automation» in der nötigen Tiefe und Ganzheitlichkeit ist jedoch eine Strategie, bei der mithilfe zahlreicher Mechanismen und mehreren Schutzebenen das Ausmass eines Angriffs und das Schadenspotenzial gedämpft oder entschleunigt wird. Damit werden unberechtigte Zugriffea auf personen- oder firmensensitive Informationen eingeschränkt – genauso wie die Verfügbarkeit von betriebskritischen Systemen oder Daten.
Virenschutz und Firewall reicht bei weitem nicht mehr
Die allumfassenden Verbindungen zwischen der physischen und virtuellen Welt im Rahmen der Digitalisierung und künftigen Beschleunigern wie Big Data, AI (künstliche Intelligenz), IoT, 5G, «Smart & Connected XY» machen die Cyber Security und deren Verantwortlichkeit in der Führungsetage leider noch komplexer.
Der frühere ICT-Security-Perimeter im geschützteren Firmenumfeld, etwa Internet Firewall, Backup, Endpoint Protection hat sich längst verschoben auf ausserhalb dieses klassischen Firmennetzwerkes, um die Mitarbeiter als «mobile Workforce» in deren Mobilität, Teamwork und Security auch standort- oder gar geräteunabhängiger zu unterstützen.
Ebenso hat der frühere klassische Viren- und Firewall-Schutz längst ausgedient und ist nicht mehr auf dem «Stand der Technik». Die seit Jahren aktiven und leider unverändert erfolgreicher werdenden Angriffsvektoren wie Social Engineering, Phishing oder APT (Advanced Persistent Threat) bedürfen einem Umdenken.
Bei APT ist proaktive Strategie ist gefragt
Speziell beim Angriffsvektor APT als hochkomplexem, zielgerichtetem und effektivem Angriff mittels technologischem Vorsprung und über möglichst längerem und unentdeckten Zeitraum ist es kaum möglich, mittels klassischen Gegenmassnahmen effektiv entgegenzuwirken. Die früheren klassischen Gegenmassnahmen waren meist nur basierend auf statischen Regeln (was ist erlaubt und was nicht, z.B. Zugang vom oder ins Internet / Netzwerk / Systeme / Rechten / Berechtigungen / Rollen / Apps) oder reaktiv aktualisierten Signaturen (statische, musterbasierte Viren- / Sicherheits-Signaturen zur Identifizierung von Viren, Sicherheitslücken oder Gefahren).
Speziell bei komplexeren und sich zunehmend dynamisch ändernden Bedrohungen und Angriffen ist ein proaktives und vor allem ein sogenanntes «verhaltensbasiertes» Gesamt-Sicherheitssystem die einzige effektive Chance, komplexe Angriffe (wie z.B. APT) und Sicherheitslücken möglichst frühzeitig zu erkennen und deren Risiken und Schadenspotential zu minimieren.
Speziell bei der Anforderung der mobilen Mitarbeiter ausserhalb des geschützteren Firmenumfeldes und den Zielen von optimierter Mobilität, effektivem Teamwork und umfassender Security nimmt der «Schutz der digitalen Identität» auf deren genutzten Geräten und Systemen und die fortwährende «Cyber-Security-Sensibilisierung» schon lange einen grossen Stellenwert der ICT-Strategie ein.
Alle diese technologischen (R)Evolutions-Schritte fordern eine entsprechend mehrschichtige und umfassende Sicherheitsstrategie gemäss «Stand der Technik» zur optimierten Resilienz (Widerstandsfähigkeit zugunsten der Verfügbarkeit und die Fähigkeit, Krisen zu bewältigen).
Checkliste – welche Themen müssen beachtet werden?
Auf der Suche nach der adäquat für das eigene Business und Exposition adaptiert passende Gesamtlösung mit orchestrierten Teilelementen müssen auch weitere grundsätzliche Fragen bewertet und beantwortet werden rund um resilienz-relevante Themen wie z.B.:
- Was für Auswirkungen und Massnahmen sind gegeben und nötig bei Betriebsunterbrüchen von z.B. einzelne Stunden, halber Tag, ganzer Tag, mehrere Tage?
- Sind kritisch klassifizierte Teilsysteme auf getrennten, unterschiedlichen Systemen genügend robust und resilient, um bei Teil-Ausfällen, Total-Ausfällen oder Betriebsunterbrüchen zumindest einen Teil der Arbeit oder Produktion aufrechterhalten zu können?
- Was passiert bei Firmen-/Kunden-/Personen-Daten- (Regulation DSGVO, GDPR) und Software-Schäden / Missbräuchen und vorzubereitende Vorfall-Reaktion «Incident Responses»?
- Ist die mehrstufige, sporadisch geprüfte Backup-/Recovery-Strategie passend oder braucht es weitere interne oder externe Backup- / Recovery-Systeme?
- Ist die Cyber-Security-Sensibilisierung der Mitarbeiter (z.B. gegen «Social Engineering» und vorsichtigerem Umgang mit E-Mails) und speziell der Führungsetage und Entscheider genügend sichergestellt und trainiert?
- Besteht ein effektiver Notfall-Plan mit priorisierten Massnahmen und Wiederherstellungs-Schritten der kritisch klassifizierten Teilsystemen bei einem Vorfall als effektive und vorbereitete Vorfall-Reaktion «incident response»?
- Sind Konzepte in Richtung «Security by Design», «Security by Default», Datenminimierung, Rechteminimierung, Zugangsminimierung, «Secure Coding» bei den eingesetzten Business Applikationen / Apps genug umfassend umgesetzt auf den Systemen zugunsten der Risiko- und Schadensminimierung?
- Sind technisch vorgegebene und erzwungene Kennwort-Komplexitäts-Regeln sauber umgesetzt und in Betrieb?
- Sind weitergehenden Schutzmechanismen der digitalen Identität mittels z.B. MFA («Multi Factor Authentication»), 2FA («2 Factor Authentication») oder Conditional Access (CA, Zugang nur bei Erfüllung von vorgegebenen Bedingungen) geplant oder umfassend umgesetzt?
- Sind systemseitig erzwungene oder klassifizierbare Verschlüsselungs- / Berechtigungs-Vorgaben von E-Mails, Dokumenten, Informationen, Systemen geplant oder umfassend umgesetzt?
- Wie steht es mit der E-Mail-Security (rund 90 Prozent der erfolgreichen Cyber-Attacken starten mit einem E-Mail und ist somit der unverändert erfolgreichste und beliebteste Angriffsvektor) bezüglich z.B. integrierter Spamfilterung und vor allem weitergehenden Schutzmechanismen wie Anti-Malware, Content Filterung, «Threat Protection», «Data Loss Prevention», «Safe Links» oder «Sand Boxing»?
- Sind die Geräte wie PCs, Notebooks, Tablets, Smartphones weitergehend geschützt mittels «Mobile Device Management» (MDM), «Advanced Threat Protection» (ATP) und zentralisiert verwaltbarer «Security & Compliance Automation»?
- Gibt es spezielle Anforderungen im Bereich Compliance, Security und Datenverlust-Prävention (DLP «Data Loss Prevention») zur z.B. Verhinderung vom Versand, Upload, Download, Missbrauch von personen- oder firmen-sensitiven E-Mails, Informationen, Dokumenten, Rezepten, Plänen, Verträgen, Konten, Codes, Apps mit klassifizierbaren Inhalten oder Labels?
- Was für Reputationsschäden sind absehbar gemäss denkbaren Szenarien?
- Wie sieht der Prozess aus für eine möglichst transparente Orientierung der betroffenen Kunden oder gar Öffentlichkeit bei einem «Incident» oder «data breach» (speziell auch bei der Regulation DSGVO / GDPR mit den z.B. 72h Reaktionszeit)?
- Gibt es in der Klassifizierung der Schwachstellen Technologie/Infrastruktur, Prozesse/Organisation und Menschen/Kultur neue Risiken und zu treffende Massnahmen?
- Braucht es eine spezielle Versicherung / Cyber-Versicherung für gewisse klassifizierte Risiken und Szenarien?
- Sind weitergehende Redundanzen oder gar Failover-Systeme nötig?
- Gibt es besonders schützenswerte Assets oder kritische Infrastrukturen?
- Braucht es eine externe Cyber-Security-Beratung, Audit oder Zweitmeinung?
- Braucht es spezielle Reaktions- und angestrebte Reparatur-Zeiten mittels SLA «Service Level Agreements» bzw. Supportabkommen / Managed Services?
- Wie häufig pro Jahr werden Recovery-Tests geprüft von Backups, Daten oder ganzen Systemen?
- Gibt es ein konsolidiertes oder mehrere Dashboards / Monitorings?
- Wird auf «Best of Breed / Multi-Cloud» (steht für die Philosophie, sich aus jedem Anwendungsbereich die beste Lösung herauszusuchen) oder «One Platform for all / all in one» (alles aus einer Hand, speziell bei den Bereichen Cloud und Security) gesetzt?
- Ist je nach Risiken ein umfassendes «SOC Security Operation Center» vonnöten oder gar ein extern betreutes, hochspezialisiertes «SOCaaS Security Operation Center as a service»?
- Braucht es gar spezielle oder zusätzliche Frameworks, Toolkits, Reportings, Zertifizierung, Audits oder zusätzliche Verantwortlichkeit (CISO, DPO) für die noch weiter vertiefte Auseinandersetzung auf prozessualer oder technischer Ebene?
Hierbei kann auch wiederum die ICT-Strategie und die unterjährig dynamische (!) ICT-Sicherheitsstrategie oder das Risk-Management einen Impact auf die Resilienz haben. Je nach Strategielegung in Teilbereichen wie z.B. Risikoverteilung, Business Contingency Planning, Vorfall-Reaktion «Incident Response», Datenschutz/Datensicherheit, Compliance und Versicherungswesen.
Bild: Urs Staudenmann, Ausschnitt aus dem Cover des swissICT Magazins 02/2018.