Neulich boten sich uns durchaus unterhaltsame und interessante Gelegenheiten, einige Informationssicherheits- und Cybersecurity Tagungen zu besuchen. Diese Kongresse waren überflutet mit relativ neuen Entwicklungen. Es ging um NextGen, Internet of Things, IoT DDoS-Attacken, intelligente Sicherheitsplattformen und vieles anderes. Die Tatsache, dass einige Themen einem gewissen Hype ausgesetzt sind, ist nicht das Problem. Allerdings wunderten wir uns, ob die Sicherheits-Welt die Dinge nicht in einem falschen Licht sieht und die Anforderungen an die Themen falsch adressiert.
Dieser Artikel handelt von einer neuen Perspektive auf Cybersecurity – als Ziel in sich selbst, anstatt das Thema direkt mit Business-Interessen zu verknüpfen. So wie es jetzt aussieht, scheinen viele Sicherheitsunternehmen ihren Auftrag zu verfehlen.
Lektion 1: Beginn der Auseinandersetzung mit dem Thema Cybersecurity (und den Risiken)
Sicherheitskonzepte in die Praxis umzusetzen, gestaltet sich zuweilen sehr kompliziert. Die Quintessenz des Ganzen ist nichts anderes, als das Sicherheit nichts mehr als die Reduzierung von Risiken und deren Offenlegung ist. Die Unternehmen können auf dieser Grundlage arbeiten und ihren Geschäfte wie gewohnt nachkommen. Damit sich dieser Prozess so einfach und effektiv wie möglich gestaltet, müssen wir Sicherheitsmenschen, die Probleme der Unternehmen aus ihrer Sicht verstehen. Wir müssen über die Perspektive der IT hinausblicken.
“Die Erfahrungen zeigen, dass die meisten Hacks (etwa 90%) durch einfache Methoden und grobe Sicherheitslücken zustande kommen: Phishing-Mails & Malware-Anhänge“
Wenn wir die Perspektive eines Unternehmens einnehmen, müssen wir zunächst alle Risiken identifizieren, aufzeichnen und kategorisieren. Danach bestimmen wir, welche Risiken in welcher Reihenfolge behandelt werden.
Ist das geschehen, muss der Sicherheitsbeauftragte einen Sicherheitsfahrplan aufstellen und deren Implementierung veranlassen. In diesem Plan sind klare Ziele und Deadlines festgehalten. Idealerweise sollte dieser Plan auf eine „smarte“ Art und Weise implementiert sein, sodass sich keine Projekte in die Quere kommen.
Lektion 2: Aufstellung eines Sicherheitsfahrplans mit klaren Zielen
Der Sicherheitsansatz oder Sicherheitsfahrplan ist essentiell und sollte im Unternehmen diskutiert und bei Bedarf angepasst werden. Während der Aufstellung und Implementierung des Fahrplans sollten die definierten Projekte zur Risikoreduzierung und zur Erreichung der Ziele beitragen.
Bei allen Anstrengungen ist jedoch wichtig, die Geschäftsziele nicht aus den Augen zu verlieren, denn die Sicherheitsbeauftragten sollten das Unternehmen nicht mit Sicherheitsmaßnahmen einschränken oder im normalen Betrieb behindern. Es ist keine Raketenwissenschaft und sollte auch nicht als diese angesehen werden. Der Plan sollte etwas sein, den jeder auch ohne IT-Kenntnisse verstehen kann. Natürlich spielt der IT-Aspekt eine wichtige Rolle, aber oft erst in dem Moment, in dem auf IT-Lösungen zurückgegriffen werden muss, beispielsweise bei der Einführung komplexer Sicherheitsprojekte.
Lektion 3: Erst grundlegende Sicherheitsaspekte abdecken, danach fortgeschrittene Sicherheitslösungen implementieren
Schauen wir auf die von uns besuchten Tagungen zurück, stellen wir fest, dass viele Unternehmen nicht einmal die wesentlichsten Sicherheitsbestimmungen erfüllen. Präsentationen von Sicherheitsunternehmen halten oft erstaunliche und interessante Inhalte parat, doch für die meisten sind sie schlichtweg zu schwer zu begreifen. Darüber hinaus benutzen viele Hacks (etwa 90%) die einfachsten Methoden und grobe Sicherheitslücken: Phishing-E-Mails, Malware-Anhänge usw. Das schwächste Glied in der Cybersecurity Kette stellt nach wie vor der Mensch dar.
Unternehmen müssen zunächst grundlegende Sicherheitslösungen für einfache Risiken erstellen, bevor sie ihre Aufmerksamkeit fortschrittlicheren Technologien widmen. Natürlich sollten diese in Zukunft auch implementiert werden, aber eben erst, wenn grundlegende Sicherheitsnormen gefestigt sind. Bei vielen Sicherheitstagungen liegt der Fokus auf anspruchsvollen Bedrohungen und APTs (advanced persistent threats). Doch Unternehmen wie Talk Talk oder Ashley Madison wären selbst dann vor einem Angriff sicher gewesen, wenn grundlegende Sicherheitsstandards eingehalten worden wären.
Lektion 4: Die richtigen Partnerschaften – Kooperationen zwischen IT Sicherheitsspezialisten sind essentiell
Neuentwicklungen entstehen schnell und böswillige Gruppen und Einzelpersonen verwenden abwechslungsreichere und fortschrittlichere Angriffstechniken und Taktiken. Letztendlich werden erweiterte Sicherheitslösungen in Zukunft untrennbar in den Sicherheitsfahrplänen verankert sein.
Die Sicherheitswelt braucht das Gefühl, gemeinsam etwas schaffen zu können. Wir müssen intensiver zusammenarbeiten, weil, ähnlich wie beim Hausbau, die wenigsten Besitzer, Bauherr und Architekt zugleich sind.
Kein Sicherheitsunternehmen kann für sich allein die beste Lösung beanspruchen. Diejenigen, die einem Unternehmen schaden können, sind vielleicht genau in diesem Moment aktiv. Im gleichen Maße müssen Security Spezialisten aktiv sein. Wir müssen bei den Unternehmen und dem Sicherheitsfahrplan ansetzen und Beziehungen zu den richtigen Sicherheitsberatern herstellen. Nur in dieser Art und Weise entsteht ein umfassendes und zu realisierendes Sicherheitskonzept.
Lektion 5: Der Weg zum Erfolg – alle Beteiligten an einen Tisch
“ Die Sicherheitswelt braucht das Gefühl, gemeinsam etwas schaffen zu können.“
Fortschritte zwischen Sicherheit im Unternehmen und dem täglichen Betrieb entstehen nur dann, wenn ein gegenseitiges Verständnis für die jeweiligen Tätigkeiten einkehrt. Die Sicherheitsbeauftragten müssen in der Lage sein, kurze und klare Erklärungen zu verfassen, um alle Angestellten in einem Betrieb zu erreichen. Wenn sie das nicht können, werden angestrebte Sicherheitskonzepte möglicherweise nie umgesetzt. Schon Einstein sagte: „Wenn man es nicht einfach erklären kann, hat man es selbst nicht ganz verstanden.“
Autor: Dave Maasland, CEO ESET Niederlande in Zusammenarbeit mit Fred Streefland, IT Security Manager bei LeaseWeb.
