Sophie: Müssen sich Security-Verantwortliche momentan Sorgen machen?
Maximilian Munker: Das kommt ganz klar auf den bestehenden Reifegrad des Unternehmens an und wie proaktiv es auf Bedrohungen bereits vorbereitet ist. Früher wurden lediglich die globalen Player und Grossunternehmen attackiert, da hier der Ertrag am grössten war. Innerhalb der letzten drei Jahre hat sich dies auch massiv im KMU-Segment ereignet. Entscheidend für eine gute IT-Security-Strategie ist die Kombination aus technischen und organisatorischen Schutzmassnahmen für das Unternehmen.
Sophie: Die technischen Aspekte sind also ein wichtiges Element beim Schutz vor Angriffen?
Ja, viele der aktuellen Technologien dienen der Risikominimierung. Technologien wie der Schutz der Identität von Mitarbeitenden, Datenklassifizierung, Endpoint Detection & Response oder Schwachstellenmanagement sind ein gutes Mittel, um die Angriffsfläche zu minimieren.
Sophie: Technik allein reicht aber nicht, oder?
Richtig. Diese Massnahmen müssen immer von organisatorischen Rahmenwerken begleitet werden. Das beste technische Setup hilft wenig, wenn es kein Rahmenwerk über Verantwortlichkeiten, regelmässige Prüfungen oder Gegenmassnahmen im Unternehmen gibt.
Oft scheint die Devise «viel hilft viel» zu gelten, aber am Ende des Tages fehlen adäquate Kontrollen oder auch Ressourcen, um Anomalien zu erkennen und schnell zu behandeln. Wir haben diverse Standards, sogenannte Frameworks, wie z. B. internationale Security Frameworks (ISO 27001, NIST oder CIS) oder interne Information Security Management Systeme (ISMS), die bei der Umsetzung und Planung dieser vielschichtigen und komplexen Aufgaben Eckpfeiler vorgeben.
Anschliessend müssen diese Management Systeme in der Organisation durch Richtlinien und Prozessbeschreibungen verankert werden, damit das Unternehmen und die Mitarbeitenden einen definierten Handlungsrahmen für alle Eventualitäten vorliegen haben.
Sophie: Das klingt nach einer guten Basis. Bleibt also der Mensch als grösstes Sicherheitsrisiko?
Dieser Aussage kann ich zustimmen. Wir reden hier nicht nur vom klassischen Endnutzer, der trotz mehrmaligem Security Awareness Training auf Credential Phishing Attacken hereinfällt, sondern eben auch von den Mitarbeitenden, die Hard- und Software konfigurieren. Möglicherweise gibt es kein Budget im Unternehmen für kontinuierliche Schwachstellenscans, um Schwachstellen oder unsichere Konfigurationen zu erkennen oder zu beseitigen. Ein gutes Beispiel sind ebenfalls die Eintritts- und Austrittsprozesse von Mitarbeitenden. Wenn hier kein etablierter Prozess zur Erstellung und Demissionierung der Nutzeridentitäten vorhanden ist, können ausgeschiedene Mitarbeitende mit ihren Zugangsdaten weiterhin auf Systeme und Daten zugreifen, selbst wenn die Betriebszugehörigkeit bereits erloschen ist.
Somit bleibt IT Security ein komplexes Zusammenspiel von Organisation, also Prozessen und Richtlinien, Menschen, die über spezifische Awareness verfügen und Technologien, um Risiken zu erkennen, zu minimieren und um sich zu schützen.
Sophie: Gibt es ein perfektes Vorgehen, um sich möglichst gut abzusichern?
Wichtig ist vor allem, den eigenen Reifegrad sowie die Stärken und die Schwächen des Unternehmens zu kennen. Durch Cyber Security Assessments beispielsweise können alle relevanten Disziplinen eines Frameworks evaluiert und bewertet werden. Kunden erhalten einen finalen Report, in dem alle diese Schwachstellen aufbereitet und nach Schweregrad priorisiert werden. Somit geben wir unseren Kunden auch eine Strategie mit auf den Weg, um die kritischsten Sicherheitslücken schnell zu schliessen.
Auf organisatorischer Ebene bieten sich verschiedene Mittel an, um sich auf kritische Situationen vorzubereiten. Prinzipiell kann man mit den oben genannten Standards nichts falsch machen. Diese versuchen pragmatisch, dringliche Themen wie ein Backup & Restore, Disaster Recovery, Business Continuity Management und viele weitere Bereiche in eine Kontrollstruktur zu überführen. Hierdurch hat die Organisation am Ende ein voll funktionierendes System aus technischer Infrastruktur, organisatorischen Prozessen und Kontrollfunktionen, um sicherzustellen, dass alle Disziplinen richtig gehandhabt werden.
Sophie: Und wenn dann alles steht, wie geht es weiter?
Die aktuellen Herausforderungen und Risiken sind leider nicht als Projekt mit finalem Abschlussdatum zu sehen, da sich die Bedrohungssituation kontinuierlich ändert. Täglich kommen mehrere hunderttausende Schwachstellen und Schadsoftwares dazu. Somit ist Security eher als moderner Marathon oder Zehnkampf zu verstehen, da sich alle diese Aufgaben zum Schutz des Unternehmens in die täglichen Unternehmensprozesse integrieren müssen. Die bestehende IT-Security-Strategie und die technischen Komponenten müssen ebenfalls regelmässig überprüft und angepasst werden, um das Maximum an Sicherheit zu erreichen. Durch die Nutzung der Frameworks ist auch ein Kontrollrahmen vorgegeben: Dieser setzt ebenfalls auf proaktive Überprüfung aller Risikofaktoren.
Sophie: Ist das nicht frustrierend, ständig neue Angriffsmethoden zu sehen und darauf zu reagieren?
Man fühlt sich schon manchmal wie Don Quijote beim Kampf gegen die Windmühlen (lacht). Sicherlich ist das Thema herausfordernd, aber durch den Einsatz von Basis-Schutzmechanismen wie dem Schutz der Identitäten, Überwachung der Schwachstellen und regelmässigem Patchen sind viele Themenbereiche schon abgedeckt. Trotzdem sollte man anhand eines Frameworks agieren und durch das interne ISMS alle Eventualitäten regelmässig kontrollieren. Mit diesen Werkzeugen hat man das passende Rüstzeug, um der aktuellen Risikolandschaft angemessen gegenüberzutreten.
Sophie: Und jetzt noch eine letzte Frage, Max. Was können Unternehmen tun, wenn sie gut abgesichert sein wollen und sich dennoch auf ihre Kernaufgaben statt auf Security-Themen fokussieren wollen?
Ein Weg ist der Risikotransfer an einen externen Dienstleister oder auch die Verlagerung kritischer Services in die Cloud. Dadurch könnten Ressourcenengpässe und fehlende Kompetenzen einfach ergänzt werden, ohne diese im Unternehmen aufzubauen. Abschliessend gibt es auch noch einige Technologien, welche die interne IT massgeblich entlasten können, indem diese proaktiv Schutzmassnahmen ergreifen und vorzeitig Anomalien aufzeigen wie z. B. EDR /XDR, SIEM, SOC.
Kurz CV Maximilian Munker:
Nach seinem Masterabschluss im Fach Strategie, Technologie und Management an der Donau Universität Krems sammelte Maximilian umfangreiche Security-Erfahrung bei namhaften Beratungsunternehmen. Bei der Bechtle Schweiz AG betreut er Projekte im Bereich IT-Sicherheit, Datenschutz, Microsoft Technologien oder auch die Implementierung und Umsetzung internationaler Frameworks wie z. B ISO 27001 oder CIS. Besonders die täglich wechselnden Herausforderungen in verschiedenen Kundensituationen interessieren ihn, da es verschiedenste Anforderungen im Bereich der IT-Sicherheit gibt.
