Confare #TopCIO Martin Schellenberg ist CIO bei Schutz & Rettung Zürich. Für einen „Betreiber kritischer Infrastruktur“ sind die Anforderungen an Cybersecurity besonders hoch. Im Bloginterview über Cloud, Mobiles Arbeiten und Technologien.
Zahlreiche Erfahrungen, Meinungen und Expertentipps finden Sie im Confare Cyber Security Update 2021. Zu Wort kommen Sicherheitsexperten und IT-Entscheider aus Unternehmen wie ABB, Verbund, IWC, EMMI und viele mehr.
Jetzt kostenfrei downloaden.
Welche Fragen sollte man sich im Cloud-, Remote und Social Media Zeitalter rund um Infrastruktur und Netzwerk stellen, wenn es um Cybersecurity geht?
Welche Einsichten und Verantwortungen kann ich Dritten übertragen und welche nicht? Wie sensibilisiere ich die Belegschaft und Partnerfirmen diesbezüglich? Reichen vertragliche Absicherungen für den Datenschutz, bzw. wie stelle ich sicher, dass z.B. ein Cloud Service die Sicherheitsanforderungen effektiv erfüllt? Welche Zugriffsrechte sind legitim und wie kann ich diese über den ganzen Lebenszyklus verwalten? Hat mein Unternehmen die Möglichkeiten, ein umfängliches Identity- und Access- Management zu gewährleisten? Dies beinhaltet insbesondere auch Mobile Apps auf Smartphones und Tablets. Sind diese ausführlich getestet und ermöglichen keine unberechtigten Zugriffe? Sind im Bereich der Social Media Nutzung firmenspezifische Richtlinien erarbeitet und die Mitarbeitenden auf dieses Thema sensibilisiert?
Wie kann man sich den nötigen Überblick über Cyber-Risiken und -Schwächen verschaffen?
Durch die Zusammenarbeit mit IT-Security-Spezialistinnen und -Spezialisten, z.B. einem hybriden Security Operations Center (SOC). Ein ganzheitlicher Blick auf die Systemlandschaft und Applikationen ist notwendig (Stichwort Architektur, Schnittstellen, Konfigurationen und Patchlevel), wobei die einzelnen Systeme und Applikationen zu kategorisieren sind: welche Kritikalität und welche Daten beinhalten diese, welche angeschlossenen (weniger kritischen) Umsysteme weisen allenfalls Schwächen auf.
Ein kontinuierliches Monitoring von Cyber-Ereignissen ist zudem zu empfehlen. Tagtäglich werden Beiträge zum Thema Schwachstellen publiziert. Kennt man die eigene Infrastruktur und pflegt diese aktiv in einer Configuration Management Database, kann man rasch identifizieren, ob das eigene Setup anfällig für eine bekannte Schwachstelle ist. Wir arbeiten aktuell wie folgt: Wir prüfen täglich diverse News-Feeds und konsultieren Security Advisories von unseren Lieferanten. Zusätzlich haben wir als Betreiber kritischer Infrastruktur direkten Zugriff auf Lageinformationen vom National Cyber Security Center.
Was sind 2021 die grössten Herausforderungen bei der IT-Compliance?
Die Pandemie führt zur Ausweitung aber auch zur Akzeptanz mobiler Arbeitsformen und gibt dem Smart Working Auftrieb. Dies wird jedoch im Bereich der IT-Compliance zur Herausforderung. Die Mitarbeitenden möchten zuhause bzw. unterwegs mit denselben Funktionalitäten arbeiten können wie im Büro. Das führt zur Frage, welche Richtlinien zu beachten sind, wie sich Rechte und Pflichten der Mitarbeitenden allenfalls ändern können oder gar müssen: Können sie ihre gewohnte Arbeitsweise und die Zugriffsrechte ohne Bedenken daheim nutzen? Müssen technische Einschränkungen vollzogen werden? Gleichzeitig führt dies aber auch zur Chance, zeitgemässe Arbeitsmodelle anbieten zu können.
Die Herausforderungen in den Bereichen Datenschutz und Verfügbarkeit verändern sich ebenso. Der vermehrte Einsatz von Cloud-Lösungen ̶ sei es z.B. für den Transfer von Daten, das Durchführen von Webkonferenzen oder die technische Auslagerung einzelner Geschäftsprozesse – führen dazu, dass Geschäftsinformationen über unzählige Kanäle gestreut werden. Benötigt wird hier also ein geschärftes Bewusstsein in der ganzen Unternehmung. Die Aufgabe, diese Awareness zu fördern, nimmt bereits jetzt Zeit in Anspruch und wird in Zukunft noch mehr Aufmerksamkeit erfordern. Ein Unternehmen muss in der Lage sein, den Überblick darüber zu bewahren, wo sich welche Daten und Informationen befinden sowie vor allem, wo die «Kronjuwelen» sicher aufbewahrt werden.
Was braucht es, um eine ganzheitliche Governance, Risk & Compliance Betrachtung zu erhalten?
Es benötigt ein unternehmensweites (insbesondere auch auf der Führungsebene) Verständnis, welche Bedeutung eine ganzheitliche Betrachtung hat und wie z.B. Unternehmensrisiken mit IT-Risiken interagieren können. Der Etablierung von Prozessen und Hilfsmitteln wie Business Impact Analysen und IT-Risk Assessments, wie auch dem Aufbau von einem internen Kontrollsystem, muss hierbei besondere Beachtung geschenkt werden. Rahmenbedingungen (Frameworks, Basisschutz-Richtlinien, usw.), eine schematisch durchgehend gleichbleibende Erfassung und Bewertung von Risiken sowie die Verwendung von prominenten Gefahrenkatalogen leisten hierbei eine wertvolle Unterstützung. Nicht zuletzt bedarf es auch der Sensibilisierung auf sich ändernde Gesetze.
Welche organisatorischen Massnahmen sind erforderlich um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheits-Status zu erhalten?
Unternehmen mit eigenen Fach-IT Abteilungen müssen zunächst regelmässig prüfen, welche Skills die aktuelle Bedrohungslage erfordert: Haben wir das Know-how inhouse, um die Infrastruktur, Daten und das Intellectual Property zu schützen? Kennen wir die technologischen Entwicklungen und sind wir bereit, Neues zu lernen? Diese Fragen sind essentiell, um aus möglichst vielen Blickwinkeln (oder «Vektoren») feststellen zu können, wie es um die allgemeine Sicherheit steht und um adäquate Massnahmen zu beschliessen. Organisatorisch bedeutet dies, das fachliche Know-how jedes Einzelnen zu kennen und zu nutzen sowie Weiterbildungen zu fördern. Zusätzlich gilt es innerhalb des Unternehmens zu vermitteln, dass Informationssicherheit nicht die Aufgabe von wenigen, sondern von allen Mitarbeitenden ist. Es empfiehlt sich auch, blinde Flecken durch externe Security Assessments aufzudecken und die gewonnenen Erkenntnisse mit priorisierten Massnahmen umzusetzen.
Was sind die entscheidenden Faktoren für eine Cyber Resilienz?
Nebst den bisher erwähnten Massnahmen kann man zwei Faktoren hervorheben: Aufmerksamkeit (Awareness) und Prozessverständnis. Hinzu kommt noch der Faktor der Diskretion: Welche Technologien ein Unternehmen einsetzt, ist keine Information, welche für die Öffentlichkeit bestimmt ist.
Awareness: Über alle Ebenen des Unternehmens benötigt es ein möglichst einheitliches Verständnis für die Themen Bedrohungen, Risiken und Auswirkungen zu schaffen. Der falsche Mausklick, welcher einen Cyber Incident Tsunami ins Rollen bringen kann, aber auch die Ansprechpartner/-innen und Kommunikationsketten im Falle eines Ereignisses, müssen unternehmensweit bekannt sein.
Prozessverständnis: Geschäftsprozesse und somit die Kritikalität und Funktionsweise der darunterliegenden Systeme/Applikationen sowie der Daten kennen. Dies führt zu klaren Aussagen darüber, welche Sicherheitsmassnahmen zu treffen sind und welche Geschäftsprozesse um keinen Preis unterbrochen werden dürfen.
Last but not least sind Notfallpläne mit aktualisierten Szenarien zu erarbeiten und regelmässige Trainings, in welchen Angriffe erkannt, bewertet und bewältigt werden, einzuplanen.
Welche Massnahmen können dazu beitragen, sich vor noch unbekannten Bedrohungen zu schützen?
Das Trennen verschiedener Technologien und deren Einsatzzwecke in hierfür definierte Zonen ist ein wichtiger Ansatz. Auch wenn durch die Vernetzung dann wieder eine Integration stattfindet, muss man im Auge behalten, dass nicht jede Technologie bzw. nicht jeder Einsatzzweck gleichwertig geschützt werden kann und muss. IT-Security ist zudem, leider sehr oft, eine reaktive Tätigkeit und man erliegt evtl. der Hoffnung, nicht der Erste zu sein, den eine neuartige Bedrohung angreift. Hier ist es lohnenswert, sich auch auf dem Markt umzusehen und sich z.B. mit Extended Detection and Response (XDR) Lösungen auseinanderzusetzen. Aber auch jede neue, mit künstlicher Intelligenz unterstütze Lösung, wird die Faktoren Awareness und Prozessverständnis nicht obsolet machen können.
Wenn Sie keines unserer Factsheets verpassen wollen, einfach den Confare Newsletter abonnieren. Wollen Sie an unseren Publikationen oder bei den Digital Confare CIO ThinkTanks mitwirken, melden Sie sich gerne bei melanie.vacha@confare.at
Mit dem Confare NEWSLETTER am neuesten Stand bleiben. Gemeinsam.Besser.Informiert
