Krzysztof Müller unterrichtet IT-Compliance at Fachhochschule St Pölten und arbeitet als Executive Consultant bei NTT Security Division. Als ehemaliger CISO von A1 hat er sehr viel Erfahrung damit, wie Cyber Security, Compliance und IT-Governance in großen Unternehmen erfolgreich umgesetzten werden kann. Im Bloginterview sprechen wir über Risiko im Digitalen Zeitalter, die veränderten Anforderungen an Compliance Verantwortliche und Tools und wie es um die Einhaltung von Guidelines und Vorgaben in der Praxis steht.
Was bedeutet Risiko in Zeiten des Digitalen Wandels?
Ich glaube hier hat sich generell nicht viel geändert. Nicht identifizierte bzw. nicht angemessen behandelte Risiken haben negative Folgen für Unternehmen (z.B. finanzieller Verlust, Verlust der Reputation, Verlust des Knowhows, Verletzung von geltenden Gesetzen oder Unterbrechungen der Produktion). Was sich geändert hat, sind die Bedrohungen, die zu solchen negativen Folgen führen können. Mit der Digitalisierung kommen zunehmend neue Bedrohungen wie diverse Cyber-Attacken (Ransomware) und Data Breach auf Unternehmen zu.
Man muss also immer zunächst begreifen, woher kommt die größte Bedrohung für die Daten und Infrastruktur. Das größte Risiko, sowohl im Büro als auch im Home-Office, kommt derzeit aus den „dunklen Ecken“ des Internets. Sehr viele Unternehmen kümmern sich leider noch immer vornehmlich oder sogar ausschließlich um die Büro- und häusliche Umgebung. Hier ist ein Umdenken unbedingt notwendig.
„Fokus auf das Wichtigste“
Das Wichtigste für die richtige Bewertung der Sicherheitslage und sinnvollen Einsatz der Ressourcen ist adäquate Einschätzung der Bedrohungen. Es gibt unzählige Security-Incident-Statistiken, die gut zeigen, welche Gefahren tatsächlich bedrohlich sind. Ein Unternehmen ist gut beraten, ständig diese Statistiken zu beobachten und sich auf die dort dargestellten Bedrohungen zu konzentrieren.
Fokus auf die gefährlichsten Bedrohungen ist viel wichtiger als der Versuch alle möglichen Gefahren zu analysieren und Gegenmaßnahmen zu ergreifen. Für die Vorbeugung aller möglichen Gefahren reichen in der Regel die Ressourcen des Unternehmens nicht aus.
Wie kann man Risiko überhaupt managen, wenn kein Stein auf dem anderen bleibt?
So schnell sind die Änderungen doch wieder nicht. Wir kämpfen seit Jahren mit ähnlichen Themen und sehr viele Risiken sind seit Jahren gleichgeblieben; dazu zählen u.a. schlecht gepatchte Systeme, Phishings-Attacken, Risiken die Mobilität mit sich bringt und ähnliche Herausforderungen. Bestimmte Themen gewinnen tatsächlich plötzlich an Aktualität und das macht den Eindruck einer schnellen Veränderung. z. B. das Thema Remote Working ist 2020 durch Covid-19 besonders rasch akut geworden, nachdem sehr viele Unternehmen in den Lockdown-Phasen nicht anders arbeiten konnten. Mobiles Arbeiten wurde aber seit zumindest 15 Jahren in vielen Unternehmen praktiziert und geduldet. Man hat sich bestimmt zu wenig um die daraus resultierende Risiken gekümmert, weil man glaubte, es ist ein unwichtiges Randthema.
Welche Methoden haben sich bewährt?
Bestehen im digitalen Zeitalter können nur Daten-orientierte, flexible und wenig aufwändige Methoden. Hier ist wichtig, dass man zumindest sehr regelmäßig aber am besten kontinuierlich, die Risiko-Situation erfassen kann und dass dieses Lagebild ständig aktualisiert wird.
Welche Bedeutung hat dabei der „menschliche Faktor“?
Der menschliche Faktor ist weiterhin der Wichtigste; weil Menschen durch ihr Handeln die Sicherheitslage massiv (sowohl positiv als auch negativ) beeinflussen können. Es ist also wichtig, dass man das Sicherheitsbewusstsein der Mitarbeiter fortlaufend schärft. Gleichzeitig kann man sich nicht darauf verlassen, dass alle Mitarbeiter ausreichendes Verständnis für die Sicherheitsrisiken haben und sich gemäß den Vorgaben richtig verhalten. Die Sicherheit eines Unternehmens kann ja nicht nur ausschließlich von dem richtigen Verhalten jedes einzelnen Mitarbeiters abhängig werden. Es reicht nur ein einziger Mitarbeiter, der die Regeln missachtet, für einen gelungenen Ransomware-Angriff oder Data Breach!
„Assume Breach“
Unternehmen müssen also davon ausgehen, dass nicht alle Sicherheitsvorgaben eingehalten werden. “Assume Breach“ muss das Leitmotiv für jedes Unternehmen sein. Darin muss auch das Fehlverhalten der Mitarbeiter berücksichtigt werden. Es gibt kaum eine wirkungsvolle Methode, um die Befolgung der Sicherheitsvorgaben durch Mitarbeiter zu kontrollieren. Man muss also hier nach Alternativen suchen. Ich sehe diese Alternativen in viel besseren Datenmanagement, als das jetzt meistens praktiziert wird, und in dem Informationsschutz, welches vollständig auf den Schutz der Daten fokussiert ist. Dieser Informationsschutz muss völlig unabhängig davon wirken, wo und durch wem Daten verarbeitet werden.
Mit dem Confare NEWSLETTER am neuesten Stand bleiben und die Ergebnisse der Umfrage erfahren. Gemeinsam.Besser.Informiert
Welche Möglichkeiten bieten dazu GRC Tools? Wie sieht Ihr Einsatz in der Praxis aus?
„Kontinuierlich statt regelmäßig“
Es gibt viele unterschiedliche GRC Tools und sie sind auch unterschiedlich gut geeignet, um die aktuellen Herausforderungen zu adressieren. Ein modernes GRC Tool muss sehr flexibel sein und eine rasche Anpassung an organisatorische und technische Veränderungen ermöglichen. Wichtig ist auch dabei, dass man die Compliance- und Sicherheits-Lage des Unternehmens laufend (also nicht wie bei den meisten GRC Tools nur periodisch) darstellen kann. Nur so kann ein GRC Tools die Resilienz des Unternehmens gegen die Cyber-Angriffe erhöhen und Data Leaks verhindern.
Die Voraussetzung dafür ist ständige Überwachung der Sicherheitslage und schnelle Reaktion auf nicht-vorgesehene Ereignisse (z: B. neue gefährliche Schwachstellen). GRC Tools müssen besser und schneller die Sicherheitslage des Unternehmens erfassen und steuern als das der Fall jetzt ist. Quartalweise oder noch seltenere Berichte sind nicht mehr zeitgemäß. Gestern war eine regelmäßige Betrachtung der Sicherheitslage noch gut genug. Heute oder spätestens Morgen muss alles kontinuierlich geschehen. Continuous Adaptive Risk and Trust Assessment (CARTA) Konzept von Gartner ist hier ein guter Wegweiser.
Ein modernes GRC Tool muss also auf automatisch und kontinuierlich gesammelten Daten basieren. GRC Tool soll auch Bedrohungen gemäß der aktuellen Cyber-Angriff-Statistiken priorisieren (nicht jede Bedrohung stellt die gleiche Gefahr dar) und eine aktuelle Sicht auf die Sicherheitslage des Unternehmens bieten. Auf dieser Basis wird die aktuelle Risikosituation des Unternehmens erstellt und notwendigen Maßnahmen eingeleitet.
Man muss dabei sagen, dass der Risiko-orientierte Ansatz etwas im Konflikt mit dem Compliance-orientierten Ansatz steht. Leider konnte der bis vor kurzen vorherrschende Compliance-Ansatz, wie wir es in der Cyber-Angriff-Statistiken erkennen können, wegen seiner statischen Natur die Cyber-Angriffe nicht verhindern.
Was sind die 3 wichtigsten Erfolgsfaktoren für GRC im Digitalen Zeitalter?
Moderne GRC muss imstande sein, rasch auf sich änderte Bedingungen zu reagieren. Hier meine ich in erster Linie aus derzeitiger Sicht vier Veränderungen: Migration in die Cloud, schnelle Änderungen der Bedrohungen- und Risiko-Situation, Mobiles Arbeiten (Home-Office) und rasante Zunahme der Zusammenarbeit mit Kunden, Partnern, Lieferanten.
GRC muss auf diese Veränderungen mit proaktiven Konzepten (Blockieren und Verbieten ist passé) und Schnelligkeit reagieren. GRC soll Konzepte, Vorgaben, Auswertungen und Berichte nicht für Ewigkeit ausdenken, sondern als flexible Werkzeuge verwenden, um mit sich ständig änderten Situation umzugehen.
Die modernen GRC-Tools müssen im digitalen Zeitalter folgende Eigenschaften vorweisen:
- Flexibilität – schnelle Anpassung auf die sich änderte Umgebung.
- Daten-Orientierung – automatisches Sammeln von Daten als Basis für aktuelle Risikosituation.
- Risiko-Orientierung – sehr schnelle Reaktion auf neue Bedrohungen und ständige Aktualisierung der Risikosituation.
Die Corona Pandemie hat viele Unternehmen dazu gebracht Digitalisierungsschritte schneller umzusetzen, als sie es normalerweise gewagt hätten. Hat sich dadurch der GRC Status in den Unternehmen verschlechtert?
Tatsächlich hat Corona-Pandemie Cloud-Implementierung massiv beschleunigt. Damit wurden Tatsachen geschaffen, die in vielen Unternehmen mit dem bis jetzt vorherrschenden “On-Prem”-Prinzip gebrochen haben. Wenn die GRC-Abteilungen vorher eine Politik “Cloud-nur-über-meine-Leiche” befolgt haben, dann ist ihr Status natürlich stark verschlechtert.
Jetzt ist es aber enorm wichtig, dass die GRC-Abteilungen rasch eine “Zero-Trust”-Architektur entwickeln und Cloud als fixer Bestandteil der IT-Infrastruktur akzeptieren. Nur so können sie in dem digitalen Zeitalter noch einen sinnvollen Beitrag zum Erfolg des Unternehmens leisten.
14. Confare #CIOSUMMIT 2021
Mit Verleihung des Confare #CIOAward
Österreichs größtes IT-Management Forum
01./02. September 2021
3 comments
Ich kann die Aussagen von Hr. Müller nur bestätigen. Leider sind viele Unternehmen in den bestehenden Arbeitsabläufen so festgefahren, dass der kontinuierliche Ansatz erst dann in den Fokus kommt, wenn es bereits zu spät ist. Besonders die Ressourcen im Risikomanagement sind oft sehr knapp und stehen zu den operativen Einheiten oft in einer Konfliktsituation. In den Richtlinien sind die periodischen Abläufe (speziell auch beim Risikomanagement) viel häufiger als der kontinuierliche Ansatz zu finden. Diese führen dann oft zu einem falschen Bild, denn die Veränderungen sowie Bedrohungen warten nicht auf die nächste Quartalsüberprüfung sondern passieren laufend.
Vielen Dank lieber Herr Saumwald – dazu haben wir ein interessantes Gespräch mit Heidelinde Rameder geführt: https://confare.at/black-swan/
Ja Gerhard Saumwald, es ist absolut so, dass viele Unternehmen haben “ein falsches Bild” haben, Sie führen die Risiko-Betrachtung zu selten. Zusätzlich werden diese Betrachtungen in meisten Fälle zu “theoretisch”, also ohne ausreichende Datenbasis durchgeführt.