Die wichtigsten Tipps von Cyber Security Profi Wolfgang Mayer, Hoerbiger
Wolfgang Mayer ist Head of IT Security bei Hoerbiger und vereint ein hohes technisches Know-how im Bereich Cyber Security mit einem profunden Verständnis der wirtschaftlichen und menschlichen Faktoren, der Chancen und Risiken, die damit verbunden sind. Persönlich erlebt man Wolfgang als Speaker bei diversen Confare Digital CIO ThinkTanks und als Impulsgeber auf dem wichtigsten IT-Management Treffpunkt Österreichs, dem Confare CIOSUMMIT 2021.
In Vorbereitung des neuen Cyber Security Factsheets 2021, das Confare in Zusammenarbeit mit T-Systems veröffentlicht, wollten wir von Wolfgang wissen, was für ihn die wichtigsten GRC (Governance, Risk, Compliance) Trends sind und welche organisatorischen, technischen und menschlichen Faktoren für mehr Schutz wirksam sind.
Welche Fragen sollte man sich im Cloud-, Remote und Social Media Zeitalter rund um Infrastruktur und Netzwerk stellen, wenn es um Cyber Security geht?
Es sind dieselben profanen, teils unliebsamen klassischen Infrastruktur-bezogenen Fragen die seit Dekaden zu stellen sind. Sollten sie unbefriedigend bzw. unbeantwortet bleiben, hat dies heute aber u.U. wesentlich gravierendere Folgen.
Mit dem „Best-Practise Framework“ ITIL kann jeder ein sehr umfangreiches Set an Fragen/Antworten für seine jeweilige Situation erstellen. Einige dieser Fragen sollten jedenfalls sein:
Wer hat wann bzw. wie Zugang zu den Daten/Metadaten meiner Mitarbeiter, meiner Firma, bzw. meiner Kunden. Viele übersehen, dass Drittanbieter z.B. Web Application Level Firewall Anbieter, Kommunikationsinhalte kennen müssen, um effizient ihrer Arbeit nach zu kommen. Meist in anderen Gesetzesräumen als in Österreich/EU. Ist es OK, dass die Drittanbieter die Daten haben?
Welche Auswirkung hat es auf das Unternehmen, wenn diese Drittanbieter Daten ausleiten?
Wenn Drittanbieter Plugins, Makros, Powerapps usw. einsetzten, bewegen sich die Daten immer noch auf meinem geschützten Tenant oder werden die Daten zu einem anderen Provider zur Bearbeitung/Speicherung weitergeleitet?
Daten können nicht nur zum, sondern auch vom Provider direkt in Applikation heruntergeladen werden. Weicht dies die Sicherheit meines Unternehmens auf? Bsp. Ausführen von Makros, Nachladen von Daten aus dem Internet, etc. Malware wie z.B. EMOTET nutzen genau diese Funktionen.
Damit sind wir bei der Frage ob die Systeme entsprechend ausgerüstet sind (Detection und Response – EDR) und damit umgehen können?
Wie lange kommt mein Unternehmen ohne die Daten beim Cloud Service aus?
Ist mein Backup in der Lage die Daten nicht nur zu backupen, sondern auch zu restoren.
Wie lange braucht dies für 1 Terabyte, 1 Petabyte über meine Internetanbindung, bzw. Können die Mitarbeiter bereits im Laufe eines Restores anfangen zu arbeiten?
2014 hatte Dropbox einen Bug, der zu Datenverlust der Subscriber führte. Einige Medien berichteten von Unternehmen, die daraufhin Insolvenz anmelden mussten, da deren Daten weg waren.
Zu den technischen Fragen gesellen sich viele Organisatorische. Wie beispielsweise ob es ausreichende SLAs, Preis-, Rücktritts und Datenübergaberegelungen gibt.
In der heutigen Zeit sind die Lebens- und Verwendungszyklen von Cloudanwendungen absolut nicht vergleichbar mit den klassischen lokal installierten Anwendungen. Die typische Lebenszeit der Software eines Mobiltelefons bzw. der Applikationen ist oft nur 2 Jahre. Danach ist z.B. die Versorgung mit Security Updates nicht unbedingt mehr gegeben. Und damit der „sichere Betrieb nach state-of-the-art“ eventuell nicht mehr compliant.
Auch die steuerlichen und betriebswirtschaftlichen Aspekte sollten über die Laufzeit betrachtet werden.
Zusätzlich wäre ein Plan B wichtig, wenn der Provider z.B. den Vertrag löst, und die Notwendigkeit aber besteht den Service weiter zu betreiben.
Wie kann man sich den nötigen Überblick über Cyber-Risiken und Schwächen verschaffen?
„Prozess- und Systemportfolio und -hygiene. Strategisch, taktisch und operativ“ wäre eine von mehreren möglichen Antworten, um einerseits die Angriffsflächen klein zu halten, und andererseits die Assets und deren Schwächen optimal zu managen.
Infrastruktur und Anwendungen sind eine extremst volatile, sich laufend verändernde, und teilweise sehr sensibel auf einander abgestimmte Masse an Komponenten. Diese permanente Veränderung, die auch Auswirkungen auf die Umgebung hat, gilt es standardisiert zu erfassen und zu verwalten.
Die Herangehensweise entspricht der Methode „Wie esse ich einen Elefanten“ … in kleinen, strategischen Stücken. Konsequent und ganzheitlich.
Konkret: Erkennung und Klassifizierung der Assets und Risikofaktoren (inkl. Online Services, und nicht zu vergessen die Mitarbeiter) in Kategorien. Überwachung, Bewertung und Reaktion auf Veränderung innerhalb dieser Kategorien. (Bsp. Vulnerability Management, Codeanalysis, Penetration-tests bzw. Bug-Bounty-Programme, M&A Aktivitäten, u.v.a.)
Diverse Intelligence Services (OSINT) können helfen Außensichten z.B. Änderungen von Gesetzes- und Norm-, Sanktionsanforderungen zu verfolgen, um zeitnah Anpassungen machen zu können (gerade bei kritischer Infrastruktur) z.B. Kippen des Privacy Shield Abkommens, Anpassungen des Chinese Cybersecurity Law, oder aber auch Technologie Sanktionen oder Software Standards für Fahrzeuge (z.B. ISO/SAE 21434) etc.
Cybersecurity Rating und Threat Intelligence Dienste liefern neben relevanten News auch Reports über gefundene Schwachstellen, gestohlene bzw. User/Passwörter und, vergleichbar mit Moodys/Fitch auch Risiko Bewertungen von z.B. Mitbewerber, Kunden und Lieferanten.
Ziel sollte jedenfalls eine weitgehend automatisierte und standardisierte Vorgehensweise sein.
Was sind 2021 die größten Herausforderungen bei der IT-Compliance?
„Work-from-Home“ oder Home-Office ist seit März 2020 in vielen Organisationen zu einem neuen Standard geworden. Nun gilt es dies sinnhaft und ökonomisch zu legalisieren und in eine strukturierte System- und Applikationsstruktur zu integrieren.
Dazu gehören neben gesteuerten Backups auch automatisierte Softwarerollouts und -updates von Home-Office-Systemen. Spannend wird wohl bei Firmen, die kein zentrales Software Management haben, und dieses ev. nicht über das Internet betreiben können, die Flut der Adminrechte wieder einzudämmen. Erhöhte Benutzerrechte sind für Phishing und Malware Botnet-Betreiber ein kleiner Jackpot, da dies vieles nicht nur für den Mitarbeiter leichter macht.
Kurz- und mittelfristig wären, neben der Ablöse nur halbherzig genutzter Systeme und Services, eine Zero Trust Strategie, Insider Threat Management, Cloud-Security und die durchgängige technische Unterstützung des Security Incident Response Prozesses, sinnvolle und wichtige Elemente.
Auch wenn es remote schwer ist, gilt es ein Mittelmaß bei Security Awareness zu finden.
Auch Gewohnheiten aus dem Homework sollten ev. überdacht werden, wenn man wieder im Büro ist. Dazu zählen neben bürogerechter, vollständiger Bekleidung auch z.B. Screenlock, und Clean-Desk-Policy ernst zu nehmen.
Da einige Services durch insolvente Dienstleister nicht mehr betrieben bzw. weiter entwickelt werden könnten, sollten saubere Ablösepläne vorbereitet sein. Dies hilft der Vermeidung durch Preis-/Zeitdruck entstehende Risiken entsprechend zu mitigieren. (Veträge, Datensicherheit, Verfügbarkeit)
Was braucht es, um eine ganzheitlichen Governance, Risk & Compliance Betrachtung zu erhalten?
Kurz gesagt: Prozesse, Werkzeuge und gut vernetzte Mitarbeiter die mit Verstand und Ziel die Datenlage analysieren, interpretieren und dokumentieren.
Grundvoraussetzung dazu sind:
- Klar geregelte Verantwortlichkeiten und Kompetenzen
- Definierte Regeln und durchgängige Prozesse. Dabei nicht auf Prozesshygiene (Prozessportfolio) vergessen und existierende Prozesse permanent hinterfragen, ablösen oder verbessern.
- Gute, belastbare und aussagekräftige Metriken (inkl. Tresholds) in diese Prozesse einzubauen damit diese als Entscheidungsgrundlage einfach verwendbar sind.
Zur effizienteren Be- und Abarbeitung dürfen dann auch Bleistift und Papier durch Werkzeuge (GRC Tools) zur nachhaltigen Dokumentation und Darstellung der Unternehmensrisiken und deren Mitigierung ersetzt werden. Dokumentenlenkungssysteme/Prozesse unterstützten und vereinfachen dabei die operativen Tätigkeiten sehr.
Welche organisatorischen Maßnahmen sind erforderlich um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheits-Status zu erhalten?
Eine effiziente und straffe Governance, um die Automatisierung und Orchestrierung von Asset- und deren Status Metainformation zu etablieren und zu standardisieren.
Aussagekräftige Metriken und Prozesse zu schaffen stellt viele Unternehmen vor eine Herausforderung. Diese Metriken und Metainformationen sind aber absolut notwendig. Sie werden korreliert und zu Lagebildern in Dashboards mit verschiedenen Sichten verdichtet.
Damit dies lückenlos über alle Dienste laufen kann, wäre dies organisatorisch in Verträgen bei Dienstleistern (z.B. Cloud, Consultants, etc.) genauso sicher zu stellen, wie bei eigenen Systemen. Wichtig sind hier vor allem die Durchgängigkeit der Prozesse (End-zu-End). Es muss z.B. sicher gestellt sein, dass bei einem Alarm-Status, auch jemand zeitnah mit der Abarbeitung bis zur Lösung fortsetzt.
Was sind die entscheidenden Faktoren für eine Cyber Resilienz?
Die Chemie und Molekularbiologin Claudia Pahl-Wostl beschrieb Resilienz als „die Fähigkeit eines Systems aus Krisen und Veränderungen zu lernen und nach Störungen wieder einen funktionsfähigen Zustand herzustellen.“
Zweifellos ist der Faktor Mensch der Schlüssel für eine hohe Resilienz gegen Cyberangriffe im Unternehmen. Deswegen ist eine nachhaltige Awareness-Bildung und Training notwendig. Realitätsnahe Schulungen und „TableTop“-Simulationen helfen Mitarbeitern Zusammenhänge besser zu üben und mit Krisensituation besser umzugehen.
Ein kontinuierlicher Plan-Do-Check-Act (PDCA) Zyklus, in Geschäftsprozessen (Inkl. IT und Security) hilf einer ständigen Verbesserung und somit ein Unternehmen krisenfester zu gestalten.
Ansätze agiler Infrastrukturen (z. b. Infrastructure-as-a-Code, CI/CD Ansätze, Containerization, Backups, etc.) helfen rasch technische Bedürfnisse zu erfüllen und in Krisensituationen schnellstmöglich wieder in einen funktionellen Zustand zu kommen.
Autodeployment, ist hier in mehrfacher Hinsicht hilfreich. Einerseits können automatisiert höhere Diversifikation ermöglicht werden, aber auch ein standardisiertes System Hardening (z. b. mit CIS-Benchmarks) und damit eine höhere Widerstandsfähigkeit kann hiermit erreicht werden.
Welche Maßnahmen können dazu beitragen sich vor noch unbekannten Bedrohungen zu schützen?
Griffith zitiert in Art of War 1972 den General Sun Tzu: “So in war, the way is to avoid what is strong, and strike at what is weak” Oder um eine weit bekanntere Phrase zu stressen es bricht meist das schwächste Glied in einer Kette. Deshalb ist einer der wesentlichen Faktoren sich gegen unbekannte Bedrohungen zu schützen sich seiner Schwächen bewusst zu sein, und aktives Riskmanagement zu betreiben.
Konkret bedeutet dies für den „Human Faktor“: Gerade in herausfordernden Zeiten, wo bei immer weniger Ressourcen immer mehr Leistung zu erbringen ist, müssen Mitarbeiter aktiv geschult und abgeholt werden. Allen voran, die aus meiner Sicht schwächsten Glieder in der Kette – das Mittlere Management und „High Potentials“. Bewusst in Kauf genommene Verletzungen von Regeln sind in dieser Mitarbeitergruppe aufgrund von Zeit-/Kosten- und Leistungsdruck unausweichlich. Eine steigende Risikobereitschaft ist ersichtlich und kann fatal enden.
Als Multiplikatoren und Ambassadors haben diese Kollegen aber einen wesentlichen und sehr positiven Einfluss, sowohl Richtung Topmanagement als auch Richtung Mitarbeiter, und können somit aktiv und effizient zu einem besseren Risikoumgang, einer höheren Resilienz und einem schnelleren Security Incident Response beitragen.
Wichtig sind durchgängige Prozesse (End-To-End). Eine Minimierung der Prozessübergänge beschleunigt zudem die Prozessdurchlaufzeiten und reduziert auch Fehleranfälligkeiten. Ganz besonders wichtig ist dies im Cyber Incident Response Prozess.
Technisch helfen die Zero Trust Ansätze, und Automatisierung im Behavior Analysis, Patch & Vulnerability Management. SOAR (Security Orchestration, Automation and Response) und/oder Endpoint Detection and Response (EDR) Lösungen und eine Diversität der Systemlandschaft hilft einen möglichen Schadenseintritt einzugrenzen.
Nachhaltigkeit, Leadership, Collaboration, Data-Driven Business, Cyber Security, Kulturwandel sowie die wichtigsten IT-Management Events im DACH-Raum. Wir halten Sie auf dem Laufenden.
