Die Komplexität steigt. Unternehmenssysteme sind hybrid, On-Prem, in der Cloud. Verschiedene Plattformen sind in Betrieb, verschiedene Endgeräte im Einsatz und unterschiedliche Hersteller und Lieferanten unter Vertrag. Immer schwieriger wird es für die IT-Abteilungen einen tatsächlichen Überblick über die aktiven Assets zu behalten. Doch nur mit einem „big picture“ lassen sich jene Schwachstellen lokalisieren, die es Angreifern ermöglichen könnten, die IT-Landschaft auszukundschaften, zu beschädigen oder zu infiltrieren.
Risiken und Schwachstellen: Bei den Schwächen wegzusehen, ist ein schwerwiegender Fehler. Risiken zu ignorieren ebenso. Daher empfehlen die Cyber Security Profis der Confare Community drei Schritte, die dabei helfen Assets, Risiken und Schwachstellen zu überblicken und die richtigen Prioritäten zu setzen.
1. Schritt – Assets und Infrastruktur genau erfassen: Verschaffen Sie sich einen Blick aus der Vogelperspektive
Die IT-Verantwortlichen und – falls vorhanden – die Cybersicherheits-Beauftragten sind vielfach so mit ihrem täglichen Aufgaben des Tagesgeschäftes eingebunden, dass sie keine Chance haben, sich um eine Übersicht zu kümmern. Hier sind Sie als Führungskraft gefordert, dass Sie sich notwendigenfalls mit Hilfe externer Spezialisten einen Überblick verschaffen-dieser fängt mit einer ehrlichen Bestandsaufnahme an. Welche Hardware- und Softwaresysteme, welche Mobilgeräte und Internetgateways, welche Cloudsysteme und weiteren Dienste – auch die nicht von der IT, sondern von der Fachabteilung eingekauften Dienste (sog. Schatten-IT)- sind vorhanden und von wem diese genutzt werden. Sie werden staunen, was Sie da bei einem Mittelständler alles finden. Im nächsten Schritt sollte es dann darum gehen, die Komplexität soweit möglich zu reduzieren, um laufende Wartungs- oder Patchanforderungen überhaupt sinnvoll erfüllen zu können und natürlich die Nutzerberechtigungen sauber zu steuern.
Und denken Sie an eine vernünftige Awareness-Kampagne, die die Mitarbeiterinnen und Mitarbeiter wirklich abholt. Dies ist in Zeiten, in denen ein Großteil des Personals im Homeoffice ist und man beim Eingang einer zweifelhaften Mail nicht mal eben den Büronachbarn fragen kann, doppelt wichtig.
Mit einer klassischen SWOT Analyse kann ich mir einen Überblick verschaffen, wie meine Unternehmung im Cybercrime Kosmos aufgestellt ist. Ich bekomme eine Übersicht der internen Schwächen und Stärken meiner Firma und kann diese den externen Risiken und Chancen gegenüberstellen. Getreu dem Motto, Stärken weiter stärken und Schwächen minimieren, kann ich Stärken nutzen, um Cyber-Risiken zu mitigieren und Chancen erkennen, um das generelle Risiko zu senken. Gregor Hartweger, CISO, TU Wien
2. Schritt – Vom Baseline Assessment zum PenTest: Schwachstellen und Risiken mit professionellen Methoden und externen Prüfern finden
Es empfiehlt sich, ein sogenanntes Baseline Assessment durchzuführen. Dabei wird eruiert, wo die größten Schwächen bestehen. Basierend auf dem Ergebnis des Baseline Assessments kann eine Risiko-Analyse gemacht werden, um die Risiken in der richtigen Priorität zu mitigieren. Das liest sich hier nun ganz einfach, aber der Aufwand eine korrekte Risikoanalyse umzusetzen, sollte nicht unterschätzt werden.
Ronny Fischer, Security Chief Technology Officer, T-Systems Switzerland
Wir machen dies mittels eines Cyber Frameworks, welches das Thema nicht nur punktuell, sondern ganzheitlich betrachtet. Dies ist zwar sehr aufwändig, liefert aber die gewünschten Erkenntnisse. Zusätzlich können mit einem übergreifenden Patch und Vulnerability-Management die Schwachstellen im Auge behalten werden. Ricardo Nebot, Head of IT, Emmi Schweiz AG
„Beispiele für diese Art von Frameworks sind das vom deutschen Bundesamt für Sicherheit in der Informationstechnik oder das Cyber Assessment Framework (CAF) des britischen National Cyber Security Centre oder NIST. Die Frameworks leiten die Cyber-Fachleute dabei an, eine umfassende Ist-Analyse zu erstellen. Ausgangspunkt jeder Risikoeinschätzung ist dabei der jeweilige Businessprozess. Anschließend werden die hierfür notwendigen IT-Systeme unter die Lupe genommen und zuletzt die zu verarbeitenden Daten klassifiziert. Zudem entsteht durch das Abarbeiten des Frameworks eine Dokumentation, die spätere Diskussionen mit Wirtschaftsprüfern oder Versicherern erheblich erleichtert. Und auch im Fall eines eventuellen Datenlecks ist die Dokumentation unabdingbar, da die EU-Datenschutzgrundverordnung zwingend solche Unterlagen inklusive eines entsprechenden Meldewesens vorschreibt.“ Sascha Maier, Head of IT & Cyber Resilience, IWC Schaffhausen
Regelmässige interne und externe Penetration Tests und Schwachstellenanalysen helfen uns, unsere Schwächen zu erkennen. Aufgrund der Datenschutzgrundverordnung sollte ohnehin jedes Unternehmen ein vollständiges Verzeichnis der Verarbeitungstätigkeiten und damit der eingesetzten Applikationen zur Verfügung haben. Durch die immer stärker werdende Nutzung externer (Cloud) Services sind auch deren Anbieter miteinzubeziehen. Die zunehmende technische Fragmentierung der Anbieter und deren, zwecks Usability und Prozessverbesserung, zu verknüpfenden Applikationen bzw. Services, bildet eine nicht zu unterschätzende Schwachstelle in Bezug auf den Datenaustausch. Dieser findet nicht mehr wie in früheren Zeiten im eigenen abgeschotteten Datacenter statt, sondern irgendwo zwischen den Clouds in der Cloud. Ein weiterer Punkt ist “Shadow IT” – diese lässt sich gut mittels Application Firewalls analysieren und gegebenenfalls blocken, um das Risiko auf ein Minimum zu reduzieren. Helmut Waitzer, Leiter IT, Wolf Theiss
3. Schritt – Die Macht des Networkings: Suchen Sie den Austausch mit Community und Experten
Wenn ich meine Assets kenne, kann ich gezielt auf Informationssuche gehen und mir mein eigenes Informationsnetzwerk bauen. Ein paar klassische Informationslieferanten sind dabei die diversen CERTs, Antiviren-Hersteller und verschiedenste Online Portale. Für erfahrene Personengruppen würde ich darüber hinaus auch noch das Einbinden von unterschiedlichen Darknet Quellen empfehlen. Walter Hölblinger, Security Evangelist
Unsere eigenen Security Expertinnen und Experten investieren viel Zeit in die Beschaffung von Informationen. Dies ist absolut notwendig und gleichzeitig nicht zu unterschätzen. Eine grosse Anzahl an verschiedenen IT-Systemen von unterschiedlichen Herstellern erhöht logischerweise die Angriffsfläche. Gleichzeitig ist es schwierig, bei den vielen Quellen zeitgerecht alle Informationen über Schwachstellen zu erhalten. Eine Vernetzung untereinander ist daher essenziell. Spezialistinnen und Spezialisten regional aber auch weltweit tauschen Informationen aus und warnen sich gegenseitig vor potenziell bevorstehenden Angriffen oder vor Veröffentlichungen von Schwachstellen. In einschlägigen Foren und Onlinemedien aber auch in Netzwerken, in denen sich Unternehmen zusammenschliessen, wird sehr schnell vor aktuellen Cyber-Risiken gewarnt. Zeit ist nämlich dabei von besonderer Bedeutung: Wird beispielsweise eine neue Schwachstelle bekannt – wie unlängst in Microsofts Exchange Server – muss sehr schnell gehandelt werden. Wartet man bis zur Beseitigung auf eine Veröffentlichung in den Mainstream Medien, ist es häufig schon zu spät. Die Bekanntmachung dort dauert nämlich oft einige Tage, während der Angreifer nur wenige Stunden benötigt, um das System zu übernehmen und der Infrastruktur erheblichen Schaden zuzufügen. Ich kann daher nur jedem empfehlen, sich solchen Netzwerken anzuschliessen und sich untereinander offen auszutauschen. Thomas Zapf, Bereichsleitung Digitalisierung und Informationssicherheit, Verbund AG
„Prozess- und Systemportfolio und -hygiene. Strategisch, taktisch und operativ “ …
Das wäre eine von mehreren möglichen Antworten, um einerseits die Angriffsflächen klein zu halten, und andererseits die Assets und deren Schwächen optimal zu managen. Infrastruktur und Anwendungen sind eine volatile, sich laufend verändernde, und teilweise sehr sensibel aufeinander abgestimmte Masse an Komponenten. Diese permanente Veränderung, die auch Auswirkungen auf die Umgebung hat, gilt es standardisiert zu erfassen und zu verwalten. Die Herangehensweise entspricht der Methode „Wie esse ich einen Elefanten“ … in kleinen, strategischen Stücken. Konsequent und ganzheitlich.
Konkret: Erkennung und Klassifizierung der Assets und Risikofaktoren (inkl. Online Services und nicht zu vergessen die Mitarbeiter) in Kategorien. Überwachung, Bewertung und Reaktion auf Veränderung innerhalb dieser Kategorien. (Bsp. Vulnerability Management, Codeanalysis, Penetration Tests bzw. Bug-Bounty-Programme, M&A Aktivitäten u.v.a.)
Diverse Intelligence Services (OSINT) können helfen, Außensichten wie beispielsweise Änderungen von Gesetzes,- Norm- und Sanktionsanforderungen zu verfolgen, um zeitnah Anpassungen machen zu können (gerade bei kritischer Infrastruktur) z.B. Kippen des Privacy Shield Abkommens, Anpassungen des Chinese Cybersecurity Law, oder aber auch Technologie Sanktionen oder Software Standards für Fahrzeuge (z.B. ISO/SAE 21434).
Cybersecurity Rating und Threat Intelligence Dienste liefern neben relevanten News auch Reports über gefundene Schwachstellen, gestohlenen Accounts/Passwörter und, vergleichbar mit Moodys/Fitch, auch Risiko Bewertungen von z.B. Mitbewerbern, Kunden und Lieferanten.
Ziel sollte jedenfalls eine weitgehend automatisierte und standardisierte Vorgehensweise sein. Wolfgang Mayer, Head of Security, Hoerbiger
Wenn Sie keines unserer Factsheets verpassen wollen, abonnieren Sie unseren Confare Newsletter. Wenn Sie an unseren Publikationen oder bei den Digital Confare CIO ThinkTanks mitwirken wollen, melden Sie sich bei melanie.vacha@confare.at