Cybersecurity sollte in diesem Jahr nicht mehr ein Thema sein, bei dem man Investitionen lang und breit argumentieren muss. Trotzdem beginnt man in vielen Organisationen erst zu handeln, wenn bereits das Kind in den Brunnen gefallen ist, meinen die Cybersecurity Experten von T-Systems Alpine, Christopher Ehmsen und Dieter Bartl im Zuge der Vorbereitungen für das kommende Confare Factsheet Cyber Security Update 2022.
Treffen Sie das Expertenteam von T-Systems bei den Confare #CIOSUMMITs in Wien und Zürich, gemeinsam mit zahlreichen hochkarätigen IT-Entscheidern.
Welche Rolle nimmt Cybersecurity in einem modernen Unternehmen ein?
Cybersecurity muss ein integraler Bestandteil bei der Planung und Umsetzung von bestehenden und neuen IT-Projekten sein. Neben den priorisierten Business-Demands an die Informatik muss Cybersecurity mind. auf Platz 1 bei den IT-Prioritäten liegen. Eine umfassende Cybersecurity ist wie eine Versicherung zu betrachten. Je umfassender und integraler die Cybersecurity betrieben wird, umso weniger Schaden wird bei einem Cybersecurity Event generiert.
Was sind die wichtigsten Elemente, die in eine ganzheitliche Cybersecurity Betrachtung einfließen müssen?
Das wichtigste Element überhaupt ist die Sichtbarkeit. Nur wenn man weiss, wo die Probleme liegen, kann man richtig in eine umfassende Cybersecurity investieren. Ist die Sichtbarkeit garantiert, kann man sich darum kümmern, die aktuellen Security-Ereignisse so schnell wie möglich zu mittigeren. Dafür haben sich SIEMs/SOCs als zentrales Security Kompetenzcenter etabliert. Ob das SIEM/SOC hierbei intern oder von extern betrieben wird, ist übrigens irrelevant – wichtig ist nur, dass ein SIEM/SOC vorhanden ist. Ferner muss Cybersecurity zur Chefsache erklärt werden und dementsprechend im C-Level Board prominent vertreten sein, am besten durch einen eigenen CISO.
Cloud und Managed Services erzeugen sehr viel Abhängigkeit von anderen und öffnen Schnittstellen nach außen – Was braucht es, um sich hier sicherheitsmäßig gut aufzustellen?
Ein sehr gutes Verständnis der jeweiligen Security Anforderungen in der Cloud. Man spricht hier üblicherweise von „geteilter Verantwortung“ (shared responsibility). Bei IaaS (Infrastructure as a Service) ist der Betreiber „nur“ bis unterhalb des Betriebssystems verantwortlich, ab dem Betriebssystem muss sich der Kunde selbst um die entsprechenden Cybersecurity Maßnahmen kümmern. Bei SaaS (Software as a Service) ist der Betreiber für die komplette Cybersecurity (exkl. sicherer Zugang zum SaaS) verantwortlich. Die Anforderungen können sich aber je Cloud Service und Anbieter massiv unterscheiden. Hier gilt ein sauberes Security Assessment durchzuführen, bevor man die Entscheidung trifft, einen Cloud Service zu abonnieren.
Welche organisatorischen Maßnahmen sind erforderlich, um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheits-Status zu erhalten?
Einen gut etablierten und integrierten CISO und ein entsprechendes Security-Team plus ein SIEM/SOC und entsprechende Datenquellen wie Endpoint Protection, Proxy Services, IDS/IPS, Firewalls, etc. Ein weiterer wichtiger Punkt ist ein funktionierendes IAM (Identity und Access-Management). Ohne IAM kann beispielsweise auch kein Zero-Trust-Framework aufgebaut werden.
Was sind die wichtigsten Elemente einer Cybersecurity Architektur? Worauf muss man als CIO achten?
People – Kompetente und gut geschulte Personen, die sich um die interne Sicherheit kümmern und auch genug Kompetenzen haben, um bei einem Angriff umfassend und schnell reagieren zu können.
Processes – Sicherheitsprozesse die seriös gelebt, getestet und verbessert werden.
Technologie – Flexible Technologie die skaliert. Um die Komplexität, die ein Feind der Security ist, zu vermeiden, gilt hier der Leitspruch «keep it as small and simple as possible».
Wie beurteilt man, was im Markt an Dienstleistungen und Produkten für das eigene Unternehmen wirklich relevant ist?
Am besten durch die Teilnahme an Webinaren und anderen Security-Veranstaltungen, durch pro-aktive Informationsbeschaffung im Internet und auch persönliche Gespräche mit Anbietern, wobei persönliche Gespräche meistens am schnellsten zum Ziel führen.
Was ist notwendig, um im Fall eines erfolgreichen Angriffs schnell handeln zu können?
Es empfiehlt sich hier auf alle Fälle einen Incident Response Vertrag mit einem entsprechenden Anbieter abzuschließen. Üblicherweise wird hierbei kein Kontingent an Arbeitsstunden, sondern nach priorisierter Behandlung gekauft. Wenn dann tatsächlich ein Incident passiert, ist somit sichergestellt, das kompetente und spezialisierte Fachkräfte sich sehr schnell um das Problem kümmern.
Welche Argumente zählen bei Vorstand und Geschäftsführung wirklich, wenn es um Cybersecurity Investitionen geht?
Üblicherweise funktionieren Argumente eher schlecht, wenn es bei der Geschäftsführung um Investitionen in die Cybersecurity geht. Cybersecurity Budget wird meistens erst dann einfach und schnell gewährt, wenn ein Incident passiert. Allerdings sind diese späten Investitionen meistens teurer, als wenn man einen langfristigen Plan zur Umsetzung von Cybersecurity Maßnahmen hat. Am besten funktioniert die Budgetfreigabe also, wenn ein langfristiger Plan vorhanden ist, wie die Cybersecurity optimiert werden kann. Durch die Vereinbarung von Milestones gemeinsam mit der Geschäftsführung ist das Budget langfristiger planbar und kann durch das Security Team besser und seriöser umgesetzt werden.