Sascha Meier ist es als Head of IT & Cyber Resilience bei IWC, ein tägliches Anliegen, die Widerstandskraft der IT-Systeme zu testen und zu steigern.
In Vorbereitung des neuen Cyber Security Factsheets 2021, das Confare in Zusammenarbeit mit T-Systems veröffentlicht, wollten wir von Sascha mehr dazu erfahren.
Persönlich trifft man Sascha Maier (IWC) und mehr als 150 weitere hochkarätige IT-Entscheider auf dem wichtigsten IT-Management Treffpunkt der Schweiz, dem Confare #CIOSUMMIT 2021, mit Verleihung des Confare Swiss #CIOAward ➜
Welche Fragen sollte man sich im Cloud-, Remote und Social Media Zeitalter rund um Infrastruktur und Netzwerk stellen, wenn es um Cyber Security geht?
Der Wegfall des klassischen Netzwerkperimeters verlangt vor allem nach einem: einem ständigen Überblick, wo vertrauliche oder kritische Daten liegen. Es genügt nicht, die unternehmenseigenen Datenbanken, Dokumenten-Managementsysteme und File-Server im Blick zu halten. Darüber hinaus müssen die Cyber-Sicherheitsteams auf dem Laufenden sein, welche Fachabteilung gerade welche Art Daten bei einem Cloud-Anbieter hochladen will oder welcher externe Partner Zugriff auf interne Daten bekommen soll. Am besten erfahren die Sicherheitsspezialisten vor dem Upload beziehungsweise der Zugriffsfreigabe von dem Vorhaben. Damit man dahin kommt, müssen interne Kommunikations-, Dokumentations- und Prüfprozesse etabliert werden. Dies wiederum setzt eine Organisation voraus, die Informationssicherheit als etwa Positives ansieht und nicht als ständigen Verhinderer.
Wie kann man sich den nötigen Überblick über Cyber-Risiken und Schwächen verschaffen?
Indem man sich eines Rahmenwerkes bedient. Beispielsweise das vom deutschen Bundesamt für Sicherheit in der Informationstechnik oder das Cyber Assessment Framework (CAF) des britischen National Cyber Security Centre oder NIST. Die Frameworks leiten die Cyber-Fachleute dabei an, eine umfassende Ist-Analyse zu erstellen. Ausgangspunkt jeder Risikoeinschätzung ist dabei der jeweilige Businessprozess. Anschließend werden die hierfür notwendigen IT-Systeme unter die Lupe genommen und zuletzt die zu verarbeitenden Daten klassifiziert.
Zudem entsteht durch das Abarbeiten des Frameworks eine Dokumentation, die spätere Diskussionen mit Wirtschaftsprüfern oder Versicherern erheblich erleichtert. Und auch im Fall eines eventuellen Datenlecks ist die Dokumentation unabdingbar, da die EU-Datenschutzgrundverordnung zwingend solche Unterlagen inklusive eines entsprechenden Meldewesens vorschreibt.
Auch das Einführen von Kennzahlen ist wichtig, beispielsweise die Mittlere Zeit bis zum Aufdecken eines Angriffs oder die Mittlere Zeit bis zum erfolgreichen Eindringen. Letzteres lässt sich durch Red-Teaming-Einsätze festmachen.
Welche Maßnahmen können dazu beitragen, sich vor noch unbekannten Bedrohungen zu schützen?
Es wäre toll, wenn es hierfür eine technische Lösung geben würde, die man einfach einkauft. Leider existiert die nicht. Daher fällt die Aufgabe letztlich auf die im Unternehmen beschäftigten Cyber-Fachleute beziehungsweise externe Manage Service Provider zurück. Diese Menschen müssen sich laufend weiterbilden und auch ein gewisses Talent dafür mitbringen, die eine Anomalie im Daten-Tsunami der täglich erzeugten Log-Dateien auszumachen.
Was sind die entscheidenden Faktoren für eine Cyber Resilienz?
Cyber-Widerstandskraft verlangt nach Antworten auf die Frage, wie sich eine weitflächige Cyber-Attacke auf den Geschäftsbetrieb auswirkt. Lassen Sie mich hierzu eine Analogie bemühen und die Unternehmens-IT mit dem menschlichen Immunsystem vergleichen. Der Mensch muss sich gesundhalten durch Maßnahmen wie Sport, passende Kleidung, gesunde Ernährung. Dies entspricht der klassischen Cyber-Sicherheit mit ihren Virenscannern, Firewalls und Verschlüsselungslösungen. Diese können genau wie unser Immunsystem erfolgreich angegriffen werden. Aus solchen Angriffen müssen wir dann lernen und Antikörper erzeugen.
Aufs Unternehmen bezogen bedeutet das, dass die Führungsetage zuerst verinnerlichen muss, dass Angreifer früher oder später Erfolg haben. Egal, wieviel Geld in Cyber-Sicherheit floss. Außerdem benötigt die Organisation Reaktionspläne für die Top 20 der wahrscheinlichsten Sicherheitsvorfälle. Diese Pläne müssen im Rahmen von Tabletop-Übungen zu Friedenszeiten auf Praxistauglichkeit geprüft werden, sonst sind sie wertlos. Wer sich erst nach einem erfolgreichen Ransomware-Befall nach IT-Forensikdienstleistern oder Agenturen für Krisenkommunikation umschaut, zahlt drauf und verliert wertvolle Zeit. Und wer erst nach dem Ransomware-Befall feststellt, dass das Zurückspielen der auf Tapes gespeicherten Backups hakt, riskiert unter Umständen das ganze Unternehmen.
Wenn Sie keines unserer Factsheets verpassen wollen, einfach den Confare Newsletter abonnieren. Wollen Sie an unseren Publikationen oder bei den Digital Confare CIO ThinkTanks mitwirken, melden Sie sich gerne bei melanie.vacha@confare.at
Neugierig geworden?
Mit dem Confare NEWSLETTER am neuesten Stand bleiben und die Ergebnisse der Umfrage erfahren. Gemeinsam.Besser.Informiert
