Martin Schellenberg ist ausgezeichneter Confare #TopCIO und verantwortet die IT bei Schutz & Rettung Zürich. Unter einem organisatorischen Dach sind hier Feuerwehr, Sanität, Zivilschutz, Einsatzleitzentrale und Feuerpolizei der Stadt Zürich vereint. Resilienz ist ein entscheidender Faktor beim Betrieb von kritischen Infrastrukturen, damit auch im Krisen- und Katastrophenfall geholfen werden kann. Auch die IT muss krisensicher sein – IT-Resilienz ist gefragt.
Persönlich treffen Sie Martin Schellenberg und etwa 150 weitere hochkarätige IT-Entscheider beim Confare #CIOSUMMIT Zürich mit der Verleihung des Swiss #CIOAward, dem wichtigsten wichtigsten IT-Management-Treffpunkt der Schweiz!
Bei der Recherche für das kommende Confare #Factsheet zum Thema Cyberresilienz, das wir in Zusammenarbeit mit den Cybersecurity-Profis von Vectra AI gestalten, wollen wir von Martin wissen, wo die wichtigsten Handlungsfelder für den CIO sind und was es an organisatorischen und technischen Massnahmen braucht.
Auf welche Typen von Angriffen muss man sich in der IT einstellen?
Mit der stetig wachsenden Verlagerung von Services und Daten in die Cloud verschwinden die Angriffsvektoren auf das eigene Unternehmen nicht, sie werden lediglich verlagert. Die letzten Monate zeigen eine Anhäufung von Online-Services, welche als attraktives Ziel vermehrt Angriffen ausgesetzt waren. Attacken ausserhalb des eigenen Netzwerks bzw. welche ausserhalb gestartet werden, sind auch in der Zukunft vermehrt zu erwarten.
Wo sind Unternehmen besonders angreifbar? Worauf sollte man sein Augenmerk lenken?
Auch wenn dies nur eine kleine Hürde ist, empfiehlt es sich als Unternehmen nicht preiszugeben, mit welchen Lieferanten und welcher Systemlandschaft gearbeitet wird. Die steigende Komplexität durch verteilte und ausgelagerte Services (On Premise, Cloud, Hybrid Cloud, Mobile Applikationen) und der damit verbundenen Schwierigkeiten, die Daten entsprechend zu schützen, bieten immer breitere Angriffsflächen. Wichtiger denn je ist es, dass die Unternehmen ihre Daten mit grosser Sorgfalt klassifizieren und bewerten – rechtlich wie auch monetär – aufgrund immer restriktiver formulierter Gesetzesgrundlagen zum Informations- und Datenschutz. Zu diesem Zweck bietet es sich an, eine Data-Governance zu erarbeiten und konsequent umzusetzen.
Was sind die besonderen Qualitäten/Methoden moderner Hacker und Ransomware-Angriffe?
Die Bezugsquellen von Informationen zu risikobehafteten Unternehmen im Darknet, also solchen, welche Systeme mit Schwachstellen betreiben, vereinfachen den Hackern die Recherchen zu potentiellen Zielen. Hinzu kommt, dass Unternehmen mit ihren Lieferanten Sicherheitsmassnahmen und Best Practices sowie Entwicklungsrichtlinien kaum austauschen. Dies führt dazu, dass z.B. Supply-Chain-Angriffe so effektiv ausgeführt werden können und Ransomware, das Business-Modell der Hacker, gewinnbringend eingeschleust werden kann.
Was ist der Unterschied zwischen “Cybersecurity” und “Cyberresilience” oder IT-Resilienz?
Cybersecurity beschreibt die Erkennung und Verhinderung von Cyber-Ereignissen. Die Cyberresilience oder IT-Resilienz hingegen beschreibt, wie im Ereignisfall gehandelt wird, z.B. welche Vorkehrungen zur Behebung eines Schadens und/oder allfällige Wiederanlaufpläne umgesetzt werden. Der IT-Resilienz sollte also ein besonderes Augenmerk geschenkt werden, denn eine 100% Cybersecurity wird es nie geben.
Worauf muss man besonderes Augenmerk richten, um Angriffe frühzeitig zu erkennen?
Die eigene Systemlandschaft mit Schnittstellen zu Partnerorganisationen, Datensammlungen sowie die Geschäftsprozesse, sozusagen das Ökosystem des Unternehmens, müssen dokumentiert und auch überwacht werden. Wenn ich nicht weiss, was ich habe und für welchen Zweck es eingesetzt wird, dann werde ich Angriffe nicht oder zu spät erkennen können. Mit einem entsprechenden Monitoring können Abweichungen über die Laufzeit erkannt werden. Hierzu werden unterstützende Sicherheitslösungen benötigt, welche auf die Systemlandschaft, Datensammlungen und Prozesse abgestimmt sind, um die Cyberresilience zu erhöhen.
Welche organisatorischen Maßnahmen braucht es, um Angriffe zu erkennen?
Es benötigt vor allem Know-how für das Incident-Handling und Ressourcen, welche entsprechende Security-Alerts bearbeiten können. Die Implementation einer neuen Sicherheitslösung alleine wird nicht zum Ziel führen. Diese muss aktiv betrieben werden und die mit der Lösung betrauten Mitarbeitenden müssen sich ständig weiterbilden können. Nicht zuletzt bedarf es bei der ganzen Belegschaft umfassende Security-Awareness-Massnahmen, um Cyberangriffe in einem frühen Stadium zu erkennen.
Welche Prozesse und Werkzeuge sind entscheidend, um mit wenig Personal die Angriffe abzuwehren?
Es fängt mit einer ICT-Architektur an, welche die Cyberresilienz mit einer hohen Gewichtung berücksichtigt. Beispielsweise sind Trusts zwischen Systemen nur dort angebracht, wo der Geschäftsprozess es auch wirklich vorsieht und die Sicherheitsmassnahmen durchgehend auf demselben Niveau sind. Auf der technischen Ebene helfen intelligente und mit künstlicher Intelligenz unterstützte Cybersicherheitslösungen, den Personalbedarf zu minimieren. Auch z.B. die Auslagerung an einen Managed Security Service Provider oder ein Security Operation Center im Hybridbetrieb helfen, die Abwehr mit wenig Personal zu bewältigen.