Die eigenen Schwächen kennen – Vom Baseline Assessment zu mehr Cyber-Security im Cloud, Remote und Social Media Zeitalter

Christopher Ehmsen ist Head of Portfoliomanagement & Solution Sales Cyber Security bei T-Systems Austria GesmbH und Ronny Fischer ist Security Chief Technology Officer bei T-Systems Schweiz AG. In Vorbereitung des neuen Cyber-Security Factsheets 2021, das Confare in Zusammenarbeit mit T-Systems veröffentlicht, wollten wir von Christopher und Ronny wissen, was für sie die wichtigsten GRC (Governance, Risk, Compliance) Trends sind und welche organisatorischen, technischen und menschlichen Faktoren für mehr Schutz wirksam sind.

Welche Fragen sollte man sich im Cloud, Remote und Social Media Zeitalter rund um Infrastruktur und Netzwerk stellen, wenn es um Cyber-Security geht?

Die unterschiedlichen Aspekte lohnt es sich im Speziellen anzusehen:

• CLOUD: Die Firma muss die strategischen Entscheidungen treffen und wissen, was zugelassen ist und was nicht. Zugelassene Applikationen, sogenannte sanktionierte Applikationen, müssen vor allem auch richtig administriert werden. Benutzer machen Fehler und deren Auswirkungen können weit gefährlicher sein als bei Applikationen, die on-Prem betrieben werden. Daher ist es sinnvoll eine entsprechende Überwachungssoftware (CASB) zu betreiben, mit der kontrolliert werden kann, ob alle Daten der eigenen Compliance entsprechend abgelegt und verwaltet werden. Sollte es sich bei der Cloud um Infrastructure as a Service handeln, gelten in Bezug auf Security die gleichen Regeln wie on-Prem, also Vulnerability Management / Patch Management / Firewalls und IDS/IPS etc. Zusätzlich wird auch für IaaS CASB angeboten und es wäre empfehlenswert, dieses auch gleich mit zu budgetieren und frühestmöglich zu implementieren.
• HOME OFFICE: Via Remote lässt man nur authentisierte Benutzer in das eigene Netzwerk, hier ist VPN das Werkzeug der Wahl. Dazu muss man klären, welcher Traffic auf welche Weise geroutet wird. Routet man den kompletten Netzwerkverkehr via VPN in das eigene Netzwerk, kann man die gleichen Security-Controls anwenden, wie wenn der Benutzer sich im LAN befinden würde (Firewall Regeln, Proxy Server etc.). Routet man einen Teil der Daten via Split Tunnel direkt in das Internet, muss man sich Gedanken machen, auf welche Weise welcher Netzwerkverkehr auf Malware etc. kontrolliert wird. Benutzer von Firmeninfrastruktur wie Laptops und Mobiles unkontrolliert in das Internet zu lassen, ist keine gute Idee. Zu hoch ist das Risiko, Malware ungehindert ins eigene Netzwerk zu importieren.
• SOCIAL MEDIA: Private Social Media Nutzung ist etwas, das in der Arbeitszeit ohnehin nichts verloren hat. Dazu birgt es ein hohes Risiko, da es ein praktischer Angriffsvektor für Social Engineering und Malware Infektionen ist. Es Bedarf auch stringenter Policies, da privates Social Media nie mit einem geschäftlichen Email-Account gepflegt werden sollte. Geschäftliche Social Media Aktivitäten sollten orchestriert sein, damit CD/CI Vorgaben einheitlich gepflegt werden und die geteilten Inhalte einer Linie entsprechen.

Wie kann man sich den nötigen Überblick über Cyber-Risiken und Schwächen verschaffen?

Hier empfiehlt es sich, ein sogenanntes Baseline Assessment durchzuführen. Dabei wird eruiert, wo die größten Schwächen bestehen. Basierend auf dem Ergebnis des Baseline Assessments kann eine Risiko-Analyse gemacht werden, um die Risiken in der richtigen Priorität zu mitigieren. Das liest sich hier nun ganz einfach, aber der Aufwand eine korrekte Risikoanalyse umzusetzen, sollte nicht unterschätzt werden.

Was sind 2021 die größten Herausforderungen bei der IT-Compliance?

IT Compliance Policies sind dann effektiv, wenn sie:

• So kurz wie möglich verfasst sind.
• Allgemein verständlich sind.
• Regelmäßig geprüft werden.

Die Komplexität dabei ist ständig gestiegen und wird das in den nächsten Jahren auch weiter tun. Daher ist es ratsam, dafür auch Tools zu nutzen, mit denen man sicherstellt, dass alle wichtigen Regulatoren berücksichtigt und umgesetzt werden.

Was braucht es, um eine ganzheitliche Governance, Risk & Compliance Betrachtung zu erhalten?

Es ist zielführend, ein zentrales Tool zu implementieren, in dem alle GRC Informationen holistisch abgelegt und verwaltet werden können. Dafür ist ein ausreichendes Budget an Zeit und Ressourcen erforderlich. GRC kann je nach Zertifizierungswunsch recht aufwändig und intensiv werden. Wer das unterschätzt, droht auf halbem Weg zu scheitern. Daher braucht es die entsprechende Unterstützung der Geschäftsleitung. Ziel Ihrer GRC Maßnahmen sollte immer sein, Mehrwert für das Business zu schaffen. Das erhöht die Motivation der eigenen MitarbeiterInnen und sie werden bereit sein, dabei entsprechend zu unterstützen. Für den Start eines GRC Projektes empfiehlt es sich zudem, professionelle Hilfe zu holen. Auf längere Sicht wird man so Zeit und Geld sparen.

Welche organisatorischen Maßnahmen sind erforderlich, um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheitsstatus zu erhalten?

Definitiv braucht es ein SIEM, in dem alle Sicherheitsmeldungen zentral gesammelt und ausgewertet werden können, sowie ein SOC (Security Operation Center), das sich um die entsprechende Alarmierung und Lösung der Sicherheitsvorfälle kümmert. Nach einiger Zeit wachsen SIEMs erfahrungsgemäß und mit jeder Einbindung einer neuen Security-Informationsquelle entsteht ein vollständigeres Bild des aktuellen Sicherheitsstatus. Aus organisatorischer Sicht müssen Alarmierungswege etabliert werden, die meistens intern ablaufen. Ein SOC kann allerdings auch extern als Dienstleistung bezogen werden.

Was sind die entscheidenden Faktoren für eine Cyber Resilienz?

Als erstes sicher die Sichtbarkeit von Risiken und Bedrohungen. Nur wenn man weiß, von wem man auf welche Art und Weise bedroht wird, kann man sich erfolgreich dagegen wehren. Hat man diese Sichtbarkeit etabliert, können in weiterer Folge zielgerichtet Schwachstellen eliminiert werden. Als zweites muss man die eigenen MitarbeiterInnen sensibilisieren – aber nicht nur mit stumpfen Lernmodulen im eigenen Intranet. Interaktive Schulungen vor Ort, sowie umfangreiche Kommunikations- und Awareness-Maßnahmen können dafür geeignet sein. MitarbeiterInnen müssen verstehen, dass sie ein wichtiger Teil der Security-Strategie sind und dass aus ihrem Handeln schwerwiegende Konsequenzen resultieren können. Eine ehrliche und korrekte Risiko-Abschätzung sowie ein Notfall-Handbuch sind ebenso erforderlich. Bei den Notfallplänen ist es entscheidend, dass für jeden klar hervorgeht, wie im Notfall zu handeln ist. Das muss geschult und getestet werden. Nur wenn ausreichend Routine bei den Vorgehensweisen vorhanden ist, werden diese unter Druck auch funktionieren.

Welche Maßnahmen können dazu beitragen sich vor noch unbekannten Bedrohungen zu schützen?

Wenn die MitarbeiterInnen darauf vorbereitet sind, bei Ernstfällen richtig zu reagieren, ist das ein erster Schritt. Es gilt die KollegInnen zu sensibilisieren, damit sie auf ungewöhnliche Ereignisse achten und richtig alarmieren. Es existieren aber zum Glück auch ein paar Technologien, die es einem einfacher machen, unbekannte Bedrohungen in bekannte Bedrohungen zu verwandeln. Künstliche Intelligenz kann hier hilfreich sein und wird in Zukunft sicher noch eine wichtige Rolle spielen, aber auch Sandboxing Technologien, die es uns ermöglichen, unbekannte Malware in einer virtuellen Maschine auszuführen und via Analyse richtig zu verstehen.

Interessante Videos zu diversen Themen finden Sie auf unserem YouTube-Kanal