OUT NOW im #Confare Blog mit Thomas Tölg, Neuroth Gruppe: Alles rund um Cybersecurity im 2023
In enger Zusammenarbeit mit Confare #TopCIO Heimo Kern verantwortet Thomas Tölg als CISO das Thema Cybersecurity bei der Neuroth Gruppe. In der Recherche für das kommende Confare Factsheet „Cyber Security Update 2023“, das Confare in Zusammenarbeit mit T-Systems Austria veröffentlicht, haben wir Thomas zu den aktuellen Herausforderungen und Trends befragt.
Kein Factsheet verpassen? Einfach das Confare Factsheet Abo bestellen!
Die IT-Profis der Neuroth Gruppe und mehr als 500 weitere hochkarätige IT-Entscheider treffen Sie beim Confare #CIOSUMMIT, dem größten und wichtigsten IT-Management Treffpunkt des Jahres. Gleich anmelden.
Inflation, Pandemie, Krieg – Welche Herausforderungen bringen die aktuellen Unabwägbarkeiten für die Unternehmens-IT?
Es ist kein Geheimnis, sondern viel mehr Tatsache: Multiple Krisen stellen Unternehmen vor multiple Herausforderungen und insbesondere deren IT- sowie Security- Teams stehen vor einer Reihe von vermeintlich unlösbar scheinenden Aufgaben. Es war unvorstellbar, dass das BSI aus einer politischen Krise, einem Krieg heraus, vor dem Einsatz eines Softwareproduktes warnt, geschehen am Beispiel von Kaspersky. Genauso unvorstellbar für mich in einer hoch technologisierten und vernetzten Welt, dass es zu monatelangen Lieferverzögerungen von Hardwarekomponenten kommt. Langfristige Planung, sei es strategisch im IT- und Securitybereich, aber eben auch in der Beschaffung von Hardwarekomponenten und eine nachhaltige Nutzung aller Systeme zeigen sich immer mehr als der gemeinsame Ausweg.
Inwieweit diese Planung, trotz steigender Inflation, eine positive Auswirkung auf die IT-Budgets hat, wird sich noch zeigen und gerade deswegen ist das laufende Monitoring sämtlicher IT-Kosten unabdingbar.
Widerstandskraft (also Resilienz) ist in unsicheren Zeiten zu einem entscheidenden Faktor für die Unternehmens-IT geworden. Was sind die wichtigsten Faktoren dabei?
Aus meiner CISO Sicht ist Resilienz die Fähigkeit von Unternehmen, sich an Veränderungen und Herausforderungen anzupassen und ihre Geschäftsprozesse aufrechtzuerhalten. Dass Resilienz sehr stark von uns IT-Abteilungen beeinflusst wird, zeigen die folgenden Beispiele:
- Ein gut entwickelter Business Continuity Plan trägt jedenfalls dazu bei, dass Unternehmen auf unerwartete Ereignisse reagieren und ihre (wichtigsten) Geschäftsprozesse aufrechterhalten können.
- Eine robuste und skalierbare IT-Infrastruktur ist von entscheidender Bedeutung für die Aufrechterhaltung von Geschäftsprozessen und die schnelle Reaktion auf unerwartete Ereignisse.
- Eine gute Cybersecurity-Strategie ist wichtig, um Angriffe auf die IT-Infrastruktur von Unternehmen frühzeitig abzuwehren, um vor Datenverlusten und Datenlecks zu schützen.
- Ein etabliertes Risikomanagement hilft Unternehmen dabei Risiken zu identifizieren und mit entsprechenden Maßnahmen Schäden zu minimieren bzw. überhaupt zu vermeiden.
Da all diese Faktoren nicht zur „Standardausstattung“ einer jeden Unternehmens-IT gehören, ist es umso wichtiger sich frühzeitig damit auseinanderzusetzen – Warum nehmen Sie nicht diesen Beitrag gleich zum Anlass eine Initiative zu starten?
Welche Rolle kommt der Cyber Security zu, wenn es um Resilienz geht?
Dass IT-Abteilungen und Security Teams gerade hier eine tragende Rolle haben, steht außer Frage.
Absicherung, Erkennung und Versicherung sind nur einige Beispiele, die in jeder Cybersecurity-Strategie festgehalten sein sollten.
Absicherung ist dabei nicht nur die Firewall am Perimeter, die Mikro-Segementierung im Datacenter und der Virenschutz am Endpoint, sondern die gesamtheitliche Betrachtung aller Maßnahmen und Vorgaben zum Schutz der Unternehmenswerte. Nutzen Sie Multifaktor-Authentifizierung für alle externen Zugänge und Cloud Services in Ihrem Unternehmen? Oder gibt es vielleicht doch noch die ein oder andere Ausnahme? Sind Ihre Mitarbeiter*innen im Umgang mit Phishing Mails geschult?
Versagen die Werkzeuge zur Absicherung und die “Cyber Kill Chain“ beginnt, muss Ihre Unternehmens IT in der Lage sein diesen Angriff frühzeitig zu erkennen und die Erkundungen im Netzwerk mit nachfolgender Privilegieneskalation zu vermeiden. Sind sie sicher, dass Ihre Nutzer keine lokalen Administrator-Rechte haben? Bekommen Sie eine Änderung an der Domain-Admin Gruppe im Active Directory überhaupt mit?
Werden diese Anzeichen einer Kompromittierung übersehen und „das Kind ist in den Brunnen gefallen“, der Angriff hat stattgefunden und es kommt möglicherweise zu einem Betriebsstillstand, ist es wichtig zeitnah und richtig zu reagieren. Die Vorbereitung mit z.B. einem Krisenhandbuch ermöglicht einen klaren Kopf zu bewahren, genauso wie der Abschluss einer Cyber-Versicherung für den Fall der Fälle hilfreich sein kann.
Welche sind die wichtigsten Compliance und Regulierungstrends 2023? Worauf müssen CIOs und CISOs achten?
Die Sicherheit von Unternehmensdaten zu gewährleisten ist in Wirklichkeit kein Trend, sondern ständige Aufgaben aller CIOs und CISOs, das wird durch das neue Jahr 2023 nur noch weiter verschärft. Die immer weitere Zunahme von Cyber-Angriffen erinnert an alte Pflichten: Offline-Backups, Multifaktor-Authentifizierung, Awareness-Schulungen, zeitnahe Securityupdates – um nur einige Beispiele zu nennen. Diese „alten“ Themen gilt es so weit zu perfektionieren, technisch und organisatorisch, sodass der Security-Reifegrade mit neuen Initiativen weiter erhöht werden kann.
„Vertrauen Sie nichts und niemandem“ ist ein Motto für 2023, allgemein bekannt unter dem Begriff „Zero Trust“. Das bedeutet nichts anderes, als das alle Anfragen und Zugriffe so behandelt werden, als kämen Sie von einem offen zugänglichen Netzwerk. Jede Anforderung muss authentifiziert, autorisiert und verschlüsselt sein, um beantwortet zu werden. Mit diesem wesentlichen Baustein in jeder Security Architektur wird eine Ausbreitung bei einem Angriff schon sehr gut verhindert.
Neben diesen technischen Maßnahmen und der Tatsache, dass man immer wieder von Korruption in Politik und Wirtschaft liest, werden organisatorische Vorkehrungen wichtig, um unbefugte Zugriffe auch prozessual zu verhindern. Dokumentation aller Zugriffsanforderungen inklusive Freigabe, jährliche Audits, 4-Augen-Prinzip bei sensiblen Berechtigungen etc. erfordern einen hohen Prozess-Reifegrad. Wie ein solcher erreicht wird? Scheuen Sie sich nicht davor, auch als Unternehmens-IT eine entsprechende ISO 27001 Zertifizierung anzustreben bzw. die Vorgaben in Ihre internen Prozesse zu übernehmen. Und leben Sie diese Vorgaben in Ihrem Unternehmen.
Agilität, Kundenorientierung und Geschwindigkeit sind Erfolgsfaktoren in einem hoch dynamischen Umfeld. Wie lässt sich das mit Forderung nach Stabilität, Widerstandsfähigkeit und Sicherheit unter einen Hut bringen?
IT-Abteilungen standen schon immer genau zwischen dem Dasein des Enablers und des Disablers hin zum Business. Dieses Thema wird durch Cyber Security Vorgaben nicht vereinfacht, sondern ganz im Gegenteil. Hier den richtigen Mix zwischen Nutzerfreundlichkeit und trotzdem dem Mindestmaß an Schutz zu bieten, ist oft eine Gratwanderung. Und was mach ich, wenn ich ganz bewusst über dieses Mindestmaß hinweg gehen muss. Also ein ständiges Abwägen zwischen Comfort und Security.
Wie halten Sie die Waage zwischen Produktivität und Sicherheit des Unternehmens?
Egal ob CIO oder CISO, das eigene Unternehmen zu verstehen und die Anforderungen aus dem Business früh zu kennen und darauf reagieren zu können, macht aus dem Disabler einen Enabler.
Das gegenseitige Verständnis, dass Security in Wirklichkeit agile und sichere Nutzung von Produkten ermöglicht und das Risiko in IT und Business getragen werden muss, sind nur zwei Punkte hin zum Weg des Businesss-Enablers. Am Ende des Tages soll Security belastbar sein, unterstützen und verständlich sein, denn sonst bleib der Beigeschmack des Verhinderers und Schatten IT wird indirekt gefördert.