Gregor Hartweger ist seit 2018 für die Informationssicherheit der TU Wien verantwortlich. Als CISO hat er eine Organisationsstruktur für Informationssicherheit etabliert, einen risikobasierten Maßnahmenkatalog entwickelt, der das Gesamtrisiko der TU Wien senkt, und ein ISMS aufgebaut, durch das die zentralen IT-Services nach ISO 27001:2013 zertifizierbar werden.
Bei der Vorbereitung des neuen Cyber Security Factsheets 2021, das Confare in Zusammenarbeit mit T-Systems veröffentlicht, haben wir Gregor (CISO, TU Wien) nach seinen Einschätzungen zu Cybersecurity Trends und den aktuellen Compliance Herausforderungen gefragt.
1. Welche Fragen sollte man sich im Cloud-, Remote und Social Media Zeitalter rund um Infrastruktur und Netzwerk stellen, wenn es um Cyber Security geht?
1.1. Wo und warum entstehen neue Risiken?
Das Spiel nennt sich Sicherheit vs. Komfort. Waren die Angriffsvektoren früher überschaubar und zumeist auf den Perimeter Schutz der Firma und den Zugriff auf File- und Mailserver konzentriert, so hat sich die Angriffsfläche für die Cyberkriminalität in Zeiten von Digitalisierung und Corona in allen Ebenen vervielfacht. Nicht nur die Zusammenarbeit mittels Videokonferenzing Tools, Cloudservices und Homeoffice bilden an sich schon Angriffsflächen der verschiedensten Art, enorm gesteigert wird das daraus resultierende Risiko durch den Druck, möglichst schnell auf neue Arbeitsweisen wie Homeoffice oder Distancelearning umzusteigen. Alles was schnell und einfach zu verwenden ist wird genutzt, Gefahren werden vernachlässigt um möglichst schnell wieder in den gewohnten Arbeits-Workload zu kommen.
1.2. Welches Risiko könnte ich übersehen oder unterschätzen?
Die User und Userinnen waren gezwungen einen massiven Change zu vollziehen und sind froh, wieder in einen „halbwegs geregelten“ Arbeitsalltag gefunden zu haben. Jetzt besteht die Aufgabe darin, die Infrastruktur der Firma auf die neuen erwartbaren Anforderungen so anzupassen, damit die User und Userinnen nicht noch mehr „Changes“ als unbedingt notwendig durchlaufen müssen. Wir müssen aufpassen, die User und Userinnen nicht zu überfordern, gleichzeitig muss ein verstärktes Sicherheitsniveau den gestiegenen Bedrohungsszenarien entgegengesetzt werden.
1.3. Wie kann ich unterschätze Risiken erkennen und mitigieren?
Es ist ja kein Zufall, dass die meisten Cybersecurity Vorfälle ihren Ursprung in irgendeiner Form des „Social Engineerings“ haben. Ebenso wichtig wie die „Kunden- und Kundinnen-Zufriedenheit“ sollte auch die „Mitarbeiter- und Mitarbeiterinnen-Zufriedenheit“ sein. Hier fängt aber auch schon die Schwierigkeit an, wenn ich viele neue technische Bedrohungen der Cyberkriminalität habe und ich diesen technische und organisatorische Maßnahmen entgegensetzen muss, sind wir gezwungen etwas von unserem anfangs erwähnten Komfort abzugeben. Hier gilt es ein ausgewogenes Maßnahmenpaket zu schnüren, dass den oder die User und Userinnen nicht nur mit organisatorischen Regelungen überhäuft, sondern ihn oder sie auch z. B. durch interessante Awareness Maßnahmen spielerisch mit einbezieht und abholt.
2. Wie kann man sich den nötigen Überblick über Cyber-Risiken und Schwächen verschaffen?
Mit einer klassischen SWOT Analyse kann ich mir einen Überblick verschaffen, wie meine Unternehmung im Cybercrime Kosmos aufgestellt ist. Ich bekomme eine Übersicht der internen Schwächen und Stärken meiner Firma und kann diese den externen Risiken und Chancen gegenüberstellen. Getreu dem Motto, Stärken weiter stärken und Schwächen minimieren, kann ich Stärken nutzen um Cyber-Risiken zu mitigieren und Chancen erkennen um das generelle Risiko zu senken.
3. Was sind 2021 die größten Herausforderungen bei der IT-Compliance?
3.1. TOMs
Man muss ein ausgewogenes Paket an technischen und organisatorischen Maßnahmen finden, dass auch lebbar für die Mitarbeiter und Mitarbeiterinnen ist. Das hängt aber wiederum stark von den Geschäftszielen der Unternehmung ab. Wie weit muss ich eine Mitarbeiterin oder einen Mitarbeiter in der Ausübung ihrer oder seiner Arbeitstätigkeit einschränken und reglementieren ohne sie oder ihn von der Arbeit abzuhalten?
3.2. Awareness
Zusätzlich braucht es unbedingt ein abgestimmtes Awareness-Programm, damit die nicht technisch adressierbaren Sicherheitsrisiken dennoch mitigiert werden können. Nicht um sonst wird der oder die durch Awareness-Schulungen aufmerksame Mitarbeiter und Mitarbeiterinnen auch die menschliche Firewall genannt.
3.3. Kultur
Letztendlich macht es die Kultur eines Unternehmens aus, ob und in welchem Ausmaß Regelungen angenommen und umgesetzt werden. Muss ich mit viel Druck und Konsequenz-Androhungen die Umsetzung verbindlicher Richtlinien durchsetzen oder gelingt es vielmehr es als selbstverständlich anzusehen, Regeln und Maßnahmen, die ja schlussendlich auch zum eigenen Schutz gedacht sind, umzusetzen und so „compliant“ zu sein?
4. Was braucht es, um eine ganzheitlichen Governance, Risk & Compliance Betrachtung zu erhalten?
Prinzipiell ist ein „Informations-Sicherheits-Management-System“ (ISMS) genau für diese Zwecke gedacht. Ein ISMS besteht aber nicht zwangsläufig aus einer Software, sondern kann sich aus mehreren Bestandteilen zusammensetzen. Wichtig ist jedoch, dass aus der Summe der eingesetzten Tools, ein System entsteht, in dem die Geschäftsprozesse einer Unternehmung abgebildet werden können, diese werden dann im Assetmanagement in bewertbare Informationseinheiten geclustert um dann im Risikomanagement bewertet werden zu können. Je nachdem ob man eine Zertifizierung anstrebt oder nicht, kann man dann Risiken, Kontrollen und Maßnahmen beruhend auf der ISO 27001, BSI oder anderen Standards, als Bewertungskriterien zu Grunde legen. Das ganze System unterliegt einem ständigen Verbesserungsprozess (KVP) und stellt somit die Compliance kontinuierlich sicher.
Mit dem Confare NEWSLETTER am neuesten Stand bleiben und die Ergebnisse der Umfrage erfahren. Gemeinsam.Besser.Informiert
5. Welche organisatorischen Maßnahmen sind erforderlich um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheits-Status zu erhalten?
Um einen Sicherheitsstatus zu erhalten, brauche ich Vergleichswerte. In einer GAP-Analyse kann ich den IST-Zustand meiner Infrastruktur ermitteln und einem SOLL-Zustand gegenüberstellen. Der SOLL-Zustand definiert sich dabei aus den Ansprüchen und Vorgaben der Unternehmensführung und kann zum Beispiel, sollte eine Zertifizierung nach ISO 27001:2013 angestrebt werden, am BSI-Standard ausgerichtet sein. Durch einen Risikokatalog kann man erkannte Schwachstellen der Infrastruktur bekannten Bedrohungen, beispielsweise durch cyberkriminelle Angriffe, gegenüberstellen und so das Risiko für relevante und eventuell durch die ISO definierte Bereiche ermitteln. Da es nicht wirklich möglich ist das Gesamt-Risiko einer Firma auf Null zu reduzieren, muss man einen akzeptablen Risikobereich definieren, in dem sich der IST-Zustand befinden sollte. Beziehe ich nun auch noch im Sinne der ganzheitlichen Betrachtung diverse Ausfalls- und Wiederherstellungsszenarien des BCM mit ein, dann erhalte ich den Reifegrad einer Unternehmung, der sich im akzeptierten Risikobereich befinden sollte.
6. Was sind die entscheidenden Faktoren für eine Cyber Resilienz?
6.1. Erwartbare Risiken reduzieren
Die Resilienz einer Unternehmung definiert sich durch die Widerstandsfähigkeit einer Unternehmung gegenüber unterschiedlicher negativer Einfluss Faktoren verschiedener Bereiche, die unerwartet und auch unvorhersehbar gleichzeitig auftreten können. Im Bereich der Cyberkriminalität, ist es wichtig, Risiken zu minimieren, dort wo ich die Risiken kenne.
6.2. Auf nicht erwartbare Bedrohungen vorbereitet sein
Dort, wo ich die Risiken nicht kenne, sollte es bestmögliche Pläne geben, damit meine Firma dennoch handlungsfähig bleibt, wenn der schlimmste Fall eintritt. Ein SOC kann seine Infrastruktur gut gegen interne Gefahren und gegen viele Bedrohungen externer Umwelten schützen, aber wie sieht es mit unvorhersehbaren Naturkatastrophen aus, wenn zum Beispiel durch eine Pandemie ein Großteil der Belegschaft inklusive des SOC Teams im Homeoffice ist und dabei neue Gefahren durch ungesicherte Systeme im Homeoffice entstehen, während gleichzeitig ein Hackerangriff stattfindet?
Man sollte die Belastbarkeit der eingesetzten Systeme kennen und für den Fall der Fälle einen Fail-Safe Mode haben, in den entweder händisch oder automatisch geschalten werden kann, bevor ein komplettes Systemversagen eintritt?
7. Welche Maßnahmen können dazu beitragen sich vor noch unbekannten Bedrohungen zu schützen?
Sich vor Bedrohungen zu schützen, die man nicht kennt, gehört mit unter zu den schwierigsten Aufgaben, deshalb empfiehlt es sich hier sowohl organisatorisch wie auch technisch auf verschiedene Ansätze zu bauen, also auf eine Diversität der Schutz-Methoden.
Mehrschichtige Schutzebenen (Multi-Level Security) die für unterschiedliche Service- oder Netzwerkbereiche (Zwiebelschalen-Prinzip) zuständig sind und verschiedene „Next Gen“ Lösungsansätze verfolgen, haben eher eine Chance rechtzeitig unbekannte Bedrohungen zur erkennen, als ein einzelner Ansatz. Hier gilt es den zur Unternehmung passenden Maßnahmen-Mix zu finden, also die bestmögliche Kombination aus technischen Systemen (beispielsweise Perimeter-Firewall, Network-Segmentation, E-Mail-Gateway-Security, Endpoint-Security, usw.) und organisatorischen Sicherheitsmaßnahmen (Klassifizierung, DRM, MAC, usw.) zu finden.
Zu diesem Maßnahmen-Mix zählt für mich genauso der Backup-, Recovery- und BCM-Bereich. Auch hier sollte man die Intelligenz und Entwicklungsfähigkeit der Angreifer nicht unterschätzen und auf unerwartetes vorbereitet sein, schließlich ist eine Erpressung, nachdem die wichtigsten Daten verschlüsselt worden sind, nur halb so erfolgreich, wenn es funktionierende Backup- und Recovery Strategien im Hintergrund gibt und Notfall- und Ausfallspläne schnell umgesetzt werden können.
15. Confare #CIOSUMMIT 2021
Mit Verleihung des Confare #CIOAward
Österreichs größtes IT-Management Forum
06./07. April 2021
