Swissgrid ist die nationale Netzgesellschaft und für den sicheren Betrieb und die Überwachung des Schweizer Übertragungsnetzes verantwortlich. Dass man dieser Aufgabe erfolgreich nachgehen kann, dafür braucht es eine Menge IT. Daten werden ausgewertet, Netze optimiert, Stromflüsse in ganz Europa gemanaged, um so mit allen Partnern zusammen rund 500 Mio. Einwohner in Europa sicher mit Strom zu versorgen. Wenn es um Strom und IT geht, steht immer der Respekt vor Strommangellagen oder Blackouts im Raum.
Confare #CIOAWARD Preisträger Konrad Zöschg ist als CIO für die IT der Swissgrid AG zuständig. Cybersecurity ist dabei ein ganz entscheidender Faktor. Im Bloginterview sprechen wir über die Rolle der Cybersecurity im Unternehmen und die wichtigsten Fähigkeiten um mit der zunehmenden Komplexität erfolgreich umzugehen.
Konrad und mehr als 250 hochkarätige CIOs und IT-Professionals treffen Sie beim Confare #CIOSUMMIT Zürich.
Welche Rolle nimmt Cybersecurity in einem modernen Unternehmen ein?
Cybersecurity ermöglicht die smarte und sichere Integration von ICT-Lösungen. Sie stellt gleichzeitig auch sicher, dass die Endbenutzer diese Lösungen gut nutzen können. Das ist für die Akzeptanz und die Wirksamkeit von Cybersecurity Massnahmen essenziell. Durch Einhalten von Cybersecurity-Massnahmen sollen Anwendungen einfacher (und sicher) genutzt werden können. Das ist für mich kein Widerspruch, sondern konsequentes Umsetzen von smarten Architekturen und Engineeringwissen. Damit das gelingt müssen das Cybersecurity-Team und die Verantwortlichen von Applikationen bzw. Systemen von Anfang an eng zusammenarbeiten und auch aus Sicht der Endbenutzer denken. Gleichzeitig ist Cybersecurity aber auch eine wichtige Verteidigungslinie, sollte eine Schwachstelle auftauchen. Dann ist das Cyber-Team die gut trainierte Feuerwehrmannschaft, welche Brände unter Kontrolle hält, Optionen aufzeigt und zusammen mit den Applikationsverantwortlichen das Feuer löscht.
Was sind die wichtigsten Elemente, die in eine ganzheitliche Cybersecurity Betrachtung einfließen müssen?
Es sind einfach gesagt die fünf Fähigkeiten beschrieben im NIST Cybersecurity Framework. Dabei haben viele Unternehmen die Fähigkeiten «Identify», «Protect» und «Detect» schon länger auf dem Radar und auch ihren Möglichkeiten entsprechend 
umgesetzt. Bei «Respond» und «Recover» gibt es meines Erachtens noch Nachholbedarf. Ich behaupte, dass in vielen Unternehmen die Fähigkeit, diese zwei Punkte tatsächlich auszuführen, nicht genügend adressiert ist. Der relevante Unterschied zu den ersten drei besteht darin, dass man «Respond» und «Recover» nicht mit technischen Mitteln alleine beantworten kann. Es braucht wesentliche organisatorische Antworten, diese umzusetzen. Wenn ich da wieder den Vergleich mit der Feuerwehr machen dar: Ein voll ausgerüstetes modernes Feuerwehrauto nutzt mir nichts, wenn ich die Mannschaft nicht habe. Und wenn die Mannschaft nicht üben darf, können sie auch nicht effektiv Feuer löschen. Wir brauchen also nebst dem Equipment stets auch gut und regelmässig trainierte Feuerwehrleute. Aber genau dieser Aspekt, nämlich sicherzustellen, dass genügend trainierte Cyberspezialisten einsatzbereit sind, stellen viele Unternehmen bewusst oder unbewusst nicht sicher, obwohl das Risiko eines Feuerausbruchs (erfolgreicher Cyberangriff) relevant gross ist.
Cloud und Managed Services erzeugen sehr viel Abhängigkeit von anderen und öffnen Schnittstellen nach Außen – Was braucht es, um sich hier sicherheitsmäßig gut aufzustellen?
Zuerst braucht es eine bewusste Auseinandersetzung damit, was tatsächlich in Cloud und Managed Services wandern soll bzw. darf und was nicht. Diese Fragen haben wir als eine der kritischsten Infrastrukturen der Schweiz ganz bewusst beantwortet und strategisch verankert. Einige Systeme haben einen Sonderstatus, kommen nicht in die Cloud und werden auch entsprechend geschützt und abgeschottet.
Zur technischen Absicherung der in der Fragestellung aufgeführten Abhängigkeiten kann man z.B. ein «Zwiebelschalenprinzip» umsetzen und darauf achten, dass sichere Gatewaylösungen inkl. Firewalls auf verschiedenen Layern eingesetzt sind (inkl. WAF). Zudem müssen die operativen Prozesse funktionieren. Für die Verbindungen empfiehlt es sich, ein «White-List Approach» einzusetzen. Das ist sicherer als ein Blacklist-Ansatz, bei dem Verbindungen blockiert werden, die als unsicher bekannt sind.
Welche organisatorischen Maßnahmen sind erforderlich, um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheitsstatus zu erhalten?
Um Systeme sicher zu betreiben, sind vereinfacht folgende Elemente wichtig:
- Sichere Authentifizierung.
- Systeme auf einem sicheren Stand betreiben
- Die Verbindungen im Griff haben
- Funktionierende Operative Prozesse wie z.B. verlässliche Asset-Inventare, JML-Prozesse mit HR und Berechtigungskonzepte etc. aufbauen.
- Die «Supply Chain Risiken» im Griff haben
In der realen Welt ist die Umsetzung dieser Elemente nicht ganz so einfach wie in der Theorie. Es gilt aber, den Stand zu überwachen und in die richtige Richtung zu entwickeln. In der Realität kann – aus welchen Gründen auch immer – nicht überall eine als sicher geltende Authentifizierung umgesetzt werden. Dann muss als Alternative die 2-Faktor Authentifizierung z.B. durch gute Passwörter ersetzt werden.
Ob ich die Systeme auf einem sicheren Stand betreibe, muss ich ja auch zuerst erkennen und dann reagieren, wenn es nicht so ist. Aber auch da gibt es Situationen, bei denen z.B. ein Gesamtsystem zertifiziert ist und nicht einfach Patches eingespielt werden können. In diesem Fall muss das System durch mitigierende Massnahmen gesichert werden. Dasselbe gilt bei den angesprochenen Verbindungen. Es gibt Systeme, die laufen auf älteren Protokollen und auch da müssen mitigierende Massnahmen helfen, das Risiko in einem vertretbaren Rahmen zu halten.
Ich bin ein grosser Befürworter von regelmässigen Pen-Testing, um ganz konkret zu sehen, wo Lücken vorhanden sind, um diese dann zu schliessen. Damit sind auch die Ergebnisse der operativen Prozesse und die Risiken aus der Supply Chain in einem Testverfahren geprüft.
Was sind die wichtigsten Elemente einer Cybersecurity Architektur? Worauf muss man als CIO achten?
Ich betrachte nicht gerne isoliert nur die Cybersecurity Architektur, denn diese ist ein Teil einer ganzheitlichen Betrachtung. Um die Frage zu beantworten, sind für mich (isoliert betrachtet) folgende Elemente wichtig:
- Anforderungen an Cybersecurity abgeleitet aus den Geschäftsprozessen und den relevanten Risikoszenarien
- Anforderungen aus internen und externen Normen (Compliance)
- Personensicherheit
- Endgerätesicherheit
- Produktsicherheit (Applikationen & Systeme)
- Netzwerk Security
- Physische Sicherheit inkl. Datacentersicherheit
- Security Monitoring
Wie beurteilt man, was im Markt an Dienstleistungen und Produkten für das eigene Unternehmen wirklich relevant ist?
Vorausgesetzt, man weiss wirklich, was man als Ergänzung zu bestehenden Schutzmechanismen noch braucht, sind es die klassischen eigenen oder in Auftrag gegebenen Recherchen. Gespräche, der Besuch von Messen sowie ein gutes Netzwerk runden die Möglichkeiten für die Marktübersicht ab. Im Falle von Swissgrid wird es begleitet durch Ausschreibungen, da wir dem öffentlichen Beschaffungsrecht verpflichtet sind. Es empfiehlt sich auch, die Tauglichkeit von Produkten in Form von „Proof-of-Concepts“ (PoC) zu verifizieren.
Was ist notwendig um im Fall eines erfolgreichen Angriffs schnell handeln zu können?
Nun, das Wichtigste ist die Erkennung, dass ein erfolgreicher Angriff stattgefunden hat bzw. dass ein Angriff aktuell stattfindet. Sobald das erkannt bzw. gesichert ist, braucht es eine Krisenorganisation, die je nach Schwere des Angriffs aktiviert wird. Es braucht stark vereinfacht Lagebild, Fachwissen, Entscheidungskompetenz, Kommunikation und Logistik.
Wir haben z.B. organisatorisch bei Swissgrid drei Eskalationsstufen entlang dem Business Impact implementiert. Nebst der Einbindung allfälliger externer Experten ist die Sicherstellung der Durchhaltefähigkeit der entsprechenden Eskalationsstufe wichtig.
Technisch haben wir unabhängige Ersatzlösungen bereit, die wir auf Grund der Entscheide der oben genannten Funktionen jederzeit und unabhängig aktivieren können. Diese Lösungen stehen kurzfristig zur Verfügung und decken einen minimal notwendigen Funktionsumfang ab, um das Kerngeschäft grundsätzlich weiter zu betreiben. Es empfiehlt sich, alle diese Aspekte sowie auch wichtige Entscheidungselemente in einem Playbook vorgängig zu regeln, zu beschreiben und dann zu üben. Wir legen grossen Wert auf die Übungen.
Welche Argumente zählen bei Vorstand und Geschäftsführung wirklich, wenn es um Cybersecurity Investitionen geht?
Bei Vorstand und Geschäftsleitung geht es beim Entscheid für Investitionen schlussendlich darum, möglichen Schaden abzuwenden oder sich Marktvorteile zu verschaffen. Dazu müssen folgende Fragen beantwortet werden können:
- Welchem Risiko sind wir ausgesetzt?
- Welche Markvorteile verschaffen wir uns durch die Investition?
- Wie hoch ist das Schadensausmass für das Unternehmen / Stakeholder, beschrieben durch relevante Szenarien?
- Welche Massnahmen sind notwendig, um das Risiko in einen akzeptablen Bereich zu bringen, bzw. im akzeptablen Bereich zu halten.
- Wie viele Marktvorteile erzielen die Investitionen und welche Varianten stehen zur Diskussion?
- Und natürlich hilft ein Vergleich mit der Peer-Gruppe. Also wo stehen wir im Vergleich zur Branche oder Mitbewerbern, um folglich allenfalls notwendige Mittel zu erhalten.