Das Risiko, einem Cyber-Angriff zum Opfer zu fallen, nimmt kontinuierlich zu. Welche Gefahren hier lauern und wie Unternehmen damit umgehen sollten, hat Timo Schlüter, Business Consultant Cyber Security bei Arvato Systems, im Gespräch mit it security-Herausgeber Ulrich Parthier erläutert.
Wenn wir über die IT und deren Weiterentwicklung sprechen, geht es immer um den Dreiklang von Menschen, Prozessen und Tools. Gilt das auch für unternehmenskritische Bereiche wie IT-Security?
Timo Schlüter: Auf jeden Fall. Tools sind wichtig, keine Frage. Dennoch ist es keine Lösung, Software um ihrer selbst willen anzuschaffen. Es braucht Tools, die zum individuellen Bedarf von Unternehmen passen. Darum sollten Firmen zunächst analysieren, welche Security-Lösungen und Sensoren bereits vorhanden sind. Und was zusätzlich erforderlich ist, um Schwachstellen zu erkennen und zu beheben. So ist der Mensch selbst ein großes Einfallstor für Hacker, man denke nur an Social Engineering. Aber auch bei der Abwehr von Angriffen kommt es auf den Menschen an. Natürlich ließen sich Detection und Response vollautomatisieren. Doch: Sobald Hacker erkennen, dass eine Handlung X automatisch eine Reaktion Y auslöst, können sie das ganz gezielt ausnutzen. Darum sollte der Mensch entscheiden, was in Sachen Remediation zu tun ist, wenn ein Tool einen drohenden oder tatsächlichen Angriff erkennt. Womit wir bei den Prozessen wären. Viele Unternehmen verstehen Cyber Security nach wie vor als Software, die man einmalig anschafft. Doch damit ist es bei weitem nicht getan. IT-Sicherheit ist vielmehr Ergebnis eines fortlaufenden Prozesses. Diese Erkenntnis und die damit einhergehende Awareness für das Thema Cyber Security kommen nun auch im Management an.
Welchen Stellenwert hat IT-Sicherheit in Unternehmen? Welche Erfahrungen haben Sie diesbezüglich in Projekten gemacht?
Timo Schlüter: Die Gespräche, die wir mit Unternehmen führen, ähneln sich meistens sehr. Der Tenor lautet: Wir sind unzufrieden mit unserer IT Security. Das Problem dabei ist, dass viele keine greifbare Vorstellung davon haben, was Cyber Security überhaupt ist und welchen Mehrwert sie stiftet. Auf den ersten Blick scheint IT-Sicherheit viel Geld zu kosten, ohne messbare Resultate zu liefern. Das ist jedoch zu kurz gedacht. Erst wenn Unternehmen IT-Sicherheit als Geschäftsprozess wie jeden anderen verstehen, der mit Bedacht modelliert, mit Metriken gesteuert, mit Tools überwacht und kontinuierlich optimiert sein will, erlangen sie eine Ahnung vom Wert der Cyber Security – und in welchem Maß sie zur Sicherheit des gesamten Unternehmens beiträgt.
Wie sollte Ihrer Meinung nach die Frage lauten, die sich Unternehmen im Kontext von Cyber Security stellen sollten?
Timo Schlüter: Die entscheidende Frage ist: Wie organisiere ich meine Security-Prozesse, damit meine Mitarbeiter genau jene Probleme angehen, die aktuell wichtig sind? Die Betonung liegt dabei auf „Prozesse“. Was in anderen Bereichen selbstverständlich ist, muss auch bei der IT-Sicherheit gelten. Abläufe müssen nicht nur strategisch definiert sein. Es braucht ebenso messbare KPIs, anhand derer sich der Prozess im Hinblick auf das angestrebte Ziel bewerten lässt. Ohne Kennzahlen kann es natürlich keine validen Ergebnisse geben. Für viele Unternehmen ist der Weg hin zu dieser Erkenntnis sehr steinig und mitunter auch schmerzhaft. Denn sie müssen einsehen, dass sie das Thema bis dato falsch angegangen sind – und so letztlich Geld verschwendet haben. Ein Beispiel aus der Praxis: Es kommt immer wieder vor, dass Unternehmen ihre eigene IT-Systemlandschaft überhaupt nicht kennen. Sie wissen nicht, welche Lösungen und Systeme in welchen Abteilungen zum Einsatz kommen – Stichwort: Schatten-IT. Diese Unternehmen müssen zunächst ihre Hausaufgaben machen, also sich einen Überblick über ihre IT-Landschaft verschaffen, bevor wir dann gemeinsam Prozesse modellieren, damit sie zukünftig Schwachstellen und etwaige Angriffe erkennen können.
Sie sprechen von der Messung des Security Levels?
Timo Schlüter: Jein. Hierbei geht es nicht um Risk Reports, sondern darum, Prozesse operativ zu steuern. Ein Beispiel aus dem Schwachstellenmanagement: Der Security Scan einer Umgebung liefert detaillierte Ergebnisse über die zum Vermessungszeitpunkt existierenden Risiken, etwa als Risk Score Metrik. Der gemessene Wert könnte bei 20.000 liegen, zwei Wochen später dann bei 25.000. Was sagen diese Zahlen aus? Dass sich das Gesamtrisiko erhöht hat. Doch hat die zuständige IT-Abteilung in der Zwischenzeit an der Problembehebung gearbeitet? Und wie gut funktioniert das Schwachstellenmanagement? Beide Fragen lassen sich mit Einzelbetrachtungen dieser Art nicht beantworten, weil IT-Sicherheit kein statisches Thema ist. Ein Security Score ist also keine Lösung, sondern lediglich Ausgangspunkt für weitere Maßnahmen. Der Score zeigt nur die Qualität der Prevention an, nicht aber von Maßnahmen in den Bereichen Detection und Response. Daher ist es so wichtig, Cyber Security als Geschäftsprozess zu betrachten. Wenn Unternehmen alle Schwachstellen in einem Einmalprojekt schließen, kann die Bedrohungslage einige Wochen später eine ganz andere sein. Eben weil sie sich permanent ändert. Darum ist ein kontinuierliches Security Monitoring unverzichtbar.
Wie gelingt es, diese Prozesse zu definieren?
Timo Schlüter: Unternehmen müssen zuallererst herausfinden, wo sie am verwundbarsten sind. Dabei sind das MITRE ATT&CK Framework und eine Heatmap, welche die Bedrohungslage in der eigenen Branche darstellt und die permanent aktualisiert wird, wirkungsvolle Hilfsmittel. Das individuelle Risiko zu evaluieren – und zwar kontinuierlich –, ist ein sinnvoller Startpunkt für die Prozessdefinition.
Wie geht es dann weiter?
Timo Schlüter: Dann geht es ans Eingemachte. Dann kommt der Faktor Mensch ins Spiel. Um es mit gewieften Hackern aufnehmen zu können, braucht es hochqualifizierte Experten, idealerweise mit einem Abschluss als Cyber Security Master. Es ist doch so: Die Mehrzahl der Hacker ist auf eine Technik spezialisiert, wohingegen die Mitarbeiter nicht nur alle Techniken kennen und beherrschen, sondern auch ausgeprägte analytische Fähigkeiten haben müssen. Solch ein Team zusammenzustellen und zu unterhalten, können sich nur die ganz großen Konzerne leisten. Mittelständische Unternehmen sind gut beraten, auf die Unterstützung eines externen SOC zurückzugreifen. Die Mitarneiter in einem SOC überwachen alle eingehenden Notables – wahlweise auch 24/7 – und bewerten, ob es sich tatsächlich um einen kritischen Incident handelt.
Sollte das der Fall sein, leiten sie die nötigen Response Maßnahmen ein. Dabei ist Vertrauen sehr wichtig. Denn im Zweifel greift der Managed Security Services Provider auf hochsensible Daten zu. Übrigens geht der Trend eindeutig in diese Richtung. Moderne Security-Lösungen sind derart komplex, dass Anwender deren Voraussetzungen, Funktionsweisen und Auswirkungen nicht mehr verstehen. Darum kommen immer mehr Hersteller von Security-Lösungen auf Arvato Systems als Security-Experten zu. Im Rahmen solcher Partnerschaften monitoren unsere Mitarbeiter im SOC die Gefahrenlage und leiten im Fall der Fälle die erforderlichen Response- und Remediation-Maßnahmen ein. So wird Cyber Security zu einem erfolgskritischen Business-Prozess.
Herr Schlüter, wir danken für das Gespräch!