Die Cybersicherheitslandschaft hat sich verändert und Unternehmen reagieren darauf. Welche Rolle haben Prozesse die auf einen “Security by Design”-Ansatz basieren? Ein Interview mit Moreno Carullo, Mitgründer und Chief Technical Officer bei Nozomi Networks.
Die Cybersicherheitslandschaft hat sich rapide verändert, und Unternehmen reagieren darauf. Bis zu welchem Ausmaß sind Firmen und Organisationen Ihrer Ansicht nach zu reaktiv bei der Wahl der Mittel?
Moreno Carullo: Das hängt ganz von der Art des Unternehmens ab, und es gibt eine große Spannbreite. Es gibt Unternehmen, die was Risiko- und Cybersicherheitsmanagement anbelangt einen sehr strukturierten Ansatz fahren. Solche Firmen haben dann ein internes SOC oder CERT. Anderen wiederum fehlen die nötigen Ressourcen und/oder die finanziellen Mittel um selbst grundlegende Sicherheitspraktiken zu implementieren.
Konnektivität und digitale Transformation sind zwei Schlüsselbegriffe. Die Folgen der radikalen Vernetzung und Digitalisierung sind inzwischen weithin spürbar. Hat die Tatsache, dass immer mehr Geschäftsprozesse darauf basieren beziehungsweise davon abhängig sind, die Art und Weise verändert in der Firmen an Cybersicherheitsprozesse herangehen?
Moreno Carullo: Aus meiner Sicht haben sich weniger die Prozesse verändert als die Herangehensweise an das Sicherheits- und Netzwerkdesign als solches. Wenn Sie sich die Beschaffenheit aktueller OT-Umgebungen ansehen, haben diese sich durch das Industrielle Internet der Dinge (IIoT) massiv verändert. Dazu kommt, dass physische Geräte und Maschinen inzwischen über Netzwerksensoren und Software mit dem Internet verbunden sind. Beides treibt die Konvergenz von OT und IT weiter voran. Es ist also nur folgerichtig, dass sich damit die Herangehensweise an Security- und Netzwerkdesign verändern muss. Cybersecurity sollte von Anfang an bei der Entwicklung mit berücksichtigt werden und nicht erst im Nachgang.
Was bedeutet es, Rahmenwerke und Prozesse einzuziehen, die auf einem „Cybersecurity by Design“-Ansatz basieren?
Moreno Carullo: Ist man rechtzeitig zur Stelle wenn es irgendwo brennt kann man das Feuer vermutlich löschen. Aber man beseitigt nicht die Brandursachen. Cybersecurity by Design ist ein entscheidender Schritt um Probleme an ihrem Ursprung zu adressieren. Das heißt, sicherzustellen, dass Cybersicherheit von vorneherein mit gedacht und nicht erst nachträglich implementiert wird. Es heißt, dass sie integraler Bestandteil der gesamten Architektur und der betreffenden Prozesse ist. Dazu braucht es ein grundlegendes Umdenken. Cybersecurity ist innerhalb dieses Ansatzes das Herzstück, ein grundlegendes Prinzip und nicht eine nachgeordnete Anforderung, die man (meist kostenintensiv) auch noch berücksichtigen muss.
Was genau macht diesen Ansatz aus?
Moreno Carullo: Das wichtigste und zentrale Prinzip ist aus meiner Sicht, dass Unternehmen, Organisationen, Behörden und so weiter Cybersicherheit in ihre geschäftlichen Prozesse einbetten. Aber zuallererst müssen sie genau das für ihre Informationsinfrastruktur gewährleisten. Netzwerk-Segregation, Überwachung, kontinuierliche Überprüfung hinsichtlich von Sicherheitsschwachstellen und Penetrationstests müssen quasi vom Nullpunkt an vorhanden sein und alle Komponenten zusammenarbeiten.
Inwiefern trägt dieser Ansatz dazu bei, dass Unternehmen proaktiver agieren statt wie üblich eher reaktiv?
Moreno Carullo: Cybersicherheit bildet bei diesem Ansatz das Rückgrat des Unternehmens. Das macht es sehr viel weniger wahrscheinlich, dass Cyberbedrohungen sich ungehindert verbreiten oder dass sie überhaupt einen Ansatzpunkt finden. Und selbst wenn das passiert, sind Unternehmen bereits von Anfang an so strukturiert, dass sie Bedrohungen eindämmen und managen können. Ein Vorteil des Cybersecurity-by-Design-Ansatzes liegt nicht zuletzt darin, dass man im Fall der Fälle auf alle notwendigen Informationen zugreifen kann.
Gibt es Branchen und Industriezweige auf die diese Empfehlungen in besonderem Maße zutreffen?
Moreno Carullo: Grundsätzlich halte ich Cybersecurity by Design für einen Ansatz, dem alle Unternehmen folgen sollten. Ganz besonders aber sämtliche Unternehmen, die zu den kritischen Infrastrukturen zählen.
Das gilt für Energieversorgungsunternehmen, das Transport- und Gemeinwesen gleichermaßen. Kritische Infrastrukturen bestimmen einen Großteil des öffentlichen Lebens und sind weltweit besonders schützenswerte Einrichtungen. Cyberangriffe richten hier besonders schwerwiegende Schäden an und bergen Gefahren für Leib und Leben. Unsere Abhängigkeit von einer funktionierenden Stromversorgung ist so weitreichend, dass ein Blackout extrem weitereichende Konsequenzen für eine Vielzahl weiterer vitaler Systeme hat. Wir haben in den letzten Jahren schon etliche Angriffe dieser Art erlebt.
Worin besteht der geschäftliche Mehrwert, wenn Unternehmen sich entscheiden auf Cybersecurity by Design zu setzen?
Moreno Carullo: Der wichtigste geschäftliche Mehrwert liegt in der umfassenden Resilienz und Widerstandsfähigkeit des Unternehmens.
Was brauchen Unternehmen, wenn sie einen Cybersecurity-by-Design-Ansatz erfolgreich umsetzen wollen?
Moreno Carullo: Unternehmen sollten sich an Standardrahmenwerken orientieren und sich für dasjenige entscheiden, das ihrem geschäftlichen Anforderungsprofil am nächsten kommt. Als nächstes muss man einen präzisen Migrationsprozess definieren um die existierenden Worksflows und Vorgehensweise in diejenigen zu überführen, die dem Cybersecurity-by-Design-Ansatz entsprechen.
Bis zu welchem Grad sollte Cybersicherheit als Prozess verstanden werden und nicht als eine Kombination verschiedener Produkte und Technologien? Worin liegen die Gefahren, wenn das nicht gelingt?
Moreno Carullo: Jeder innerhalb des Unternehmens sollte verstanden haben, was Sicherheitslösungen tun (können) und was nicht. Das ist die Richtschnur. Bewusstsein und Verständnis sind die Eckpfeiler, wenn man die Informationen zusammenführen will, die Produkten und Lösungen liefern. Nur auf der Basis des notwendigen Verständnisses können alle ihre Aufgabe so erledigen, dass die Prinzipien von Cybersecurity by Design gewahrt bleiben.
Noch eine abschließende Frage. Wer sollte involviert sein, wenn man Cybersicherheitsprozesse und Rahmenwerke entwirft? Und wie entgehen Unternehmen dabei der Kostenfalle und den Folgen, die der Mangel an Fachkräften in diesem Bereich mit sich bringt?
Moreno Carullo: Das sollten auf jeden Fall die Fachverantwortlichen sein. Sie kennen die Prozesse am besten und haben das notwendige Kontextwissen. Und sie sollten direkt mit der IT-/IT-Sicherheitsabteilung zusammenarbeiten. Manche Unternehmen haben entsprechende Teams oder einzelne Personen, die sich besonders gut mit branchen- oder industriespezifischen Besonderheiten auskennen, wenn es gilt ein Rahmenwerk zu definieren. Darüber hinaus hat es sich als sehr hilfreich herausgestellt, regelmäßig mit Arbeitsgruppen in Kontakt zu stehen oder daran teilzunehmen, die sich mit diesbezüglichen Standardfragen auseinandersetzen und die Richtlinien an aktuelle Gegebenheiten anpassen.
Vielen Dank für das Interview, Herr Carullo!
www.nozominetworks.com