Best Practices für mehr Cyber-Sicherheit Jede Branche ist ein attraktives Ziel für Cyberkriminelle

Autor / Redakteur: Vishal Salvi / Peter Schmitz

Branchenberichten zufolge belaufen sich die durchschnittlichen Kosten eines Datenverstoßes auf fast vier Millionen US-Dollar, und dies ungeachtet der möglichen behördlichen Strafen, die nicht nur den Ruf der Organisation schmälern, sondern auch das Endergebnis stark beeinträchtigen können. CISOs sollten den Cyberkriminellen daher idealerweise immer einen Schritt voraus sein.

Firmen zum Thema

Unternehmen müssen in der Lage sein, Bedrohungen, die sich auf Basis neuer Technologien, veränderter Marktbedingungen oder sogar Regierungspolitik ergeben, zu erkennen und zu bekämpfen.
Unternehmen müssen in der Lage sein, Bedrohungen, die sich auf Basis neuer Technologien, veränderter Marktbedingungen oder sogar Regierungspolitik ergeben, zu erkennen und zu bekämpfen.
(Bild: gemeinfrei / Pixabay )

CISOs (Chief Information Security Officer) sind dazu gezwungen, ihre Cyber Security-Strategien neu zu gestalten. Die Gründe dafür sind vielfältig: die rasche und Branchen-übergreifende Digitalisierung, die Integration operativer Technologien (OT), eine verstärkte Einbeziehung Dritter in Geschäftsfunktionen sowie der verstärkte Fokus auf gesetzliche Regelungen, darunter auch die Datenschutzgrundverordnung (DSGVO).

Andererseits haben Cyberkriminelle leichten Zugang zum Dark Web und können so Netzwerkforen sowie Tools nutzen, die dort zugänglich sind. Darüber hinaus lassen sich im Dark Web die gewünschten Angriffsmethoden wie Distributed Denial of Service (DDoS), Ransomware, Phishing sowie eine Vielzahl weiterer Malware als As-a-Service-Modelle zu günstigen Preisen buchen. Cyberkriminelle müssen daher ihre Attacken nicht mehr von Grund auf selbst entwickeln, sondern greifen auf bereits bestehende Software zurück, die sie maximal etwas verändern oder verfeinern. Künstliche Intelligenz (KI) ist mittlerweile ein wichtiger Bestandteil der Angriffe und erhöht deren Komplexität exponentiell.

Während ihrer digitalen Transformation folgen Unternehmen vier Vektoren, die als Business Enabler den Betrieb aufrechterhalten: on-premise, mobile, Cloud und IoT. CIOs und CISOs wandeln dabei auf dem schmalen Grat zwischen geschäftlicher Flexibilität und Cyber Security. Im Namen der Cyber Security unangemessene Risiken abzuschmettern, mag einfach aussehen. Sie beeinträchtigen jedoch die Wettbewerbsfähigkeit und wirtschaftliche Gesundheit des Unternehmens. Führungskräfte streben nach Schnelligkeit und Flexibilität – es ist jedoch enorm wichtig, dass die Organisation über genügend vertrauenswürdige Cyber Security-Kontrollen verfügt, um bei aller Agilität auch die notwendige Sicherheit zu gewährleisten.

Seit dem ersten Ransomware-Angriff 2017 ist Cyber Security auf der Agenda der Führungsebene in Unternehmen und auf allen „Top 5 Risiken“-Listen – und zwar weltweit. Eine kürzlich von Infosys durchgeführte Studie unter mehr als 800 Führungskräften in zwölf Schlüsselbranchen ergab, dass Cyber Security unabhängig von der Branche ein wichtiges Thema ist. Diese Aussagen untermauern den Trend, dass Cyberkriminelle Organisationen branchenübergreifend ins Visier nehmen.

In der heutigen hyper-vernetzten und digitalisierten Welt ist Cyber Security eine wichtige strategische Voraussetzung. Die Angriffe von Cyberkriminellen werden immer ausgefeilter. Digitale Unternehmen erfordern komplexe und verteilte Interaktionen zwischen Menschen, Anwendungen und Daten – on-premise, off-premise, auf mobilen Geräten und in der Cloud. Das Ergebnis: eine wachsende Zahl an Angriffsflächen, die schwer zu schützen und zu verteidigen sind. Das Perimeter wird immer kleiner und dadurch die Visibilität in das Umfeld schwieriger. Operational Technology (OT) und das Internet der Dinge (Internet of Things, IoT) erweitern den Umfang der Security-Strategie und des -Betriebs. Wird eine umfangreiche Flotte autonom agierender Geräte vernetzt und treffen entsprechende Entscheidungen, beeinflusst dies den physikalischen Zustand von Menschen und Dingen – und stellt damit ein beträchtliches Risiko dar. Diese Herausforderung ist nicht auf CISOs begrenzt, sondern benötigt die Einbindung des gesamten Führungsteams.

Es gibt mehrere Best Practices, die ein Unternehmen berücksichtigen kann, um seine Cyber Security zu stärken. Dazu gehören:

1. Institutionalisierung einer robusten Cyber Security-Strategie: Organisationen müssen Cyber Security als integralen Bestandteil ihres Geschäfts betrachten. Eine erfolgreiche Cyber Security Strategie richtet sich stark an den Geschäftszielen der Organisation sowie der jeweiligen Branchenausrichtung aus. Darüber hinaus sollte sie durch ein gut konzipiertes Programm unterstützt werden, das die Cyber Security steuert. Dazu gehört auch ein Programm, das die Kontrollen kontinuierlich misst, neu priorisiert und kalibriert. Die Ausrichtung der Strategie an Standards und Rahmenwerken wie dem NIST Cyber Security Framework und ISO 27001 gibt der Führungsebene sowie dem CISO eine gewisse Sicherheit, dass bereits eine starke Basis vorhanden ist.

2. Sicherheitskultur: Unternehmen können Millionen investieren, um ihre Cyber Security zu implementieren und zu verwalten, aber Strategie und Programm sind nur so stark wie ihr schwächstes Glied: der Mensch. Jeder CISO sollte sich darauf konzentrieren, ein Programm umzusetzen, dass Mitarbeitern zeigt, wie wichtig Security ist.

3. Security in die Unternehmensarchitektur einbetten: Die wichtigsten technologischen Elemente jeder Organisation sind die Cyber Security Infrastruktur und die Anwendungssicherheitsarchitektur. Dies kann nicht als „Add-on“ am Ende eines Projekts geschehen, sondern muss Teil jeder Phase des Geschäftszyklus sein. Nur so lässt sich gewährleisten, dass alle Projekte, Prozesse und Infrastrukturen in der Konzeptionsphase gut abgesichert sind. Eine frühzeitige Zusammenarbeit mit Experten für Sicherheitsarchitekturen und DevSecOps ermöglicht maximale Transparenz. So lassen sich Risiken minimieren und Vorschriften als Teil des Prozesses einhalten. Eine „Secure-by-Design“-Architektur ist das Ziel.

4. Risiko- und Compliance-Anforderungen: Mit der Einführung des DSGVO und weiterer Anforderungen sowie Regularien im Hinblick auf den Datenschutz und Cyber Security, denen Unternehmen weltweit folgen müssen, stieg auch die Notwendigkeit, dies im Auge zu behalten. Dies ist enorm wichtig, um die Regularien des jeweiligen Landes zu erfüllen. Aufgabe eines CISOs: und auch Ausgangspunkt eines Cyber Security Programms – sollte dieses Thema sein.

5. Cyber-Resilienz: Trotz der Investitionen einer Organisation und der Bemühungen um ein entsprechendes Reifegrad-Management hinsichtlich ihrer Cyber Security kommt es immer wieder zu Zwischenfällen. Unternehmen müssen sich dann die Frage stellen, wie sie die Cyber-Resilienz bei solchen Zwischenfällen gewährleisten. Die Implementierung eines umfassenden Cyber-Resilienz-Programms hilft ihnen dabei, sich schnell und meist ohne größere Problem zu erholen, so dass der Geschäftsbetrieb nicht unterbrochen wird.

6. Cyber-Security-Team: Nicht zuletzt sind Experten in verschiedenen Bereichen der Cyber Security für CISOs enorm wichtig. Die digitale Umgebung und die Bedrohungslandschaft sind in den letzten Jahren exponentiell gewachsen. Der Bedarf an Cyber Security-Experten steht dem in nichts nach. Allerdings müssen sie nicht nur von Unternehmen eingestellt werden, sondern auch kontinuierlich geschult, weitergebildet und langfristig Teil des Teams sein. Nur so lässt sich die Cyber-Security-Agenda der Organisationen realisieren und sicherstellen, dass die Firmen selbst geschützt sind.

Unternehmen müssen in der Lage sein, Bedrohungen, die sich auf Basis neuer Technologien, veränderter Marktbedingungen oder sogar Regierungspolitik ergeben, zu erkennen und zu bekämpfen. Organisationen mit einer geringen Sicherheitsreife oder einem kleinen Security-Team sollten mit einem Dienstleister zusammenarbeiten, der sich auf Sicherheitslösungen spezialisiert hat. Damit gehen sie einen ersten Schritt in Richtung Unternehmensschutz.

Über den Autor: Vishal Salvi ist CISO & Head of Cybersecurity Practice bei Infosys.

(ID:47039373)