10 Strategien gegen Hackerangriffe

1.2 SIND WIR VOR DEM ANGREIFER SICHER?

Mithilfe der Analyse der Motivation und der Fähigkeiten der Angreifer sowie der möglichen Angriffsflächen im Unternehmen lässt sich rasch klären, ob die bisher gesetzten Sicherheitsmaßnahmen ausreichend sind. Aus diesen Analyseergebnissen lässt sich eine bedrohungsorientierte Verteidigungsstrategie ableiten, die letztlich in ein Informationssicherheitsprogramm zur Umsetzung von zusätzlichen Sicherheitsmaßnahmen mündet.

!

Praxistipp:

Clustern von Sicherheitsmaßnahmen

Es gibt dazu zwar keine allgemein gültige Vorgehensweise, aber eine geübte Praxis ist es, sich gedanklich an Domänen von bestehenden Cybersecurity-Frameworks zu orientieren. Dazu eignen sich etwa die Domänen „Identify“, „Protect“, „Detect“, „Respond“ und „Recover“ aus dem NIST-Cybersecurity-Framework[29].

Dazu können bestehende Sicherheitsmaßnahmen und Themen zu den einzelnen Werte-Gruppen (Assets)[30], wie etwa (End-)Geräte, Applikationen, Netzwerk, Daten und Mitarbeiter, geclustert werden. So erhält man eine erste Übersicht der bestehenden Maßnahmen, die das Unternehmen derzeit vor Angriffen schützen.

Auf Basis der Analyse der Motivation und der Fähigkeiten des Angreifers lässt sich auch eine Art Profil der zu erwartenden Bedrohungen ableiten. Damit lässt sich in Kombination mit den möglichen Angriffsflächen prüfen, ob die geclusterten Maßnahmen adäquat sind, um die Bedrohung zu verhindern bzw. darauf zu reagieren, sollte ein Angriff erfolgreich durchgeführt worden sein.

Mithilfe dieser Überprüfung lässt sich relativ rasch und überblicksartig beurteilen, wie die Sicherheitssituation aktuell zu bewerten ist und ob bzw. wie dringend zusätzliche Sicherheitsmaßnahmen zu implementieren sind, um sich vor den zu erwarteten Bedrohungen zu schützen. Darüber hinaus können so bestimmte Bereiche für ein mögliches nachfolgendes Informationssicherheitsprojekt bzw. Cybersecurity-Projekt bereits zu Beginn priorisiert werden.

Obwohl diese Vorgehensweise letztlich eine gewisse Unschärfe mit sich bringt, bietet sie gerade in Zusammenschau mit bereits erfolgten Angriffen in ähnlichen Branchen einen guten Einstieg in das Thema, um rasch erste Ergebnisse zu erhalten und sich mit der Bedrohung im Cyberraum auseinanderzusetzen. Darüber hinaus lassen sich für nachfolgende Diskussionen mit Stakeholdern und Mitarbeitern Beispiele entwickeln, die den Weg zu einem Informationssicherheitsprojekt aufzeigen und alle Involvierten dahingehend sensibilisieren sollen.

23vgl. Improving Cybersecurity and Mission Assurance via Cyber Preparedness (Cyber Prep) Levels. Deb Bodeau. Richard Graubart. Jennifer Fabius Greene. The MITRE Corporation. 2009. Seite 3ff.

24vgl. https://www.diepresse.com/5124955/aussenministerium-wehrte-cyberattacke-aus-ausland-ab (abgerufen am 20.07.2020).

25vgl. https://www.spiegel.de/netzwelt/web/i-love-you-prozess-onel-de-guzman-ist-frei-a-89973.html (abgerufen am 20.07.2020).

26vgl. https://www.psw-group.de/blog/hackerangriffe-2018/6673 (abgerufen am 01.08.2020).

27vgl. https://www.security-insider.de/was-ist-cyberwar-a-672813/ (abgerufen am 06.08.2020).

28Schutz des Unternehmensgeländes.

29vgl. https://www.nist.gov/cyberframework (abgerufen am 24.07.2020).

30Ein Asset bezeichnet hier Informations- oder Vermögenswerte eines Unternehmens.

2 STRATEGIE 2:
Security ist Chefsache

Erik Rusek

2 STRATEGIE 2: SECURITY IST CHEFSACHE

Cybersecurity bzw. Informationssicherheit als Managementaufgabe klingt im ersten Moment nach Geheimhaltung und Sicherheitsstufen. In der Praxis wird darunter jedoch die Verantwortung des Managements zum Schutz der Werte (siehe Kapitel 5.2.2 und Kapitel 6.1) der Organisation verstanden.

Natürlich ist das Management nicht auf sich allein gestellt. Informationssicherheit ist grundsätzlich ein Thema, das alle Mitarbeiter und Partner einer Organisation betrifft. So müssen beispielswiese die Sicherheitsvorgaben und -richtlinien von allen eingehalten werden. Informationssicherheit kann nur effektiv und effizient umgesetzt werden, wenn alle Stakeholder und agierenden Personen in der Organisation die gesetzten Sicherheitsziele erreichen wollen.

Funktionieren kann Informationssicherheit aber nur, wenn das Management die notwendige Basis und Kultur schafft, die Vorgaben und Prozesse lenkt und die Einhaltung durch die Mitarbeiter fordert und diese auch selbst vorlebt.

2.1 COMMITMENT

Nicht nur die Erreichung der wirtschaftlichen Ziele ist Aufgabe des Managements, sondern auch der dazu notwendige Schutz der Informationen und Werte, der Organisation.

Die operative Implementierung von Schutzmaßnahmen obliegt dabei üblicherweise den entsprechenden Fachbereichen wie dem Security-Team, der IT-Abteilung oder einer einzelnen Rolle. Diese kann beispielsweise der Chief Information Security Officer (CISO) oder der Informationssicherheitsbeauftragte (ISB) sein.

Die Letztverantwortung für Agenden der Informationssicherheit, also den Schutz der Unternehmenswerte vor Missbrauch, Verlust oder Manipulation, liegt jedoch beim Top-Management. Das inkludiert das Vorgeben einer Informationssicherheitspolitik und entsprechender Informationssicherheitsziele, deren Erreichung und Einhaltung sowie die kontinuierliche Verbesserung von Sicherheitsmaßnahmen.

Wurden im Unternehmen bereits die Beschaffung und Implementierung von sicherheitsrelevanter Hard- und Software, wie beispielsweise Security-Incident-and-Event-Management-Systemen oder Managed-Detection-and-Response-Lösungen, vorgegeben? Wird die Schaffung von Prozessen zur Berechtigungsfreigabe und Risikobewertung gefördert?

Das sind sehr gute Ansätze zur Erhöhung der Informationssicherheit, die regelmäßig auf Effektivität geprüft und gegebenenfalls erweitert werden müssen. Es bedarf aber auch der notwendigen Ressourcen und Erfahrung, die erforderlichen Maßnahmen umzusetzen und zu betreiben. Die Managementverantwortung inkludiert das Bereitstellen von dafür notwendigen finanziellen sowie personellen Ressourcen zur Implementierung und Aufrechterhaltung effektiver Informationssicherheitsmaßnahmen.

Dabei geht es aber nicht nur um notwendige Ressourcen für die Fachabteilung Informationssicherheit, sondern auch um Ressourcen in allen anderen Fachbereichen, denn effektive und effiziente Maßnahmen können nur interdisziplinär geschaffen werden. So ist es beispielsweise effizient, Prozesse im Rahmen des Mitarbeiterlebenszyklus, wie etwa den Ein- oder Austritt von Mitarbeitern, durch die Personalabteilung erstellen und verwalten zu lassen. Informationssicherheitsrelevante Aspekte werden von den Security-Experten beigesteuert.

2.2 VORBILDWIRKUNG

Ein wesentlicher und häufig vernachlässigter Aspekt der Managementverantwortung ist die Vorbildwirkung.

Gewinnen Mitarbeiter den Eindruck, dass das Management zwar Vorgaben zur Informationssicherheit macht, aber ständig Ausnahmen für sich selbst schafft, reduziert das die Wertigkeit des Themas bei den Mitarbeitern. Diese werden in weiterer Folge beginnen, Vorgaben und Richtlinien sukzessive zu ignorieren bzw. zu umgehen. Ein Beispiel für eine negative Vorbildwirkung wäre, dass das Management im Zuge einer Ausnahmeregelung Apps, die gemäß Unternehmensrichtlinie nicht am Smartphone installiert werden dürfen bzw. können, bei sich installieren lässt. In einem anderen Beispiel ist in einer Richtlinie des Unternehmens festgelegt, dass Geräte und Dokumente außerhalb des Betriebsgeländes nicht unbeaufsichtigt zurückgelassen werden dürfen. Der Geschäftsführer lässt beim gemeinsamen Mittagessen mit dem Kunden seinen Laptop sowie sämtliche Unterlagen in dessen Besprechungsraum zurück. Werden Mitarbeiter darauf aufmerksam, werden sie das unter Umständen beim nächsten Mal ähnlich handhaben.

Ausnahmeregelungen und mangelnde Vorbildwirkung führen zu fehlendem Verständnis für Informationssicherheitsmaßnahmen und gesteigerter Unzufriedenheit bei den Mitarbeitern. Die Folge ist eine reduzierte Beachtung des Themas Informationssicherheit und somit ein niedrigeres Sicherheitsbewusstsein, was im weiteren Verlauf zu einem erhöhten Risiko von Sicherheitsvorfällen führt.

Verstöße gegen Sicherheitsvorgaben können zwar mit Konsequenzen geahndet werden, um eine bewusstere Einhaltung der Vorgaben zu erzielen. Deutlich effizienter und wirksamer ist es aber, mit guter Vorbildwirkung und positivem Beispiel voranzugehen.

!

Praxistipp:

Das Management zum Vorbild

Mitglieder des Managements sollten beispielsweise an Informationssicherheitstrainings aktiv und aufmerksam teilnehmen, Diskussionen zur Informationssicherheit fördern, die Sicherheitsalarmierung von Mitarbeitern positiv und lobend hervorheben sowie Risiken regelmäßig kommunizieren und vor allem die Sicherheitsvorgaben selbst einhalten.

Das Management hat es in der Hand, die Wichtigkeit des Themas Security zu definieren und die Relevanz zu fördern oder zu reduzieren.

2.3 PLANUNG UND LENKUNG

Neben der Bereitstellung von Ressourcen und der Vorbildwirkung ist eine wesentliche Aufgabe des Managements, steuernd in die Informationssicherheit einzugreifen.

Dies inkludiert keinesfalls, täglich operative Sicherheitsmaßnahmen durchzuführen oder zu kontrollieren, sondern vielmehr, Sicherheitsziele sowie eine entsprechende Strategie vorzugeben und die grundsätzliche Kontrolle des Zustandes der Informationssicherheit zu übernehmen.

2.3.1 Sicherheitsziele & Risikopolitik

Aus den Zielen der Informationssicherheit leiten sich die generellen Vorgaben zur Informationssicherheit, und wie diesen den Geschäftsbetrieb unterstützen sollen, ab. Üblicherweise basieren diese auf Schutzzielen, zu deren drei bekanntesten Vertraulichkeit, Integrität und Verfügbarkeit zählen.

Die Ziele der Informationssicherheit sollten die Geschäftsziele unterstützen und entsprechend mit diesen abgestimmt sein. Geplante strategische Veränderungen sollten ebenso bei der Planung der Informationssicherheitsstrategie und deren Maßnahmen berücksichtigt werden.

Bei der Planung und Umsetzung von Maßnahmen zum Schutz von (Informations-)Werten des Unternehmens sollte im Idealfall risikoorientiert vorgegangen werden. Zu diesem Zweck sollten die Geschäftsprozesse in der Organisation unter Beachtung relevanter Cybersecurity-Bedrohungen im Rahmen einer Risikoanalyse evaluiert werden. Ziel ist es, IT- und Informationssicherheitsrisiken zu identifizieren und zu bewerten.

Mögliche Bedrohungen können aus unterschiedlichen Quellen, wie beispielsweise dem Gefährdungskatalog des BSI[31], bezogen werden. Zur Bewertung der Eintrittswahrscheinlichkeit und der Auswirkung sowie des daraus resultierenden Risikogrades gibt es verschiedene Ansätze. Details zur Risikoanalyse sowie der Identifikation von Bedrohungen werden in Kapitel 3 behandelt.

Die Risikoanalyse ermöglicht in weiterer Folge das risikoorientierte Planen und Implementieren von Informationssicherheitsmaßnahmen. Somit wird sichergestellt, dass die Maßnahmen auch nach Kritikalität und Risiko priorisiert und in angemessener Form umgesetzt werden können. Gegebenenfalls resultiert die Analyse auch in der Akzeptanz verschiedener Risiken.

2.3.2 Management-Review und Reporting

Zur Schaffung einer Entscheidungsgrundlage für das Management bedarf es eines entsprechenden Berichtswesens, in dessen Rahmen relevante Sicherheitsaspekte regelmäßig aufgezeigt werden. Das Resultat der Risikoanalyse sowie dokumentierte Sicherheitsvorfälle und bereits gesetzte Maßnahmen stellen eine Basis für einen regelmäßigen Managementbericht dar.

Gibt es bereits definierte Berichtszyklen und -inhalte aus anderen Unternehmensbereichen, kann der Themenschwerpunkt Informationssicherheit auf dieser Basis in das Berichtswesen eingearbeitet werden. Es kann so auf bewährte Abläufe und Prozesse zurückgegriffen werden.

Ein qualitativ hochwertiger Bericht zeichnet sich dadurch aus, dass er das Management im Wesentlichen über die aktuelle Lage der Informationssicherheit informiert und eine Entscheidungsgrundlage für den Umgang mit Informationssicherheitsthemen darstellt. In einer möglichen Variante werden dabei vorhandene Risiken und deren qualifiziertes oder quantifiziertes Risiko sowie mögliche Maßnahmen zur Risikoreduktion inklusive Kosten aufgezeigt. In weiterer Folge ist es die Aufgabe des Managements, zu entscheiden, wie weiter vorzugehen ist.

So wird beispielsweise das Risiko eines unbefugten Zugriffes auf ein Kern-IT-System in einer Organisation und die daraus resultierende Offenlegung der darin befindlichen Informationen bewertet. Es obliegt dem Management, unter Berücksichtigung des Risikogrades potenzieller Maßnahmen sowie deren Kosten über die Umsetzung der vorgeschlagenen Maßnahmen zu entscheiden oder das Risiko zu akzeptieren.

Im Zuge dieses Management-Reviews ist es zudem die Aufgabe des Managements, die Angemessenheit geplanter Maßnahmen kritisch zu hinterfragen. So sollten Informationssicherheitsmaßnahmen hinsichtlich des Kosten-Nutzen-Faktors abgewogen werden, um die Proportionalität der Maßnahmen zu gewährleisten.

Um die Erstellung eines entsprechenden Berichtes sicherzustellen, sollten darüber hinaus klare Verantwortlichkeiten definiert werden, die je nach Komplexität und Größe der Organisation variieren können. Relevante Rollen der Informationssicherheit, welche dazu herangezogen werden können, werden in Kapitel 5.1 detailliert erläutert.

Cybersecurity ist Chefsache. Das inkludiert die Verantwortung des Managements, relevante Informationen zu Risiken und Sicherheitsmaßnahmen einzufordern. Das Management jeder Organisation benötigt Informationen zur aktuellen Bedrohungslage und zu den derzeitigen Schutzmaßnahmen. Somit kann das verbleibende Risiko, wie z. B., dass ein Produktionsstandort lahmgelegt wird, Intellectual Property gestohlen wird oder das Unternehmen erpresst wird, abgeschätzt und notwendige Entscheidungen getroffen werden.

2.3.3 Rollen und Ressourcen

Es ist klare Aufgabe des Managements, die notwendigen Rollen im Rahmen des Informationssicherheits-Managements zu schaffen und zu besetzen. Dadurch wird sichergestellt, dass die benötigten Fachkräfte für die effektive und effiziente Umsetzung von Informationssicherheitsmaßnahmen verfügbar sind.

Cybersecurity ist ein sehr vielschichtiges und breites Themengebiet, welches nicht durch vorhandene Personen anderer Fachbereiche als „Nebenjob“ abgearbeitet werden kann. Es bedarf der Aufmerksamkeit gezielt geschulter Mitarbeiter. Darüber hinaus braucht es auch das Commitment des Managements. Nur so kann ein effektiver und effizienter Schutz der Werte einer Organisation sichergestellt werden.

31BSI, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/elementare_gefaehrdungen/elementare_Gefaehrungen_Uebersicht_node.html, September 2019 (abgerufen am 27.09.2019).

3 STRATEGIE 3:
Schutz der Kronjuwelen

Peter Kleebauer

3 STRATEGIE 3: SCHUTZ DER KRONJUWELEN

Cybersecurity ist in den meisten Unternehmen als wesentliche Herausforderung angekommen. Absolute Sicherheit erreicht man aber auch bei der Umsetzung vollumfänglicher Maßnahmen nicht, da jedes komplexe System auch Fehler birgt. Jedes Unternehmen sollte daher für seine Produkte, Prozesse und Lieferketten, insbesondere für die sogenannten „Kronjuwelen“[32], ein risikoorientiertes Cybersecurity-Management bzw. Informationssicherheits-Managementsystem[33] aufbauen, das über den gesamten Lebenszyklus und die ganze Lieferkette verlässlich und nachvollziehbar funktioniert.

Zu den wichtigsten Eckpfeilern der nachhaltigen Umsetzung von Cybersecurity sollte in diesem Zusammenhang neben den entsprechenden Sicherheitsprozessen auch eine funktionierende Sicherheitsorganisation gehören. Nur wenn die Verantwortlichkeiten für die ständige Verbesserung der Sicherheitsmaßnahmen sowie eine kontinuierliche Risikoanalyse definiert und nicht nur „nebenbei“ betrieben werden, wird ein hohes Sicherheitsniveau auch langfristig erhalten bleiben.

Ein hohes oder auch niedriges Sicherheitsniveau ist jedoch nicht immer auf den ersten Blick ersichtlich. Es lässt sich weder an Produkteigenschaften noch an Kennzahlen wie Informationssicherheitsvorfällen, der Anzahl an Firewalls oder allein auf Basis von Zertifizierungen festmachen. Wie kann also festgestellt werden, ob die in einem Unternehmen eingesetzten Good-Practice-Maßnahmen ausreichen?

Zur Beantwortung dieser Frage müssen zuvor zwei weitere grundlegende Fragen thematisiert werden:

1.Was möchte ich im Unternehmen schützen?

2.Welchen Bedrohungen ist mein Unternehmen ausgesetzt?

Erst auf Basis der Antworten zu diesen Fragen lassen sich die ergriffenen Maßnahmen hinsichtlich Angemessenheit bewerten und gegebenenfalls vorhandene Risiken aufzeigen.

3.1 ÜBERSICHT ZUR VORGANGSWEISE

Die nachfolgend beschriebene Methodik gliedert sich im Wesentlichen in drei aufeinander folgende Arbeitsschritte, die in einem regelmäßigen Prozess wiederkehrend durchgeführt werden sollten.

ABBILDUNG 1:

SCHEMATISCHE DARSTELLUNG DES PROZESSES

1.Identifikation von Informationswerten

Zur Identifikation von schützenswerten Informationswerten (siehe auch Kapitel 5.2.2 und Kapitel 6.1), den sogenannten „Kronjuwelen“, müssen die vorhandenen Informationswerte im Unternehmen erhoben und strukturiert werden.

2.Identifikation des Schutzbedarfs

Für die erhobenen und strukturierten Informationswerte ist der jeweilige Schutzbedarf zu bestimmen. Dieser Schutzbedarf bildet den Vergleichswert (Soll-Wert) bei der Durchführung der Risikoanalyse hinsichtlich der Notwendigkeit von zusätzlichen Maßnahmen.

3.Identifikation von Maßnahmen

Sofern identifizierte Risiken aufgrund des definierten Schutzbedarfs nicht akzeptiert werden können, müssen zusätzliche Maßnahmen zur Behandlung dieser Risiken ergriffen werden.

3.2 IDENTIFIKATION VON INFORMATIONSWERTEN

Der Begriff „Informationswert“ wird, insbesondere auch in Abhängigkeit von der jeweiligen Branche eines Unternehmens, unterschiedlich definiert. Im Wesentlichen sind damit alle Informationen (und Daten) in digitaler und analoger (haptischer) Form gemeint, die zur Ausübung bzw. Durchführung von bestimmten Geschäftsprozessen erforderlich sind.

3.2.1 Herangehensweise: Top-down und Bottom-up

Zur Identifikation der tatsächlichen Informationswerte werden in der Praxis zwei grundsätzliche Herangehensweisen oder auch die Kombination aus den beiden herangezogen:

1.Top-down-Ansatz: Auf Basis der vorhandenen Geschäftsprozesse werden die zur Ausführung dieser Prozesse erforderlichen primären Assets (Informationswerte) und unterstützende Assets (Verarbeitungssysteme) durch die Prozessverantwortlichen im Unternehmen identifiziert.

2.Bottom-up-Ansatz: Im Rahmen von unterschiedlichen Workshops werden gemeinsam mit ausgewählten Führungskräften (z. B. Fachbereichsleiter) aller Fachbereiche relevante Informationswerte des Unternehmens bzw. des jeweiligen Fachbereichs identifiziert.

Beide Herangehensweisen bringen Vor- und Nachteile für die Durchführung und den damit verbundenen Aufwand, aber auch für die Qualität und das Ergebnis dieses Arbeitsschritts. Beim Top-down-Ansatz wird eine umfassende Erhebung aller Informationswerte anhand der Geschäftsprozesse durchgeführt, womit jedoch auch die Komplexität dieses Ansatzes steigt. Wenn alle logischen und technischen Informationswerte erfasst werden, besteht die Gefahr, dass die Ergebnisse aufgrund der Datenmenge und der Komplexität nicht handhabbar sind.

Die erhobenen Informationen können jedoch auch für andere Prozesse bzw. Vorgaben wie beispielsweise für die Erhebung von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO oder für die Erstellung von Business-Continuity-Plänen im Rahmen des Business-Continuity-Managements herangezogen werden.

Aufgrund der fehlenden Vergleichbarkeit zwischen den Geschäftsprozessen bzw. auch zwischen den Fachbereichen werden in der Praxis häufig ähnliche Informationswerte mehrmals oder unterschiedlich (z. B. hinsichtlich des Detailierungsgrades oder Benennung des Wertes) erfasst. Daher sollte eine nachgelagerte Harmonisierung bzw. Qualitätssicherung der erfassten Werte sichergestellt oder die Erfassung durch eine zentrale Person (z. B. Risikomanager oder Prozessmanager) begleitet werden.

Der Schwerpunkt beim Bottom-up-Ansatz liegt in der Identifikation und Betrachtung von relevanten Informationswerten. Hierbei wird auf die vollständige Erfassung und Dokumentation aller verarbeiteten Informationen zu den Geschäftsprozessen verzichtet, wodurch der Aufwand deutlich reduziert wird.

Gleichzeitig entwickeln die Führungskräfte beim Bottom-up-Ansatz im Rahmen der Workshops ein fundiertes Verständnis für die Klassifizierung von Informationswerten, was auch als positiver Multiplikator innerhalb der jeweiligen Fachbereiche für das Verständnis einer Informationsklassifikation genutzt werden kann.

Welche (tatsächliche) Vorgangsweise am besten für ein Unternehmen geeignet ist, hängt somit von mehreren Faktoren ab, wie beispielsweise

+der Qualität der vorhandenen Prozessdokumentation bzw. etablierter Rollen zur Prozessverwaltung (Process-Owner),

+dem Einsatz der Prozessdokumentation zu unterschiedlichen Verwendungszwecken (z. B. Datenschutz),

+der Art und Weise der Datenverarbeitung (Gefährdung, der das Unternehmen ausgesetzt ist) bzw. der Kategorien von Informationswerten,

+der Art und dem Umfang der eingesetzten Systeme zur Verarbeitung der betroffenen Informationswerte,

+der nachgelagerten Methodik zur Identifikation von möglichen Risiken (z. B. Grundschutz-Ansatz vs. Risikoanalyse).