Unternehmen glauben allzu oft, sie seien „cyber ready“, ohne sich über „Cyber-Resilienz“ Gedanken zu machen. Palo Alto Networks meint dazu: Viele Unternehmen würden davon profitieren, wenn sie verstehen würden, was es bedeutet, cyber-resilient zu sein, wie man Resilienz erreicht und warum Resilienz bei Führungskräften an erster Stelle stehen sollte. Dieses Verständnis ermöglicht es, sich proaktiv auf einen Cybersicherheitsvorfall vorzubereiten und den erforderlichen Zeit- und Arbeitsaufwand optimal zu nutzen.
Unternehmen bestimmen ihre Cyber-Resilienz in der Regel anhand der implementierten offensiven und defensiven Sicherheitsmassnahmen. Dies bedeutet anders ausgedrückt, wie bereit und wie gut in der Lage das Unternehmen ist, Cyberbedrohungen zu blockieren und zu bekämpfen. Während Blockieren und Bekämpfen zweifellos eine Rolle bei der Abwehr von Bedrohungen spielen, werden bei diesem herkömmlichen Sicherheitsansatz geschäftliche Erwägungen und Komplexitäten nicht speziell berücksichtigt. Wie können Unternehmen daher sicherstellen, dass selbst bei der Bewältigung der Folgen eines Cybersicherheitsvorfalls die Kundenzufriedenheit hoch bleibt, die Geschäftsziele erreicht werden, wichtige Systeme verfügbar sind und sensible Daten geschützt werden? An dieser Stelle kommt die Cyber-Resilienz ins Spiel. Cyber-Resilienz ist ein taktischer Zustand der Bereitschaft, der es Unternehmen ermöglicht, die Mechanismen der Geschäftsbereitstellung und die Kernsystemfunktionalität so umzustellen, dass Geschäftsunterbrechungen minimiert und der Ruf im Falle eines Sicherheitsvorfalls gewahrt wird. Zusammengefasst: Resiliente, also widerstandsfähige Unternehmen können selbst bei einem Cybersicherheitsvorfall weiterhin wichtige Dienste bereitstellen, da sie einen taktischen Plan für den Betrieb in einem beeinträchtigten Zustand haben. Unternehmen, die über ein gründliches Verständnis und einen engagierten Ansatz für die Widerstandsfähigkeit verfügen, werden im Falle eines Cyberangriffs besser abschneiden als ihre Konkurrenten. Sie minimieren Geschäftsunterbrechungen, erhalten das Vertrauen ihrer Kunden, verkürzen die Zeitspanne für die Behebung des Problems und senken die Gesamtkosten einer Sicherheitsverletzung.
Roadmap und Definition des aktuellen Zustands der Resilienz
Cyber-Resilienz lässt sich nicht über Nacht erreichen. Unternehmen sollten nach Meinung von Palo Alto Networks die folgenden Schritte berücksichtigen, wenn sie eine Grundlage für ihre Resilienz schaffen wollen:
Zunächst gilt es sich ein genaues Bild von der aktuellen Resilienz zu machen, einschliesslich der Fähigkeiten, Praktiken, Risikotoleranz und Geschäftsziele. Um den aktuellen Stand der Cyber-Resilienz zu ermitteln, sollten Unternehmen eine Bewertung anhand eines speziellen Cyber-Resilienz-Frameworks durchführen. Dies unterscheidet sich von einer herkömmlichen Bewertung des Cybersicherheitsrisikos, da ein zusätzlicher Schwerpunkt auf den betrieblichen Anforderungen und dem Auftrag, den Zielen und der Zielsetzung des Unternehmens liegt. Es ist wichtig, ein Framework zu wählen, der resilienzspezifische Techniken, Schutzmassnahmen und Prozesse wie Service Continuity Management, Situationsbewusstsein und Management externer Abhängigkeiten umfasst. Die CISA (Cybersecurity and Infrastructure Security Agency) bietet beispielsweise umfangreiche Ressourcen an, die Unternehmen bei der Definition des aktuellen Stands der Resilienz unterstützen.
Die Angriffsfläche verstehen
Es ist unmöglich, eine Infrastruktur zu schützen, von der man nicht weiss, dass sie existiert. Unternehmen sollten sicherstellen, dass die Angriffsfläche, einschliesslich der Vermögenswerte und Daten, genauestens verwaltet wird. Darüber hinaus ist es wichtig, die Auswirkungen zu berücksichtigen, die sich aus der Nutzung von „Schatten-IT“ oder cloudbasierten Anwendungen ergeben. Unternehmen sollten geeignete Tools oder Konfigurationen einsetzen, um die Verwendung von nicht autorisierter Software, Hardware oder Anwendungen so weit wie möglich einzuschränken. Das Wichtigste: Die „Kronjuwelen“, d. h. kritische Geschäfts-/Dienstinfrastrukturen, gilt es zu identifizieren, verwalten, überwachen, schützen, priorisieren und warten. Robuste Unternehmen erkennen den Wert und die Notwendigkeit, die Sicherheit über die Bequemlichkeit zu stellen, wenn es darum geht, den Schutz ihrer wichtigsten Vermögenswerte zu gewährleisten. So können beispielsweise kleine Schritte wie die Nutzung der Anwendungszulassungsliste, die Deaktivierung überflüssiger Systemfunktionen und die Anwendung des Prinzips der geringsten Privilegien das Risiko von Angriffen erheblich verringern.
Stresstest für die Kronjuwelen
Resilienz wird nicht durch die Aufrechterhaltung des physiologischen Gleichgewichts erreicht. Es ist unabdingbar, kritische Infrastrukturen, Dienste, Fähigkeiten und organisatorische Abhängigkeiten regelmässig einem „Stresstest“ zu unterziehen. Stresstests können durch die Einführung von Aspekten wie komplexen Szenarien für das Eindringen in Netzwerke, technischen Tests und kontrolliertem Einsatz von Bedrohungen in den kritischsten Bereichen einer Organisation durchgeführt werden. Es ist von entscheidender Bedeutung, immer wieder neue Wege zu beschreiten. Es reicht nicht aus, jedes Jahr die gleiche „papierbasierte“ Übung durchzuführen, um einfach nur Kästchen abzuhaken. Unternehmen sollten taktische Übungen ausprobieren, die speziell auf die kritischsten Anlagen abzielen und die Verteidigungsfähigkeiten und -kontrollen aushöhlen. Dies kann durch „Purple Teaming“ erreicht werden, wobei offensive Taktiken und Techniken strategisch eingesetzt werden, um den Erfolg defensiver Cybersicherheitsmassnahmen zu testen – und hoffentlich zu bestätigen. Purple Teaming liefert äusserst wertvolle Erkenntnisse darüber, wie schwache oder unzureichend funktionierende Defensivkontrollen verbessert werden können. Darüber hinaus auf alle Stresstests zielgerichtete „Lessons Learned“-Sessions folgen. Spezifische Projekte, Initiativen oder Massnahmen zur kontinuierlichen Verbesserung sollten die Hauptergebnisse jedes Lessons-Learned-Meetings sein.
Alternative Servicebereitstellung praktizieren
Die meisten Unternehmen sind der Meinung, dass sie über einen Backup-Plan für die Servicebereitstellung verfügen. Dies können ein alternativer Geschäftsstandort, gewartete Netzwerk-Backups oder Prozesse zur Auslagerung von Serviceaufgaben an einen Partner oder Dritten sein. Die meisten Unternehmen haben jedoch keine Ahnung, wie sie einen Plan zur alternativen Servicebereitstellung tatsächlich umsetzen sollen. Sie sind sich nicht einmal sicher, wie sie eine vollständige Wiederherstellung des Netzwerks mit Hilfe von Backups bewerkstelligen würden – oder ob sie es überhaupt könnten. Viele Pläne zur alternativen Servicebereitstellung klingen in der Theorie gut, sind aber in der Praxis nicht so effektiv und effizient. Für Unternehmen ist es wichtig, alternative Wege und Prozesse zur Bereitstellung kritischer Dienste zu ermitteln, zu testen, erneut zu testen und kontinuierlich zu verbessern. Indem sie sicherstellen, dass alternative Pläne zur Bereitstellung von Diensten wie gut geölte Maschinen funktionieren, können sie schnell umschwenken, wenn Kernressourcen während eines Zwischenfalls nicht verfügbar sind, und so Geschäftsunterbrechungen und damit verbundene Kosten minimieren. Diese Übungen sind zwar in der Regel sehr planungsintensiv und manchmal auch kostspielig, aber Unternehmen, die von Ransomware oder einer anderen Cyberbedrohung betroffen sind, sparen wertvolle Zeit und Geld, wenn sie dafür sorgen, dass die alternativen Bereitstellungspläne genau abgestimmt sind.
Schwierige Gespräche führen
Unter welchen Umständen würden Sie ein Lösegeld zahlen? Wie würden Sie das Vertrauen Ihrer Kunden aufrechterhalten, wenn die Medien Gerüchten verbreiten und Ihr Aktienkurs sinkt? Was würde passieren, wenn Ihr CISO bei der Entdeckung eines Vorfalls ausser Gefecht gesetzt wäre? Wen würden Sie anrufen, um zu verhindern, dass sich ein aktiver Vorfall wie ein Lauffeuer ausbreitet? Es ist wichtig, dass sich die Unternehmensführung über die Antworten auf diese und ähnliche Fragen einig ist. Die Führungskräfte sollten sicherstellen, dass die Entscheidungsbäume formell definiert und mit den wichtigsten Interessengruppen abgestimmt werden, um die Diskussion und die Akzeptanz zu erleichtern. Bei personellen Veränderungen der Beteiligten sollten diese Entscheidungsbäume überprüft und gegebenenfalls aktualisiert werden. Das Führen von schwierigen Gesprächen, bevor es zu einem Vorfall kommt spart wertvolle Zeit und ermöglicht es Unternehmen, sich auf das Wesentliche zu konzentrieren: die Aufrechterhaltung wichtiger Abläufe und die Wiederherstellung eines normalen Zustands.
Das Thema Cyber-Resilienz erreicht die Vorstandsetage
Es ist typisch, dass das Thema Cybersicherheit bei Vorstands- oder Geschäftsführungssitzungen nicht auf der Tagesordnung steht. Verantwortliche scheuen sich davor, geschäftsorientierte Führungskräfte mit Kennzahlen zum Sicherheitsbetrieb, Informationen über neue Risiken oder Bedrohungen und Berichten über den Status von Tools und Technologien zu überfrachten, weil sie fürchten, dass diese Daten zu technisch sind. Robuste Unternehmen sind jedoch bestrebt, das Thema Sicherheit in ihrer gesamten Belegschaft zu verbreiten – auch in den höchsten Führungsetagen. Erkenntnisse und Datenpunkte aus dem Cyberspace gilt es mit wichtigen Leistungsindikatoren (KPIs) und Sicherheitsmetriken zu korrelieren, die in der Vorstandsetage bekannt gemacht werden sollten. „Aussagekräftige“ Metriken sind nicht unbedingt gleichbedeutend mit „hochtechnischen“ Metriken. Dies ist ein guter Ausgangspunkt für die Entwicklung aussagekräftiger Metriken, die zeigen, welche Rolle die Cybersicherheit für den Erfolg des Unternehmens spielt. Diese Metriken können als Grundlage für datengestützte Entscheidungen in Bezug auf Geschäftsinvestitionen, Ressourcen, strategische Fahrpläne und Budgetzuweisung dienen. Die Widerstandsfähigkeit der Cybersicherheit wird durch eine Veränderung der Unternehmenskultur erreicht und sollte ein Thema sein, das häufig mit dem Vorstand oder den leitenden Angestellten besprochen wird. In einer zunehmend digitalen Welt ist es nach Auffassung von Alto Networks unerlässlich, dass Führungskräfte mit den Fakten und Kenntnissen ausgestattet sind, die erforderlich sind, um Cybersicherheitsrisiken, Abhängigkeiten und geschäftliche Erwägungen erfolgreich zu meistern.