04M01 Managed Security Services
Die integrierte Steuerung der Informationssicherheit ist eine wesentliche Grundlage für nachhaltiges Unternehmenswachstum in der zunehmend digitalen Wirtschaft. Das professionelle Management von IT-Risiken wird für den Fortbestand der gesamten Organisation immer wichtiger. Risikomanagement, Business-Continuity-Planung sowie Unternehmensarchitektur müssen weiter miteinander verzahnt werden und die IT-Sicherheitsarchitektur und ihr Betrieb darauf ausgelegt werden. Komplexität, wie die steigende Frequenz von Angriffen, verursacht eine hohe Arbeitslast; deren Beherrschung setzt sowohl breites als auch tiefes Know-how voraus. Der Beitrag zeigt eine mögliche Lösung, die sich anbietet, um diese Herausforderung zu meistern. von: |
1 Die aktuelle Cyber-Bedrohungslage
Alle sind potenzielle Ziele
Ob Konzerne oder Mittelstand: Heute müssen alle Unternehmen damit rechnen, früher oder später Ziel von Cyberangriffen mit Schadsoftware zu werden. Die Malware ist darauf ausgerichtet, Daten auszuspähen und zu stehlen, Prozesse zu sabotieren bzw. Daten zu verschlüsseln und nur gegen Lösegeld wieder freizugeben. Einfallstor für Angreifer sind Schwachstellen in Software, IoT-Geräten und IT-Netzwerken. Vor allem die Bedrohung durch Erpresserprogramme, sogenannte Ransomware, hat sich seit 2016 deutlich verschärft, so das Fazit des Bundesamtes für Sicherheit in der Informationstechnik, BSI, im Lagebericht 2016.
Ob Konzerne oder Mittelstand: Heute müssen alle Unternehmen damit rechnen, früher oder später Ziel von Cyberangriffen mit Schadsoftware zu werden. Die Malware ist darauf ausgerichtet, Daten auszuspähen und zu stehlen, Prozesse zu sabotieren bzw. Daten zu verschlüsseln und nur gegen Lösegeld wieder freizugeben. Einfallstor für Angreifer sind Schwachstellen in Software, IoT-Geräten und IT-Netzwerken. Vor allem die Bedrohung durch Erpresserprogramme, sogenannte Ransomware, hat sich seit 2016 deutlich verschärft, so das Fazit des Bundesamtes für Sicherheit in der Informationstechnik, BSI, im Lagebericht 2016.
Einflussfaktoren
Mehrere Einflussfaktoren verschärfen die akute Bedrohungslage.
Mehrere Einflussfaktoren verschärfen die akute Bedrohungslage.
1. | Professionalisierung der Cyberkriminalität: Professionalisierung und Industrialisierung von Cyberangriffen schreiten weiter voran. Konventionelle Abwehr verliert immer mehr an Wirksamkeit. Leicht zu beschaffende Cyber Crime Toolkits werden mehr und mehr zu einem Produkt mit After Sales Support, während Dienstleistungen wie die Durchführung von Distributed Denials of Service (DDoS) als günstige Cloud Services zu haben sind. |
2. | Zunehmende Vernetzung von Geräten und Systemen: Schwachstellen in IoT-Geräten führen zu Sicherheitsvorfällen in bisher als abgesichert geltenden technologischen Ökosystemen wie Car-IT, Medizingeräten oder kritischen Infrastrukturen sowie Prozessleittechnik und vernetzten Industrieanlagen (Industrie 4.0). |
3. | Social Engineering: Angreifer geben sich gegenüber Mitarbeitern in anzugreifenden Unternehmen z. B. als Kollegen oder Vorgesetzte aus und fordern zur Herausgabe von Passwörtern oder zur Anweisung von Transaktionen (CEO Fraud) auf. Das Vertrauen des Opfers erschleichen sich die Angreifer durch authentisch wirkende Nachrichten, die teilweise hochgradig an die Zielperson angepasst sind (Spear Phishing). Benötigtes Hintergrundwissen wird häufig durch gezielte Datensammlung in sozialen oder beruflichen Netzwerken beschafft. |
4. | Neue Angriffsvektoren in dynamischen IT-Umgebungen: Die zunehmende Mobilität von Mitarbeiten und die Nutzung von Cloud-Diensten ermöglichen neue Angriffsvektoren. Unternehmen müssen sich darauf vorbereiten, im Fall eines Incidents angemessen reagieren zu können. Incident Response sollte als elementarer Bestandteil der Cloud-Strategie gelten. Darüber hinaus ist eine tragfähige IT-Governance erforderlich, die sicherstellt, dass die IT Geschäftsstrategie und -prozesse jederzeit reibungslos unterstützt. |
5. | Verschärfte Auflagen der Aufsichtsbehörden: Mit dem IT-Sicherheitsgesetz, dem IT-Sicherheitskatalog sowie der Datenschutzgrundverordnung (DSGVO) – um nur einige der allerwichtigsten Gesetze zu nennen – nimmt der Gesetzgeber Organisationen in puncto Cyber Security und Datenschutzmanagement viel stärker in die Nachweis- und Meldepflicht (im Falle von Datenpannen) als bisher. Bei der DSGVO geht es um die Meldepflicht bei Datenpannen, im IT-Sicherheitsgesetz besteht die Meldepflicht auch für Incidents, die keine Datenpanne zur Folge haben. Verstöße sind mit empfindlichen Bußgeldern belegt [1] . |
6. | Fachkräftemangel: Aufseiten von Unternehmen und öffentlicher Hand fehlt es häufig an Spezialisten, die in der Lage sind, eine qualifizierte Abwehr zu leisten. Mehr als die Hälfte aller Unternehmen hat derzeit Probleme, Stellen in der IT mit Fachkräften zu besetzen. Bereits heute besteht eine globale Lücke von 1,2 Millionen Cyber-Security-Experten, die sich bis 2022 auf 1,8 Millionen vergrößern wird [2] . |
7. | Die Herausforderung wird nicht richtig eingeschätzt: Komplexe IT-Strukturen verlangen ein ganzheitliches, ausgereiftes Sicherheitsmanagement und ein kontinuierliches Servicemanagement. Die Herausforderungen an den stabilen und sicheren Betrieb dieser oft anspruchsvollen Sicherheitslösungen werden dabei häufig unterschätzt. IT-(Sicherheits-)Verantwortliche sehen sich aufgrund endlicher Budgets mit einer wachsenden Bedrohungslage konfrontiert, die nur schwer zu beherrschen ist. Darüber hinaus lähmt fehlende Integration und Orchestrierung sowohl die IT als auch Cyber Security. Dabei werden das zeitnahe Erkennen kritischer Sicherheitsvorfälle sowie deren Priorisierung und Behandlung immer mehr zum erfolgskritischen Faktor. Dagegen nimmt die Zeit für Detektion und Bearbeitung von Incidents immer mehr ab. |
Optimierungspotenziale
Vor diesem Hintergrund haben Cyberkriminelle leichtes Spiel mit Angriffen auf das geistige Eigentum, IT-Netzwerke und -Systeme. Organisationen sind verstärkt in der Pflicht, internes Know-how und personenbezogene sensible Daten zu schützen, die geltenden Compliance-Anforderungen zu erfüllen und möglicherweise existenzgefährdende Strafen sowie Rufschädigungen abzuwenden. Nicht zuletzt aufgrund der verschärften Gesetzgebung ist in der Beratungspraxis zu beobachten, dass Organisationen einen stärker risikobasierten Standpunkt einnehmen und sich verstärkt mit Werten, Risiken, Bedrohungen und Schutzmaßnahmen auseinandersetzen. Im Kontext der digitalen Transformation stellen wir allerdings auch fest, dass vielerorts Luft nach oben ist, um die Cyber Security auch für die Anforderungen von morgen zu optimieren [3] .
Vor diesem Hintergrund haben Cyberkriminelle leichtes Spiel mit Angriffen auf das geistige Eigentum, IT-Netzwerke und -Systeme. Organisationen sind verstärkt in der Pflicht, internes Know-how und personenbezogene sensible Daten zu schützen, die geltenden Compliance-Anforderungen zu erfüllen und möglicherweise existenzgefährdende Strafen sowie Rufschädigungen abzuwenden. Nicht zuletzt aufgrund der verschärften Gesetzgebung ist in der Beratungspraxis zu beobachten, dass Organisationen einen stärker risikobasierten Standpunkt einnehmen und sich verstärkt mit Werten, Risiken, Bedrohungen und Schutzmaßnahmen auseinandersetzen. Im Kontext der digitalen Transformation stellen wir allerdings auch fest, dass vielerorts Luft nach oben ist, um die Cyber Security auch für die Anforderungen von morgen zu optimieren [3] .