Die Cyberabwehr im Unternehmen stärken
Was ist Cyberresilienz?
Die Abwehrkräfte eines Unternehmens zu stärken, ist eine wichtige Aufgabe der IT-Sicherheit in Zeiten komplexer und hybrider Infrastrukturen. Doch was ist Cyberresilienz eigentlich, und wie gelangen Unternehmen dorthin?
Text: Andreas Heer, Bilder: Swisscom
15. Mai 2023
In der «alten» Welt war die Hauptaufgabe der IT-Sicherheit, die lokale Infrastruktur innerhalb des Perimeters vor Angriffen zu schützen. Doch technologische und gesellschaftliche Entwicklungen wie Cloud und Homeoffice haben diese Grenzen gesprengt. Hybride Umgebungen und IoT-Geräte erhöhen die Komplexität und vergrössern dadurch die mögliche Angriffsfläche für Cyberkriminelle, beispielsweise aufgrund von Fehlkonfigurationen oder Sicherheitslücken. Das Risiko nimmt damit zu, wie auch der Swisscom Cyber Security Threat Radar festhält. Gleichzeitig steigt die Zahl der Cyberangriffe laufend, allen voran mittels Ransomware. Aber in gewissen Branchen sind auch Spionage und Sabotage ein (Cyber-)Thema.
Unter diesen Voraussetzungen hat IT-Sicherheit einen Paradigmenwechsel erfahren. «Assume Breach» gilt heute als wahrscheinliches Szenario. Und wenn der Angreifer schon drin ist, braucht es ein anderes Abwehrszenario. Geschäftskritische Systeme
benötigen «Abwehrkräfte», um auch bei einem erfolgreichen Cyberangriff möglichst weiter zu funktionieren. Die entsprechenden Massnahmen aus den Bereichen Risikomanagement und IT-Sicherheit werden unter dem Begriff «Cyberresilienz» zusammengefasst.
«Cyberresilienz umfasst alle Phasen des NIST-Frameworks», sagt dazu Duilio Hochstrasser, Cybersecurity-Spezialist bei Swisscom. «Doch sie geht über rein technische Massnahmen hinaus und umfasst auch die Organisation und Kultur eines Unternehmens.» Falls Sie beim Lesen ein Déjà-vu haben: Cyberresilienz bezeichnet keinen neuartigen Ansatz für IT-Sicherheit, sondern steht für ein strategisches, fokussiertes Vorgehen, das aktuelle Gegebenheiten und Best Practices umfasst. Die wachsende Komplexität und zunehmende Bedrohungslage haben die Bedeutung dieses Vorgehens gestärkt und mit Cyberresilienz einen eigenen Begriff geprägt.
Wie Unternehmen die Cyberresilienz stärken
Die Grundlage für die Stärkung der Cyberresilienz liegt in den Bedürfnissen des Geschäftsbetriebs. «Unternehmen müssen vorgängig die Prozesse und Systeme identifizieren, die auch nach einem Cyberangriff weiterlaufen müssen», sagt Duilio Hochstrasser. «Daraus lassen sich die Sicherheitsmassnahmen ableiten.» Dies entspricht der ersten Phase des NIST-Frameworks («Identify»).
In diese Überlegungen wird auch das Risikomanagement eingebunden: Wie kann ich Risiken mindern? Welche technischen und organisatorischen Massnahmen sind im Business Continuity Plan (BCP) notwendig, um den Betrieb aufrechtzuerhalten? Welche Alternativen gibt es, wenn geschäftskritische Infrastrukturen ausfallen?
«Security ist zu einem Verkaufsargument für Applikationen geworden.»
Duilio Hochstrasser
Aus dieser Grundlage lassen sich die notwendigen Schutzmassnahmen ableiten. Dabei ist Security vermehrt in den Fokus des Lifecycle-Managements gerückt: «Security by Design» bezeichnet Massnahmen bereits in einem frühen Stand der Software-Entwicklung oder -Beschaffung. «Shift Left» und DevSecOps sind die Stichworte respektive Ansätze, um Security-Aspekte in einem frühen Zeitpunkt der Softwareentwicklung zu berücksichtigen.
Spätestens seit «log4shell» ist bei der Softwarebeschaffung die Lieferkette ins Blickfeld gerückt. Um das Risiko von Supply-Chain-Attacken zu verringern, braucht es Transparenz über die verwendeten Bibliotheken, betont Duilio Hochstrasser: «Unternehmen fordern vermehrt Transparenz von den Anbietern. Security ist zu einem Verkaufsargument geworden.» Zu wissen, ob die eigene Software von einer neu bekannt gewordenen Sicherheitslücke in einer Bibliothek betroffen ist, vereinfacht den Entscheid über Schutzmassnahmen erheblich.
Sicherheitsbewusstsein fördert die Cyberresilienz
Während technische Massnahmen in erster Linie die Grösse der Angriffsfläche reduzieren oder durch Transparenz eine gezielte und schnelle Incident Response ermöglichen, können Mitarbeitende Cyberangriffe vereiteln. Das gilt insbesondere für Angriffe, die mit Phishing-Mails beginnen. Sensibilisierte Mitarbeitende tappen weniger in die Falle. «Kommunikation und ein regelmässiges und gezieltes Awareness-Training sind essenziell, um die Resilienz zu erhöhen», betont denn auch Duilio Hochstrasser.
Doch mit einer Phishing-Schulung allein ist es nicht getan. Die Mitarbeitenden müssen auch wissen, wo sie sicherheitsrelevante Vorfälle melden können. Das bedingt eine entsprechende Kommunikation. Und eine Unternehmenskultur, die Security zum Thema macht und darüber spricht. Dabei geht es nicht nur um das Erkennen von Phishing-Mails, sondern auch um den korrekten Umgang mit Daten.
Insbesondere bei sensiblen Informationen in Cloud-Ablagen wie beispielsweise SharePoint will der richtige Umgang gelernt sein. Beispielsweise kann eine Dokumentenklassifikation dazu dienen, dass vertrauliche Informationen automatisch verschlüsselt werden und der Zugriff eingeschränkt wird. Das verhindert, dass Cyberkriminelle vertrauliche Daten exfiltrieren – sofern die Mitarbeitenden die Informationen korrekt handhaben.
Technische Schutzmassnahmen, ein auf die Geschäftsbedürfnisse abgestimmtes Risikomanagement und aufmerksame Mitarbeitende sind die Zutaten für eine erfolgreiche Cyberresilienz. Wiederum: Neu ist das nicht, sondern eine wichtige logische und strategische Weiterentwicklung der Cybersecurity, um den Reifegrad der Cyberabwehr zu erhöhen.