Cyber-Security – nur echte (Schein-)Betroffenheit bewirkt Veränderungen

  • Cyber-Security hängt weiterhin stark an den eigenen Mitarbeitern.
  • IT-Security wird weiterhin unter den Top-3 Aufgaben der IT-Manager bleiben.
  • IBM stellt ein eigenes Rollenspiellabor für IT-Sicherheit in Europa vor.
  • “Scheinsicherheit” kann durch echte Betroffenheitssimulation erschüttert werden.

In Sicherheitsfragen wird regelmäßig behauptet, dass das professionelle Management in großen Cloud-Rechenzentren sicherer sei als im eigenen IT-Center. Das mag vordergründig und rein technisch betrachtet auch richtig sein.

Quelle: Cyber-Kill-Chain ®, Lockheed Martin Corp.

 

Allerdings wird dabei außer Acht gelassen, dass das größte Risiko für Unternehmensdaten immer noch zu sehr großen Teilen von den eigenen Mitarbeitern abhängt, die – oft ohne böse Absichten und/oder Vorsatz und/oder Kenntnis – externen Zugang zu Unternehmensdaten ermöglichen. Dies geschieht durch Phishing-Attacken gefolgt oder begleitet von so genannten Cyber-Kill-Chains, um sich so unerlaubten Zugang zu Unternehmensdaten zu verschaffen. Dieser Aspekt wird auch nochmals eindrucksvoll durch eine Studie von Crisp Research bestätigt: mit fast 40 Prozent stellen die eigenen Mitarbeiter den größten Risikofaktor für die IT-Sicherheit dar. Wenn man externe Dienstleister hinzuzählt, die praktisch immer in Unternehmen vertreten sind, nimmt die Gefahr naturgemäß noch zu. Zwar spielen Industriespionage und der steigende Digitalisierungsgrad auch eine nicht zu unterschätzenden Rolle; allerdings handelt es sich hierbei um externe Einflussnahmen und nicht um interne Ressourcen.

Ein nicht zu unterschätzendes Element ist die IT-Architektur in den Unternehmen. Nimmt man den begriff Security-by-Design ernst, so ließen sich sicher die größten Bedrohungsfelder entsprechend eindämmen. Eine mangelhafte IT-Architektur, die Sicherheitsaspekte außen vor lässt, kann daher vielfach als Root-Cause identifiziert werden. Auf der technischen Seite sollten die Unternehmen hier ansetzen, um die IT-Sicherheit zu erhöhen. Dies gilt in zunehmendem Maße, wenn DevOps-Konzepte in den Entwicklungsabteilungen der IT genutzt werden. Allerdings sollten all diese technischen Aspekte durch organisatorische Maßnahmen ergänzt werden.

Insofern gilt nach wie vor die These, dass es nicht die Frage ist, ob unerlaubter Zugriff auf Unternehmensdaten stattfindet, sondern nur wann - egal ob mit oder ohne Cloud.

Diese Bedrohungslage aufgreifend konzentrieren insbesondere die großen IT-Anbieter vermehrt Kräfte auf IT-Security-Konzepte und –Angebote. Jüngst machte beispielsweise Alphabet‘s Cyber-Security-Company Chronicle überraschend mit einem eigenen Angebot auf sich aufmerksam. Auch HPE hat seine Anstrengungen in diesem Gebiet deutlich erhöht. Insgesamt steigen die Ausgaben für IT-Security weiter an und das Thema ist seit einigen Jahren immer eine der Top-5 Issues der IT-Leiter.

Eine andere dieser Initiativen manifestiert sich im Cyber Tactical Operations Center (C-TOC) von IBM, das seit Januar 2019 für 2 Jahre in einem beeindruckenden Truck durch Europa fahren wird. Crisp Research wurde ein exklusiver Einblick in die Aktivitäten im Zusammenhang mit dem C-TOC gewährt. Es werden dort Teams – vom C-(Executive)-bis zum C-(CISO)-Level (wenn vorhanden) – von Unternehmen gezielt geschult, auf Cyber-Angriffe professionell zu reagieren. Die Teammitglieder werden während der Sessions quasi in einem Rollenspiel in einen Schockzustand versetzt und unter Stress gesetzt, um Betroffenheit hautnah zu erleben. Dies ist nachvollziehbar ähnlich zur Schockstarre, die in Unternehmen üblicherweise herrscht, wenn es unerwartet und unvorbereitet von einem Cyber-Angriff auf seine internen Daten – evtl. sogar Kundendaten – getroffen wird. Spätestens ab diesem Zeitpunkt entfaltet sich die volle Wucht der DSGVO.

Quelle: https://www.ibm.com/blogs/nordic-msp/ibm-x-force/

 

Der von IBM eingesetzte Truck ist ein Powerplay von High-Tech in Form eines unabhängigen Rechenzentrums, das 2 Tage unabhängig (ohne externe Energiezufuhr) operieren kann. Das Innere macht den Eindruck eines Nasa-Space-Flight-Center in Miniaturausgabe; allerdings verfehlt es seine Wirkung bei Teilnehmern nicht. Betroffenheit wird unmittelbar erzeugt und erlebbar.

Dabei spielt die Tatsache, ob die Unternehmensdaten im eigenen RZ lagern oder in der Cloud gemanagt werden, praktisch keine Rolle. Vom Traum, dass Unternehmensdaten sich bei Cloud-Anbietern besser vor Cyber-Angriffen schützen lassen, sollte man sich spätestens ab diesem Zeitpunkt verabschieden. Die eigenen Mitarbeiter (oder die der Dienstleister mit Zugriff auf die Unternehmensdaten) sind und bleiben der größte Schwachpunkt. Es wäre fast wünschenswert, wenn mehrere dieser Trucks in Europa verfügbar wären. Das könnte Kundendaten von europäischen Bürgern sicher erhöhen.

Insgesamt wird die Bereitschaft sich proaktiv mit dem Thema Cyber-Security auseinanderzusetzen durch zwei wesentliche Aspekte gefördert:

  • Eine gesteigerte Awareness für einen Incident Response Plan – also einen Plan, der z.B. klare Verantwortlichkeiten und Notfallabläufe im Falle eines Cyber-Angriffs festlegt
  • Das Formulieren eines „Statement of Comment“ für den Fall der Fälle ermöglicht die richtige Art des Empowerments der Mitarbeiter, um als Gesamtunternehmen handlungsfähig zu bleiben.

Bottom Line: Wer die Chance hat, das C-TOC auszuprobieren, dem sei dringend dazu geraten. Auch Unternehmen die sich  vermeintlich vorbereitet einschätzen, können ihre tatsächliche Handlungsfähigkeit überprüfen.

Mehr zu den Themen C-TOC Cyber-Kill-Chain Cybersecurity Security Security by Design SOC

Share on:


Über den Autor:

Senior Analyst

Rüdiger SpiesRüdiger Spies baut als Senior Consultant auf 30+ Jahre Erfahrung in der IT-Industrie. Derzeit widmet er sich Leading Edge Themen wie Artificial Intelligence, Quantum Computing, Blockchain, Kryptographie, Cloud (in allen Facetten), IoT (Edge Computing). Er hat Software entwickelt, war für IBM in Deutschland, England, Frankreich, USA in verschiedenen Management Positionen tätig, hat für EDS/ A.T.Kearney als VP Telecommunications, sowie als Business Unit Manager für das Datenbank-Unternehmen Informix gearbeitet. Seit 1998 ist er als Industry Analyst bei META Group (heute Gartner), IDC und CXP Group/ PAC (durchgehend als VP Enterprise Applications, mit zusätzlichem Blick auf erforderliche Hardware-Notwendigkeiten) tätig. Er bringt ein reichhaltiges Instrumentarium sowie umfassendes Know-How sowohl im technischen als auch im Management-Bereich mit und betrachtet die IT durch das „Window of the User“.

Neben seiner Industry-Analyst-Tätigkeit ist Hr. Spies auch als Patentanwalt (deutscher & europ. Patentanwalt & Master of Intellectual Property Law and Mngt.) im High-Tech-Sektor (Hardware, Software, IT-Architektur., Telecom, AI/Machine-Learning, Nanotech, Semiconductor/Edge Devices, IoT, QuantumC, Blockchain/Crypto, Security, …) tätig. Diese einzigartige Kombination aus Elementen der Tätigkeiten als Industry Analyst und Patentanwalt ermöglicht erfrischend neue Einsichten in das Geschehen der IT-Industrie, der Markt-Entwicklung und für innovative Einsatzmöglichkeiten bei Unternehmen.