CISOs im Auge des Tornados bei einem Sicherheitsvorfall

Ein Cyberangriff kann jedes Unternehmen treffen. Und wie bei einem Tornado, ist die Erkennung der Vorboten nur mit geeigneten Tools (resp. Infrastrukturen) möglich. Ein Rückgang der Cyberbedrohungen ist nicht zu erwarten – im Gegenteil. Tendenziell werden diese immer akuter und aggressiver, und die Aufgaben von CISOs (Chief Information Security Officers) somit immer anspruchsvoller. Aber was müssen CISOs im Falle eines Security Incidents unternehmen? Welchen Herausforderungen stehen sie gegenüber? Und wie können sie sich in einer solch kritischen Situation behaupten? In diesem Beitrag beantworten wir genau diese Fragen und beleuchten die vielfältigen Aufgaben von CISOs in stürmischen Zeiten.

Sie finden den Vergleich mit einem Tornado etwas heftig? Nun, ein Cyberangriff kann durchaus mit einem Tornado verglichen werden. Bevor dieser mit voller Wucht zuschlägt, herrscht nicht selten «eitel Sonnenschein». Genau solche Szenarien spielen sich in vielen Unternehmen ab, welche die Erkennung von Cyberangriffen (bislang) vernachlässigt haben. Die Herausforderung, geistiges Eigentum, Unternehmens-, Kunden- und Mitarbeiterdaten vor Cyberangriffen zu schützen, wird immer grösser. Je nachdem wie schnell und effizient die Organisation reagiert, variiert der Reputations- und Finanzschaden deutlich. Als Chief Information Security Officer (CISO) fällt Ihnen dabei eine entscheidende Rolle zu.

CISOs als Schlüsselpersonen der Cyber Security

CISOs operieren primär auf der strategischen Ebene. Dabei kümmern sie sich einerseits um den Betrieb, die strategische Ausrichtung und das Budget der Security-Massnahmen in einem Unternehmen. Zudem beraten sie die Geschäftsleitung in Bezug auf Fragen zur Sicherheit, aktuellen Bedrohungen und wenn es um die Einhaltung von Compliance-Vorgaben geht.

Auf der taktischen Ebene operiert das Computer Security Incident Response Team (CSIRT). Das CSIRT bereitet sich auf Incidents vor und führt – im Fall der Fälle – einen vorher festgelegten Incident Response-Plan aus. CISOs arbeiten mit ihrem Team proaktiv und konzentrieren sich auf die konkrete Vorhersage sowie Vorbereitung zur Abwehr der Attacke.

Das ist einer der Gründe, weshalb CISOs nie ausgelernt haben. Sie müssen sich laufend über neue Bedrohungen sowie Schwachstellen informieren und passende Massnahmen für deren Risiken definieren und implementieren. Eine riesen Herausforderung! Oder was meinen Sie?

Das strategisch-taktische Aufgabengebiet von CISOs

In Bezug auf einen möglichen Incident haben CISOs auf strategisch-taktischer Ebene zahlreiche Aufgaben zu bewältigen. Diese beginnen bereits bei der Unterstützung der Geschäftsleitung sowie des Verwaltungsrates, beispielsweise bei der Festlegung und Aktualisierung der Cyber Security-Politik. Dazu gehören ebenso die Beratung in allen Fragen rund um das Thema Cyber Resilience und die Unterstützung bei der Lösung von Zielkonflikten, beispielsweise Kosteneffizienz vs. Cyber Security-Massnahmen. CISOs arbeiten aber auch aktiv beim Cyber Risk-Management mit, erstellen Richtlinien für die Cyber Resilience der Organisation und überprüfen natürlich auch deren Einhaltung. Da Cyber Resilience keine einmalige Angelegenheit ist, sorgen sie sich auch um die kontinuierliche Verbesserung der dazugehörigen Prozesse.

Wissen Sie eigentlich, wie es um Ihre Cyber Resilience steht? Mit unserer kostenlosen Cyber Resilience-Checkliste erhalten Sie die Antwort. Gleich downloaden!

Damit ist das Aufgabengebiet aber längst nicht fertig. Als zentrale Anlaufstelle für alle Fragen im Zusammenhang mit Cyber Resilience sind CISOs Dreh- und Angelpunkt. So unterstützen sie natürlich auch bei der Erstellung und Aktualisierung der Notfallplanung im Falle eines Security Incidents. Gleichzeitig setzen sie sich auch mit der aktuellen Bedrohungslage auseinander und informieren das Top-Management regelmässig über den Stand der Cyber Security. Dieser Statusbericht beinhaltet beispielsweise eine Bewertung der Cyber Security-Situation im Vergleich zu vergangenen Berichten, Informationen über Cyber Security-Projekte, Cyber-Vorfälle sowie die Ergebnisse von Penetration Tests und anderen Audits. Aber auch die Leitung und Koordination von Massnahmen zur Sensibilisierung für Cyber Security und Awareness-Schulungen gehören dazu (Stichwort Security Awareness). Welche Aufgaben sonst noch alles auf deren Pult landen, finden Sie in unserem übersichtlichen Poster!

Nicht zu vergessen ist dabei die Rolle des Verwaltungsrates und der Geschäftsleitung. Denn diese müssen sicherstellen, dass eine Führungskraft für die Definition und Umsetzung der Cyber Security-Strategie auf Unternehmensebene verantwortlich ist. Das Management sollte dabei unabhängig sein, über ein angemessenes Verhältnis von Fähigkeiten, Wissen und Erfahrung sowie über ausreichende Ressourcen und direkten Zugang zur Geschäftsleitung sowie zum Verwaltungsrat verfügen.

Unabhängigkeit von CISOs – ein wichtiger Punkt

In organisatorischer und prozessualer Hinsicht müssen CISOs unabhängig sein, um mögliche Interessenskonflikte zu vermeiden. Daher empfehlen wir, insbesondere die folgenden Massnahmen umzusetzen:

• Organisatorischer Aufbau im Unternehmen um sicherzustellen, dass CISOs unabhängig von der IT-/Betriebsabteilung handeln und direkt an die Geschäftsleitung berichten können. Weiter muss sichergestellt sein, dass diese nicht an der internen Revision beteiligt sind.
• Festlegung der erforderlichen Ressourcen
• Definition eines fixen Budgets, um einerseits die IT-Mitarbeitenden zum Thema Cyber Security zu schulen, und andererseits das übrige Personal (inkl. Management) bezüglich Security Awareness zu sensibilisieren.
• Verpflichtung aller Mitarbeitenden der IT-Abteilung und der IT-Dienstleister, alle relevanten Vorfälle gemäss dem Eskalationsverfahren zu melden.

Die Rolle und Aufgaben von CISOs bei einem Security Incident

Grundsätzlich sind alle Sicherheitsvorfälle dem CISO zu melden. Anschliessend wird eine initiale Analyse des Vorfalls durchgeführt, um festzustellen, ob die Aktivierung des CSIRT angemessen ist. Am Beispiel eines ungewollten Datenabflusses veranschaulichen wir folgend einen möglichen Reaktionsprozess. Dieser kann, je nach Unternehmen und Unternehmensgrösse, aus folgenden Schritten bestehen:

1. In einem ersten Schritt führt der CISO – anhand der Benachrichtigung durch den User oder den Help/Service Desk – eine erste Analyse der Fakten durch. Darauf basierend erfolgt die Beurteilung der Situation, um Art und Umfang des Vorfalls zu bestimmen.
2. Im zweiten Schritt werden CFO und DPO (Data Protection Officer) über die mögliche Datenschutzverletzung informiert, inkl. sämtlichen Informationen über die Situation.
3. Anschliessend wird Kontakt mit dem User aufgenommen, welcher den Vorfall gemeldet hat.
4. Der CISO identifiziert nun die Systeme und die Art(en) der betroffenen Informationen. Weiter muss bestimmt werden, ob der Vorfall eine (vermutete) Verletzung personenbezogener Daten oder kritischer Assets sein könnte. Dabei ist die Art des Verstosses wichtig, denn nicht jeder Verstoss erfordert die Beteiligung des gesamten CSIRT. Beispielsweise erfordert die Untersuchung eines physischen Datenabflusses in Papierform oder in Form eines Diebstahls nicht die Beteiligung von System- und Firewall-Administratoren oder anderen technischen Mitarbeitenden.
5. Im nächsten Schritt müssen CISOs die vorläufigen Details mit dem oder der DPO besprechen. Folgende Themen stehen dabei im Zentrum:
   1. Wenn eine u.a. personenbezogene Datenschutzverletzung vorliegt, ist die Aktivierung des CSIRT notwendig.
   2. Die Aufgabe von CISOs ist es, die PR-Abteilung über die Einzelheiten des Verstosses und die aktuelle Informationslage zu informieren. Diese muss stets über die wichtigsten Ereignisse der Untersuchung auf dem Laufenden gehalten werden.
      
      
6. Weiter ist das CSIRT verantwortlich, dass alle Details eines Vorfalls dokumentiert werden, um bei Bedarf die Kommunikation zur Geschäftsleitung und anderen Parteien zu erleichtern.
7. Die Koordination sämtlicher Aktivitäten des CSIRT unterliegt dabei dem CISO oder der CSIRT-Leitung. Dazu gehört insbesondere auch die Involvierung der relevanten Mitglieder des CSIRT und des First-Level-Eskalation-Teams.
8. CISO sind ebenfalls verantwortlich für die Identifikation und Kontaktierung der zuständigen Dateninhaber (Data Owner), welche von der Verletzung betroffen sind. In Abstimmung mit dem CFO und dem Management, müssen CISO, DPO und die Dateninhaber zusätzliche Meldepflichten festlegen (z.B. Human Resources, externe Parteien).
9. Wenn die Verletzung an einem Standort eines Dritten aufgetreten ist, muss überprüft werden, ob ein rechtsgültiger Vertrag vorliegt. In Zusammenarbeit mit den Vertragsverantwortlichen, dem resp. der CISO, DPO sowie den Data Owners, sind die Vertragsbedingungen zu überprüfen und die weitere Vorgehensweise festzulegen. Diese kann üblicherweise aus folgenden Schritten bestehen:
   
   1. Das potentielle Ausmass der möglichen Verletzung identifizieren. Dazu gehören auch sämtliche gespeicherte und gefährdete Daten sowie die Anzahl der betroffenen Personen.
   2. Die Art der personenbezogenen, gefährdeten Daten bestimmen; einschliesslich aber nicht beschränkt auf: Name, Adresse, AHV- / Sozialversicherungsnummer, Bank-Kontonummer, Karteninhaber, Adresse des Karteninhabers, Medizin- und Gesundheitsinformationen etc.
   3. Falls es sich um personenbezogene Daten handelt, bestimmen die Data Owners, wer betroffen sein könnte. In Abstimmung mit dem oder der CISO, dem CSIRT, CFO, der Administration und der PR-Abteilung, werden die nächsten, beispielsweise folgenden Schritte gemeinsam mit dem CSIRT vorgenommen:
      1. Ermitteln, wo und wie die Verletzung stattgefunden hat
      2. Identifizieren der Quelle und des Zeitraums der Kompromittierung
      3. Überprüfen der Infrastruktur auf gefährdete oder betroffene Systeme
      4. Prüfen der System- und Auditprotokolle
      5. Prüfen der Verzeichnis- und Dateiberechtigungen
      6. Dokumentieren der Internet-Protokoll-(IP)-Adressen, Betriebssysteme, Domänennamen, Systemnamen und andere relevante Systeminformationen
         
         
10. In Koordination mit dem oder der CSIRT-Leiter/in, gehört es ebenso zur Verantwortung von CISOs, Massnahmen zur Eindämmung und Kontrolle des Vorfalls zu ergreifen. Möglich sind folgende:
    1. Herunterfahren bestimmter Anwendungen oder Verbindungen zu Drittanbietern
    2. Re-Konfiguration von Firewalls
    3. Änderung von Computerzugriffscodes
    4. Änderung von physischen Zugriffskontrollen
    5. Ändern aller Passwörter, inkl. Systemprozesse und privilegierte Benutzer (bei Bedarf mehrfach)
    6. Isolation der betroffenen Systeme ohne diese auszuschalten, Trennen vom Netzwerk (z.B. Netzwerkkabel), Ändern der Service Set Identifier (SSID) am Zugangspunkt (AP)
       
       
11. Zudem haben CISOs in Koordination mit dem oder der CSIRT-Leitung die Verantwortung für die Überwachung der Systeme und des Netzwerks auf Anzeichen eines fortgesetzten Angriffs.
12. Um eine mögliche Strafverfolgung gewährleisten zu können, ist gegebenenfalls eine Beweissicherung durchzuführen.
13. Das CSIRT muss zudem eine Zusammenfassung der Ergebnisse und der ergriffenen Massnahmen erstellen.
14. Wenn es sich um Daten von Kreditkarteninhabern handelt, sind die Anforderungen gemäss des PCI DSS Standards zu berücksichtigen.
15. Wenn ein interner Benutzer für die Verletzung verantwortlich ist, sind möglicherweise Disziplinarmassnahmen mit den Personalverantwortlichen zu koordinieren.
16. Wenn ein externer Benutzer für die Verletzung verantwortlich ist, sollte der Service-Vertrag geprüft werden.

CISO-as-a-Service lohnt sich für alle Unternehmen

Sie sehen: CISOs wird es bestimmt nicht langweilig. Deshalb empfehlen auch die Marktforscher von Gartner, dass Unternehmen ab 150 Angestellten die CISO- resp. CSO-Position mit einer internen oder externen Ressource besetzen.

Fehlen Ihrem Unternehmen die internen Ressourcen, um die CISO-Position kompetent ausfüllen zu können? Wir übernehmen diese Aufgabe im Rahmen eines Mandats (CISO-as-a-Service). Dabei profitieren Sie von der Erfahrung und dem umfassenden Know-how unserer Experten in den Bereichen Technik, Organisation, Compliance und Audit. Wir legen das spezifische Aufgabengebiet gemeinsam mit Ihnen fest und stellen Ihnen die entsprechenden Spezialisten zur Seite. Interessiert? Dann freuen wir uns auf Ihre Anfrage!