Es brennt – was ist zu tun? Klar, Sie rufen die Feuerwehr unter der Nummer 118. Die Notfallzentrale nimmt den Alarm entgegen und leitet diesen an die entsprechende Feuerwehr weiter. Diese rückt mit ihren Spezialisten aus und bekämpft das Feuer umgehend. Nach der (hoffentlich) erfolgreichen Brandbekämpfung wird die Ursache von Experten analysiert, um entsprechende Lehren aus dem Vorfall zu ziehen und ggf. zusätzliche Massnahmen einzuleiten. Oder um bereits bestehende Brandschutz-Massnahmen zu optimieren. Und genauso muss es auch bei Ihrer Cyber Defence gehen.
Sie dürfen sich nicht nur darauf fokussieren (Brand-)Schutzmauern zu bauen. Denn genauso wenig wie ein Feuerwehrmann ein Feuer verhindern kann, können Sie einen Cyber-Angriff verhindern. Sie müssen aber fähig sein Sicherheitsvorkommnisse zu erkennen, schnell zu reagieren und die Auswirkungen auf ein Minimum zu reduzieren.
Traditionell haben sich Sicherheitsverantwortliche verständlicherweise darauf fokussiert, potenzielle Cyber-Risiken zu identifizieren und in ihren Unternehmen entsprechende (ICT-)Sicherheitsmassnahmen zu integrieren. Aber dies reicht heutzutage definitiv nicht mehr aus! Um bei der Cyber-Defence überhaupt eine Chance zu haben, müssen Sie sich folgende 6 Punkte vor Augen führen.
Ihr Unternehmen wird kompromittiert werden – oder ist es bereits – und die Angriffsfläche wird durch den Einsatz neuer Technologien, wie Smart-Devices, IoT usw. immer grösser.
Nicht alles muss gleich geschützt werden. Identifizieren Sie Ihre Kronjuwelen und business-kritischen Assets und setzen Sie Prioritäten.
Ihre (IT-)Schutzmauer ist wahrscheinlich hoch genug – aber oftmals fehlt es an geeigneten Werkzeugen zur Erkennung von Kompromittierung und der entsprechenden Reaktion.
Vielfach dauert es Monate, bis eine Kompromittierung erkannt wird – und sehr oft nicht einmal vom betroffenen Unternehmen.
Cyber-Schäden gehen weit über den finanziellen Verlust und die Wiederherstellungskosten hinaus.
Unternehmen wie Ihres sind kontinuierlich dem Risiko von Cyber-Angriffen ausgesetzt. Und eine 100-prozentige Sicherheit gibt es bekanntlich nicht. Als Sicherheitsverantwortlicher müssen Sie akzeptieren, dass es erfolgreiche Attacken auf Ihr Unternehmen geben kann. Sie müssen «nur» dafür sorgen, dass die Auswirkungen...
so gering wie nur irgendwie möglich ausfallen und
Ihr Sicherheitsdispositiv anschliessend optimiert wird.
Denn eines ist klar: Verhindern können Sie solche Angriffe nicht!
Als Sicherheitsverantwortlicher sind Sie nicht nur dafür verantwortlich, Risiken zu minimieren und sich angemessen vor Cyber-Attacken zu schützen. Sie müssen auch dafür besorgt sein, dass Ihr Unternehmen Anomalien erkennen und dann angemessen und schnell reagieren kann. Angriffe lassen sich aber nur erkennen, wenn Sie alle Phasen (und Vorgehensweisen) eines Angriffs kennen und insbesondere erkennen können. Sie müssen ein dediziertes Team von Experten, entsprechende Tools zur Breach Detection, für das Security Information & Event Management (SIEM), aber auch für den Incident Response in einem Security Operation Center zusammenfassen, um Sicherheitsvorkommnisse zu erkennen und die Auswirkungen auf ein Minimum zu reduzieren.
Dabei darf es nicht vorkommen, dass sich diese Leute gleichzeitig um den operativen Betrieb Ihrer IT kümmern. Nein. Sie sind da, um umgehend auf entsprechende Vorkommnisse reagieren zu können. Es wäre ja auch unvorstellbar, dass der Feuerwehrmann nicht ausrücken kann, da er im Moment gerade mit einem Service am Tanklöschfahrzeug beschäftigt ist.
Natürlich braucht es in Ihrem SOC nebst entsprechenden Werkzeugen zur Erkennung von Attacken oder Infiltrationen auch IT-Spezialisten. Aber noch viel wichtiger sind Cyber Threat Analysten und Cyber Security Experten. Damit die erkannten Attacken im Details analysiert und geeignete Massnahmen eingeleitet werden können. Und wie bei uns in der IT - sind es auch bei der Feuerwehr genau diese Spezialisten, die für «unser Wohl» unverzichtbar sind.