Eine Einführung für die Geschäftsleitung (Teil 8)
Die Implementierung guter Cybersicherheitsmassnahmen ist nicht nur ein wichtiger Bestandteil der Erfüllung der gesetzlichen Anforderungen, sondern trägt auch dazu bei, die Wahrscheinlichkeit eines signifikanten Vorfalls zu verringern. Die Implementierung selbst sehr einfacher Cyber-Sicherheitskontrollen wird dazu beitragen, die Wahrscheinlichkeit eines Vorfalls zu verringern.
Was sollte die Geschäftsleitung tun?
Werden Sie ein wenig technisch
Ein grundlegendes Verständnis der Cybersecurity kann Ihnen helfen, die richtigen Fragen zu stellen, um die Sicherheit der Cyberresistenz Ihrer Organisation zu gewährleisten – so wie Sie ein gewisses Verständnis der Finanzen haben müssen, um die finanzielle Gesundheit Ihrer Organisation zu beurteilen. Ein guter Ausgangspunkt ist es, Ihre bestehenden Cybersicherheitsmassnahmen mit Ihren Experten zu besprechen, und die folgenden Fragen geben einen Anhaltspunkt dafür, welche Fragen Sie stellen sollten.
Was sollte Ihre Organisation tun?
Beginnen Sie mit einer Cybersicherheits-Baseline.
Angreifer verwenden oft gängige Methoden, um ein Netzwerk anzugreifen. Viele dieser Methoden können durch die Implementierung grundlegender Cyber-Sicherheitskontrollen abgeschwächt werden. Es gibt mehrere Frameworks, die zeigen, wie gute Cyber-Sicherheitskontrollen aussehen. Dazu gehören die 10 Schritte des NCSC zur Cyber Security, ISO/IEC 27002 und das NIST Cyber Security Framework.
Passen Sie Ihre Abwehrmassnahmen an Ihre Risiken mit höchster Priorität an.
Die grundlegenden Cyber-Sicherheitskontrollen helfen, die häufigsten Cyberangriffe abzuschwächen, aber sobald Sie diese Baseline erreicht haben, müssen Sie Ihre Abwehrmassnahmen so anpassen, dass sie Ihre Risiken mit höchster Priorität mindern. Ihre Massnahmen werden sowohl auf Ihre IT-Landschaft (Schutz der Dinge, die Ihnen am wichtigsten sind) als auch auf die Bedrohung (Schutz vor Methoden bestimmter Akteure) zugeschnitten.
Erstellen Sie Ihre Verteidigungsmassnahmen in Schichten
Wie bei der physischen und personellen Sicherheit kann die Cybersecurity auf mehrere Massnahmen zurückgreifen, die (bei gleichzeitiger Umsetzung) dazu beitragen, die Wahrscheinlichkeit eines Single Point of Failure zu verringern. Dieser Ansatz wird allgemein als „tiefgehende Verteidigung“ bezeichnet. Jede Massnahme bietet eine Sicherheitsebene und wird gemeinsam eingesetzt, um die Wahrscheinlichkeit eines Cybervorfalls erheblich zu reduzieren. Sobald Sie Ihre Cybersicherheits-Baseline festgelegt haben, können Sie sich darauf konzentrieren, Ihre Abwehrkräfte um diejenigen Dinge zu schichten, die für Sie am wichtigsten sind – oder besonders wertvoll für jemand anderen.
Schutz vor jemandem in Ihrem Netzwerk
Die Verteidigung endet nicht an der Grenze Ihres Netzwerks. Eine gute Verteidigung setzt voraus, dass ein Angreifer auf Ihr System zugreifen kann und arbeitet daran, den Schaden, den er anrichten kann, zu minimieren, sobald er sich in ihm befindet. Eine der wichtigsten Massnahmen, die Sie ergreifen können, um mögliche Schäden zu begrenzen, ist die Einschränkung ihrer Bewegung und ihres Zugangs. Die effektive Verwaltung von Benutzerrechten und die Trennung Ihres Netzwerks sind gängige Ansätze. Die schnellstmögliche Identifizierung eines Angreifers in Ihrem System hilft auch, den Schaden zu begrenzen, den er verursachen kann. Überwachung und Protokollierung sind der Schlüssel, um Anzeichen von bösartigen Aktivitäten erkennen zu können.
Diese Massnahmen werden auch dazu beitragen, die Bedrohung durch einen bösartigen Insider zu mindern; jemanden, der legitimen Zugriff auf Ihre Systeme hat, diesen Zugriff aber dann nutzt, um Schaden anzurichten. Diese Bedrohungen unterscheiden sich in Potential und Absichten, von einem verärgerten Mitarbeiter bis hin zur Unternehmensspionage.
Überprüfung und Bewertung Ihrer Massnahmen
Gute Cybersecurity ist ein kontinuierlicher Kreislauf, in dem es darum geht, die richtigen Informationen zu haben, fundierte Entscheidungen zu treffen und Massnahmen zur Risikominderung zu ergreifen. Sie müssen Ihre Abwehrmassnahmen kontinuierlich bewerten und anpassen, wenn sich die Bedürfnisse Ihrer Organisation und das Profil der Bedrohung ändern. Um dies zu tun, ist es wichtig, eine Möglichkeit zu haben, um zu beurteilen, ob Ihre Verteidigung effektiv ist.
Es gibt mehrere Mechanismen, um die Wirksamkeit Ihrer Sicherheitskontrollen technisch zu bewerten. Dies kann beispielsweise das Testen der Sicherheit Ihrer Netzwerke (Pen-Testing) bis hin zur Zertifizierung von Produkten oder Dienstleistungen umfassen. Sie können eine Kombination aus internen Mechanismen und objektiver Bewertung durch eine externe Quelle verwenden.
Der Kontakt mit dem Personal hilft Ihnen auch, sich ein genaueres Bild von den Verteidigungmechanismen Ihrer Organisation zu machen. Es gibt Ihnen auch die Möglichkeit, wertvolle Anregungen von Mitarbeitern zu erhalten, wie Richtlinien oder Prozesse verbessert werden können. Kennzahlen oder Indikatoren können Ihnen auch sagen, wo Sie Ihren Ansatz ändern oder sich an neue Gegebenheiten anpassen müssen. Wenn Sie genau verstehen wollen, was ein Indikator Ihnen sagt, müssen Sie möglicherweise die Situation genauer untersuchen. Ein Beispiel ist die Anzahl der Personen, die verdächtige E-Mails melden. Ein Rückgang der Anzahl der Personen, die eine solche Meldung machen, kann entweder bedeuten, dass weniger bösartige E-Mails in die Posteingänge der Personen gelangen, oder es könnte bedeuten, dass weniger Personen Bedenken melden, weil sie kein Feedback erhalten, wenn sie es tun, und daher glauben, dass nichts danach getan wird.
Was wäre ein gutes Vorgehen?
Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was „gute“ Cybersecurity ausmacht, wenn es darum geht, die Cybersicherheitsmassnahmen Ihrer Organisation zu bewerten.
Frage 1
Wie stellen wir als Unternehmen sicher, dass unsere Massnahmen effektiv sind?
Sie können diese Informationen einholen durch:
- Penetration Tests, die von einer externen Organisation durchgeführt werden, und Massnahmen, die auf der Grundlage ihrer Ergebnisse ergriffen werden.
- Automatisiertes Testen Ihrer Abwehrmassnahmen und Überwachung der Aktivitäten in Ihren Netzwerken durch Ihr IT-Sicherheitsteam.
- Bei der Überprüfung von Abwehrmassnahmen anhand geeigneter Standards/Normen kann es sich um einen internen Review oder einen unabhängigen Berater handeln.
- Sicherstellung, dass Bedrohungsbeurteilungen und Verteidigungsprioritäten regelmässig überprüft und die Abwehrmassnahmen entsprechend aktualisiert werden.
- Sicherstellen, dass der Fokus Ihrer Cybersicherheitsmassnahmen auf die Risiken ausgerichtet ist, die Sie identifiziert und priorisiert haben.
Frage 2
Als Unternehmen, welche Massnahmen ergreifen wir, um den Schaden zu minimieren, den ein Angreifer in unserem Netzwerk anrichten könnte?
Bedenken Sie Folgendes:
- Wie Sie Benutzer oder Systeme authentifizieren und ihnen Zugriff gewähren. Sie möchten sicherstellen, dass diese Massnahmen nicht einfach zu umgehen sind und Sie nur autorisierten Zugriff gewähren.
- Wie Sie die Präsenz eines Angreifers in Ihren Netzwerken erkennen würden – normalerweise durch Überwachung.
- Wie Sie Ihr Netzwerk so trennen, dass ein Angreifer, wenn er Zugang zu einem Gerät erhält, nicht auf Ihre gesamte IT-Landschaft zugreifen kann.
Frage 3
Implementieren wir als Unternehmen Cyber-Sicherheitskontrollen, um uns gegen die häufigsten Angriffe zu schützen?
Wie wehren wir uns als Unternehmen gegen Phishing-Angriffe?
- Wir filtern oder blockieren eingehende Phishing-E-Mails.
- Wir stellen sicher, dass externe Post als extern gekennzeichnet wird.
- Wir stoppen Angreifer, unsere eigenen E-Mails zu „fälschen“.
- Wir helfen unseren Mitarbeitern, verdächtige E-Mails zu identifizieren und zu melden.
- Wir begrenzen die Auswirkungen von Phishing-Angriffen, die durchkommen.
Wie kontrollieren wir als Unternehmen die Verwendung von privilegierten IT-Konten?
- Wir verwenden „geringste Privilegien“ bei der Einrichtung von Mitarbeiterkonten.
- Wir reduzieren die Auswirkungen von Angriffen, indem wir privilegierte Konten kontrollieren.
- Wir haben starke Verbindungen zwischen unseren HR-Prozessen und der IT Account-Funktion.
Wie stellen wir als Unternehmen sicher, dass unsere Software und Geräte auf dem neuesten Stand sind?
- Wir haben Prozesse definiert, um alle ausnutzbaren Schwachstellen in unserem technischen Bestand zu identifizieren, zu analysieren und zu beheben.
- Wir haben einen ‚End of Life Plan‘ für Geräte und Software erstellt, die nicht mehr unterstützt werden.
- Unsere Netzwerkarchitektur minimiert den Schaden, den ein Angriff verursachen kann.
- Wir nutzen angemessen Drittanbieter- oder Cloud-Services und konzentrieren uns darauf, wo wir den grössten Einfluss haben können.
Als Unternehmen, welche Authentifizierungsmethoden werden verwendet, um den Zugriff auf Systeme und Daten zu kontrollieren?
- Wir ergreifen Massnahmen, um die Verwendung sinnvoller Passwörter zu fördern.
- Wir stellen sicher, dass Passwörter die Mitarbeiter nicht unverhältnismässig belasten.
- Wir implementieren nach Möglichkeit eine Zwei-Faktor-Authentifizierung (2FA).
https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/