Eine Einführung für die Geschäftsleitung (Teil 6)
Die Art der Bedrohung wird durch die Art der Organisation und die Dienstleistungen einer Organisation bestimmt. So wird beispielsweise die überwiegende Mehrheit der Organisationen nicht gezielt von Nationalstaaten angesprochen und kann sich daher auf die Bedrohungen durch Cyberkriminelle konzentrieren. Organisationen, die Teil des Sektors für kritische nationale Infrastrukturen und Verteidigungsanlagen sind oder Dienstleistungen für diese erbringen, können jedoch durch Nationalstaaten gefährdet sein.
Das Verständnis der Bedrohungen, denen Ihr Unternehmen ausgesetzt ist, sei es für sich allein oder aufgrund der Tatsache, mit wem Sie zusammenarbeiten, ermöglicht es Ihnen, den Ansatz Ihres Unternehmens für Investitionen in Cybersecurity entsprechend anzupassen. Sie müssen bewusst entscheiden, gegen welche Bedrohung Sie sich verteidigen wollen, sonst riskieren Sie, sich gegen alles verteidigen zu wollen, und dies erst noch ineffizient.
Cybersecurity: Was sollte die Geschäftsleitung tun?
Verstehen Sie die Bedrohung.
Ein Verständnis der Cybersecurity-Bedrohungslandschaft ist der Schlüssel, um der Geschäftsleitung dabei zu helfen, gut informierte Governance-Entscheidungen zu treffen. Beispielsweise können Sie sich anders auf eine Fusion mit einem Unternehmen vorbereiten, wenn Sie wissen, dass sie wichtige Produkte oder Dienstleistungen für kritische nationale Infrastrukturen schaffen und daher ein Ziel für einen Nationalstaat sein können. Die Geschäftsleitung wird bereits einen Einblick in die Bedrohungen oder Herausforderungen ihres Sektors haben. Dies sollte durch ein Bewusstsein für die Motivationen von Angreifern und einen Mechanismus ergänzt werden, um über wichtige Entwicklungen der Cybersecurity (z.B. das Wachstum von Ransomware) auf dem Laufenden zu bleiben.
Cybersecurity: Security-Zusammenarbeit
Eine der besten Informationsquellen über bewährte Verfahren und relevante Bedrohungen können Ihre Branchenkollegen sein. Angreifer richten sich oft in ähnlicher Weise gegen eine Reihe von Organisationen im gleichen Sektor. Die Pflege dieser kooperativen Beziehungen im Bereich der Sicherheit hat zwei grosse Vorteile. Erstens kann es dazu beitragen, die Widerstandsfähigkeit der eigenen Organisation zu erhöhen, indem es frühzeitig vor Bedrohungen warnt und die Cybersicherheitspraxis verbessert. Zweitens trägt es dazu bei, die Widerstandsfähigkeit des gesamten Sektors zu erhöhen, was die Attraktivität für potenzielle Angreifer verringern kann.
Cybersecurity: Bewerten Sie die Bedrohung
Die Ausarbeitung der für Ihre Organisation relevanten „Bedrohungsakteure“ (die Gruppen oder Einzelpersonen, die in der Lage sind, einen Cyberangriff durchzuführen) kann Ihnen helfen, Entscheidungen darüber zu treffen, gegen was Sie sich aktiv verteidigen werden. Obwohl Investitionen in eine gute Ausgangsbasis für Cyber-Sicherheitskontrollen dazu beitragen, Ihr Unternehmen vor den häufigsten Bedrohungen zu schützen, kann die Implementierung effektiver Abwehrmassnahmen gegen einen gezielteren oder nachhaltigeren Angriff kostspielig sein. Abhängig von der Wahrscheinlichkeit und den Auswirkungen dieser Bedrohung könnten Sie entscheiden, dass es sich nicht lohnt, diese zusätzlichen Investitionen vorzunehmen.
Die laufende Diskussion zwischen der Geschäftsleitung und Experten wird Ihnen helfen, die Bedrohungen zu priorisieren, gegen die Sie sich aktiv wehren können. Die Experten werden ein vertieftes Verständnis der Bedrohung haben, und die Geschäftsleitung wird in der Lage sein, die Merkmale der Organisation zu identifizieren, die sie zu einem attraktiven Ziel für Angreifer machen könnten. Es ist auch wichtig, diese Diskussion vor jeder Entscheidung zu führen, die das Bedrohungsprofil der Organisation erheblich verändern wird, um dem technischen Personal die Zeit zu geben, die Cybersecurity der Organisation entsprechend anzupassen.
Cybersecurity: Zusammenarbeit mit Lieferanten und Partnern
Bei der Beurteilung der Bedrohung sollten Sie nicht nur den Wert berücksichtigen, den Sie als eigenständige Organisation haben könnten, sondern auch den Wert, den Sie als Weg in eine andere, möglicherweise grössere Organisation darstellen können. Beispielsweise können Sie wichtige Dienstleistungen für eine Organisation erbringen, die an der kritischen nationalen Infrastruktur beteiligt ist. In diesem Fall kann ein Nationalstaat Ihre Organisation angreifen, um Zugang zu seinem eigentlichen Ziel zu erhalten.
Cybersecurity: Was sollte Ihre Organisation tun?
Unterschätzen Sie nicht die Auswirkungen ungeplanter Angriffe
Bei einem ungerichteten Angriff erreicht ein Angreifer mit einem «Giesskannenprinzip»-Ansatz Tausende potenzieller Opfer auf einmal, anstatt ein bestimmtes Opfer anzugreifen. Angreifer verwenden oft automatisierte, weit verbreitete Tools, die öffentlich zugängliche Websites nach bekannten Schwachstellen durchsuchen. Das gleiche Tool wird dann, sobald eine Schwachstelle gefunden wurde, diese Website automatisch ausnutzen, unabhängig davon, zu wem sie gehört. Dies könnte genauso viel Einfluss auf Ihre Organisation haben wie ein gezielter Angriff. Eine gute Grundlage für grundlegende Cyber-Sicherheitskontrollen und -prozesse schützt Ihr System vor den meisten dieser Angriffe.
Beschaffen Sie sich gute Informationen – und nutzen Sie sie
Sie benötigen verschiedene Arten von Bedrohungsinformationen für verschiedene Zwecke. Für Governance-Entscheidungen ist ein gutes Gesamtbild der Bedrohungen erforderlich, und für alltägliche und taktische Entscheidungen sind zeitnahe Informationen über Bedrohungen erforderlich. Viele Partner aus Industrie und Verwaltung bieten Informationen über Bedrohungen, von jährlichen Berichten über allgemeine Trends bis hin zu hochtechnischen Berichten über eine bestimmte Art von Malware. Sie benötigen daher einen Mechanismus, um zu ermitteln, welche Informationen Ihre Organisation benötigt, zu welchem Zweck und um diese Informationen intern zu teilen. Entscheidend ist, dass Sie diese Informationen nutzen, um Geschäftsentscheidungen zu treffen, einschliesslich Beschaffung, Outsourcing, Training, Richtlinien und Verteidigung Ihrer Netzwerke.
Sie können auch intern Bedrohungsinformationen sammeln. Sie werden wahrscheinlich Erfahrung mit Angriffen auf Ihre eigene Organisation haben, die strategische Einblicke in die Aktivitäten von Bedrohungsakteuren sowie taktische Details über die Methoden der Bedrohungsakteure liefern können. Diese spezifischen Details werden wahrscheinlich aus der Protokollierung oder Überwachung innerhalb Ihrer Organisation entstehen.
Cybersecurity: Was wäre ein gutes Vorgehen?
Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was „gute“ Cybersecurity ausmacht, um die Bedrohung der Cybersecurity für Ihr Unternehmen zu verstehen.
Frage 1
Welche Bedrohungen bewerten wir als relevant für unser Unternehmen und warum?
Diese Analyse sollte:
- Identifizierung der potenziellen Motivation für diese Bedrohungen und der Wahrscheinlichkeit, dass sie sich auf Ihre Organisation richten.
- Beeinflussen, welche Risiken Sie bereit sind zu tolerieren.
- durch die Zusammenarbeit mit wichtigen Partnern in Ihrer Branche angereichert werden.
- durch Beweise aus den bisherigen Angriffen gestützt werden
Frage 2
Wie bleiben wir als Unternehmen über die Cyber-Bedrohung auf dem Laufenden?
Sie können:
- versuchen, Beweise für Angriffe in Systemprotokollen zu finden, die Sie möglicherweise besitzen.
- Abonnieren Sie eine Reihe von Feeds mit Informationen über Bedrohungen.
- Teil einer branchenspezifischen Intelligence-Sharing-Gruppe sein.
- über Mechanismen verfügen, um wichtige Updates von Cyber-Bedrohungen intern zu teilen.
Frage 3
Wie nutzen wir als Unternehmen Bedrohungsinformationen, um den Normalbetrieb zu unterstützen?
Dies sollte ein kontinuierlicher Zyklus mit Gefährdungsbeurteilungen sein, die die Normalbetriebsentscheidungen beeinflussen und Normalbetriebserfahrungen, die in die Gefährdungsbeurteilungen einfliessen. Beispiele hierfür können sein:
- Bewertung der Wahrscheinlichkeit und der Auswirkungen von Bedrohungen als zusätzliche Information für Risikobewertungen und -appetit
- Aufklärung der Mitarbeiter über die wichtigsten Bedrohungen, denen sie ausgesetzt sind, damit sie fundierte Entscheidungen treffen können.
- Lehren aus früheren Vorfällen ziehen, die in Bedrohungsbewertungen einfliessen.
- Nutzung von Bedrohungsinformationen zur Fokussierung von Abwehrmassnahmen
- Berücksichtigung von Bedrohungen bei Änderungs- oder Beschaffungsentscheidungen (z.B. bei der Auswahl eines neuen IT-Anbieters, bei der Prüfung einer möglichen Fusion oder bei der Entwicklung eines neuen Produkts)
https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/