Sichere Digitalisierung im August: Effektive Umsetzung von Cybersicherheit für Entscheider
Herzlich Willkommen zu unserem Newsletter!
Hier geben wir hier einen Überblick über geplante Aktivitäten und beleuchten jeden Monat einen Aspekt sicherer Digitalisierung.
Interessante Aktivitäten im August:
LinkedIn-Livestream am Donnerstag, den 29.08.2024, 12:00h: „Cyberklartext: Lösungsansätze für den Cyber-Fachkräftemangel“ mit Jana Bodenstedt, Geschäftsstellenleiterin des eurobits e.V. und Leiterin des vom Ministerium für Wirtschaft, Industrie, Klimaschutz und Energie des Landes Nordrhein-Westfalen geförderten Forschungsprojekts „ewa — eurobits women academy“, und Sonna Barry, VP Business Development & Strategy. Melden Sie sich hier an.
Sichere Digitalisierung im August: Effektive Umsetzung von Cybersicherheit für Entscheider
Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk finden Sie hier.
Bastian Helms, ein erfahrener IT-Projektleiter mit Fokus auf Cybersicherheit und IT-Transformation, hat für den diesmonatigen Newsletter seine Expertise mit uns geteilt. Er arbeitet in seiner täglichen Arbeit eng mit Geschäftsführung und IT zusammen und weiß genau, worauf es bei der Umsetzung von Cybersicherheits-Maßnahmen für Entscheider ankommt.
Die Implementierung von Cybersicherheitsmaßnahmen gleicht dem Hauskauf. Der Entscheider hat die Verantwortung für den passenden Umbau muss gleichzeitig sichergehen, dass die Statik des Hauses durch die Maßnahmen nicht gefährdet wird. Ein gewisses Basiswissen kann vorausgesetzt werden, doch die Geschäftsführung hat, genau wie ein Hauskäufer, nicht zwingend tiefergehende Expertise. Entscheidungen müssen deswegen häufig nach bestem Wissen und Gewissen getroffen werden und man sichert sich optimalerweise mit echter Expertise ab, wo es notwendig ist.
Ein ohne Absicherungen auf Sand gebautes Haus sollte man nicht kaufen. Genauso gibt es in der Cybersicherheit bestimmte Themen, die bei der Planung von Cybersicherheits-Maßnahmen dringend zu berücksichtigen sind. Diese Aspekte sind nicht zwingend regulatorisch vorgegeben sondern häufig Best Practises, die sich durch die Entwicklungen in der Cybersicherheit konstant entwickeln und erneuern. In der Umsetzung müssen Entscheider sowohl technische als auch organisatorische Themen berücksichtigen. Zentral ist es, strategische Zusammenhänge zu sehen und zu verstehen. Es ist nicht Aufgabe der Geschäftsführung sich mit jedem technischen Aspekt im Detail auszukennen. Geschäftsführer tragen, da sie die Verantwortung für die Risikomitigierung innehaben, das Cybersicherheitsrisiko des Unternehmens und sollten deshalb auch hier eine bestmögliche Absicherung des Unternehmens erreichen. Doch wie stellt man das am besten an?
Entscheider brauchen vollumfängliche Übersicht und Klarheit bezüglich sämtlicher Cybersicherheits-Anforderungen.
Regulatorische Anforderungen wie BSI-Grundschutz oder in Zukunft NIS2 können gute Richtlinien bieten, wie die eigene Cybersicherheit optimiert werden kann. In der Umsetzung müssen für Bastian Helms im ersten Schritt zwei wichtige Punkte erfüllt werden:
- Übersetzen Sie regulatorische Anforderungen in eine für sämtliche Beteiligte nachvollziehbare Sprache
Als Entscheider mit sehr technischen Hintergrund mag es leichtfallen, regulatorische Vorgaben so zu „übersetzen“, dass andere (auch fachfremde) Teammitglieder sie direkt verstehen können. Ohne diese Expertise empfiehlt es sich Unterstützung zu suchen.Bastian Helms empfiehlt, bei allen Punkten, die nicht direkt verstanden oder nachvollzogen werden können, nachzufragen. Erst wenn bei allem 100% klar ist, welche Anforderungen genau umgesetzt werden sollen, können passende Lösungsansätze entwickelt werden.
Für die Übersetzung in ein realistisches Umsetzungsszenario empfiehlt Bastian Helms die Anforderungen zu clustern und zu kategorisieren: Welche Maßnahmen sind erforderlich, um eine bestimmtes Ergebnis zu erreichen?
- Seien sie so präzise wie möglich.
Projektpläne werden häufig gegen Budgets gemappt. Es muss genügend Geld eingeplant sein, um das gewünschte Ergebnis abzusichern. Ist das nicht der Fall, muss entweder das Budget erhöht oder der Projektumfang reduziert werden. Dafür muss sich auf zentrale Kerninhalte geeinigt und die mit ihnen zusammenhängenden Umsetzungsprozesse in den Fokus zu gestellt werden. Es lohnt sich, in der Planungsphase mehr Zeit und Ressourcen zu investieren, um den Lösungsansatz bzw. das gewünschte Zielergebnis zu genau wie möglich zu definieren und mit sämtlichen beteiligten Parteien abzustimmen.
Analyse des aktuellen Cybersicherheits-Status Quo vor Planungs- und Umsetzungsphase
Es hilft nach Bastian Helms Erfahrung sehr, in der Analysephase mit Tool-basierten Analyseergebnissen zu arbeiten. Durch diesen Schritt erhalten Entscheider eine ehrliche und neutrale Übersicht über den aktuellen IST-Zustand der Cybersicherheit des Unternehmens. Es gibt inzwischen preiswerte Lösungen, die automatisierte Netzwerk-Scans oder Checks des Active Directories anbieten, es muss nicht gleich ein teuer Pentest sein. In der Regel bieten diese Scans als Ergebnis eine Analyse, die zeigt, wo aktuelle Schwachstellen liegen und welche Risiko-Potentiale sich dadurch aktuell ergeben.
Der Anforderungskatalog in Verbindung mit einer solchen Übersicht über Schwachstellen und Risiken innerhalb der aktuellen IT-Infrastruktur macht Entscheider deutlich handlungsfähiger: Der Datenexport aus dem Analysetool liefert ohne Bias eine Übersicht über aktuelle Sicherheitsherausforderungen in der IT inklusive Risikoprofil. Auf dieser Basis können klar und präzise dringende Sicherheitsmaßnahmen und regulatorischen Vorgaben gruppiert, nach Risikoprofil gerankt und in einen Projektplan überführt werden. Die Entwicklung dieses Projektplans sollte VOR eventuellen Angebots- und tatsächlicher Kapazitäts- und Umsetzungsplanung geschehen. Außerdem sollte das Ergebnis vom Team gegengeprüft werden um sicherzugehen, dass die aktuelle Projektplanung Risikoanforderungen, Budget und Anforderungskatalog bestmöglich gerecht wird.
Legen Sie den Fokus auf einen ganzheitlichen Überblick
Beim Hauskauf sollte vorab geprüft werden, ob Mängel wie z.B. Feuchtigkeit in den Wänden vorhanden sind. Dies erst nach Kauf und abgeschlossener Renovierung festzustellen, ist mit hohen Kosten verbunden. Die IT ist ein sehr umfangreicher Bereich und ohne Vorabprüfungen können ungewollt ähnliche Effekte entstehen: Viele Dienstleistern haben Expertise in klar definierten Bereichen und verfügen über keinen ganzheitlichen Überblick. So kann es passieren, dass man ohne Anforderungskatalog und IST-Analyse auf deren Empfehlung Services oder Dienstleistungen einkauft, für die aktuell noch kein dringender Bedarf besteht. Dafür fehlt in der Folge für zentral wichtige Themen, die seitens dieses Dienstleisters nicht wahrgenommen wurden, Budget. So löst sich z.B. das Problem der administrativen Sicherheit nicht allein durch den Einsatz einer Privileged Access Management-Lösung (PAM). Es müssen Schwachstellen und Einfallsszenarien analysiert, durchgespielt und darauf basierend ein Maßnahmenkatalog zu ihrer Auflösung erstellt werden (der als ein Element von vielen auch eine PAM-Lösung enthalten kann).
Klar und präzise formulierte Anforderungen sind also wichtig. Doch wie gelingt es Entscheidern, auch schon während dieses Prozesses Angreifern das Leben so schwer wie möglich zu machen?
Es ist nie genug Budget vorhanden, um sämtliche Cybersicherheits-Anforderungen direkt umzusetzen.
Anforderungen müssen mit Hilfe der IST-Analyse kategorisiert und priorisiert werden: Welche Maßnahmen lösen welches definierte Kernproblem? Welches Kernproblem hat welche Priorisierung und in welcher Reihenfolge sollten es abgearbeitet werden? Auf diese Weise können direkte Umsetzungserfolge erzielt werden, ohne den Überblick zu verlieren. mit dieser Arbeitsweise kann in Etappen eine ganzheitliche Cybersicherheits-Lösung erreicht werden, während die Geschäftsführung Stakeholdern gegenüber konstant signifikante Etappenerfolge aufzeigen kann.
Ein ganzheitlicher Ansatz verhindert „Schlupflöcher“ für Angreifer
Je ganzheitlicher die IT (z.B. Anwendungs- Infrastruktur, Netzwerk, etc.) gesehen wird, desto effektiver wird verhindert, dass „Schlupflöcher“ für Angreifer übersehen werden. Bastian Helms empfiehlt den Einsatz eines Enterprise- oder Solution-Architekten, der Bestehendes und Annahmen analysiert und aus seiner Gesamtübersicht heraus Empfehlungen gibt. Zudem sollten sämtliche Abteilungen miteinbezogen werden: Nur sie können die jeweils betriebsrelevanten Prozesse, Applikationen und Informationen für ihren Bereich definieren.
Ein Beispiel: für Hacker sind Credentials ein optimales Ziel, die möglichst weitgreifenden Zugriff auf sensitive Informationen bieten. In Microsoft-basierten Unternehmen ist häufig das Active Directory der zentrale Anlaufpunkt für Authentifizierung und Autorisierung. Deswegen steht es im Cybersicherheits-Anforderungskatalog in der Regel im Fokus. Einem Systemarchitekten würde allerdings direkt ins Auge fallen, wenn es weitere wichtige, mit sensitiven Informationen oder Entscheidungskontrollen ausgestattete, Systeme im Unternehmen gibt, die nicht das Active Directory für Anmelde-Prozesse nutzen. Wenn also „nur“ das Active Directory gegen Cyberattacken abgesichert wird, bleibt diese Flanke ungeplant offen. Ein ganzheitlicher Ansatz verhindert Silodenken: Die Absicherung der IT wird systemübergreifend angegangen.
Der nächste Schritt nach Analyse und Bekämpfung aktuell wichtiger Schwachstellen und der Erstellung eines Umsetzungsplans zur Erfüllung zentraler regulatorischer Anforderungen ist die Entwicklung einer Cybersicherheits-Strategie. Wie ist dies unabhängig von firmeneigenen Ressourcen, Kompetenzen und Kapazitäten möglich?
Das Fehlen einer Cybersicherheits-Strategie erhöht das Unternehmensrisiko
Ein Risiko beim Thema Cybersicherheit ist, dass die Entwicklung einer Cybersicherheits-Strategie durch Mangel an Lust, Zeit und/oder Expertise erstmal zurückgestellt wird. Dies sollte vermieden werden: Das Fehlen einer Cybersicherheits-Strategie kann z.B. zum Entstehen von „Schatten-IT“ beitragen: Es werden Software, Applikationen oder Devices „an der IT vorbei“ angeschafft und innerhalb der IT-Infrastruktur unkontrolliert verwendet. Shadow-IT erweitert die Cyberangriffsfläche des Unternehmens, denn was man nicht kennt, kann man nicht effektiv absichern.
Um zu verhindern, dass bei der Entwicklung direkt in Restriktionen und realistischen Möglichkeiten gedacht wird, empfiehlt es sich laut Bastian Helms, im ersten Schritt die Cybersicherheits-Strategie so zu durchdenken, als ob keinerlei Restriktionen eine Rolle spielen: Was für Cybersicherheit machen wir in einer perfekten Welt?
Der sich so ergebende Ansatz ist sicherlich utopisch, verhindert aber, dass wichtige sicherheitsrelevante Herausforderungen aus Pragmatismus übersehen bzw. nicht durchdacht werden. Aus Entscheider-Perspektive ist der ganzheitliche Ansatz zentral. Die zusätzlich notwendige Arbeit ihn zu erstellen, wird durch bestmögliche Übersicht und effektivere, problemfokussiertere Handlungsmöglichkeiten belohnt. Mit einem diverseren Expertenteam zu arbeiten, macht die Strategie besser. Bestmögliche Absicherung der IT ist nur dann möglich, wenn sie reibungsfrei ablaufen kann. Dafür müssen alle Betroffenen Abteilungen an der Entwicklung der Cybersicherheits-Strategie beteiligt sein. Für einzelne Abteilungen wird es möglich, Cybersicherheits-Maßnahmen, die ggf. Geschäftsprozesse verlangsamen können, mitzutragen, wenn sie die Hintergründe verstehen. Eine Übersicht über aktuelle Maßnahmen, Reportings, Roadmap und Strukturen ist zudem nicht nur für interne Meetings wichtig, sondern auch bei Audits oder anderen Kontrollen relevant.
Wie verifiziert man, ob das, was Berater oder Reports der Geschäftsführung kommunizieren, implementiert und umgesetzt wurde?
Für Entscheider müssen über Fortschritt und aktuellen Stand des Cybersicherheits-Projekts informiert bleiben. Bastian Helms empfiehlt zu diesem Zweck die Definition präziser Projekt-Meilensteine und klar nachvollziehbarer Deliverables in Verträgen und Projekt. Gleichzeitig ist es wichtig sicherzugehen, dass das, was in Meilenstein- und anderen Meetings kommuniziert wird, der tatsächlichen Unternehmensrealität entspricht. Hier hilft ein erneuter automatisierter Scan der IT bzw. Pentests, um den aktuellen Stand der Cybersicherheit abzubilden. Im besten Fall sollten die Scans durch eine unabhängige Entität durchgeführt werden, um Betriebsblindheit zu verhindern und optimale Neutralität zu erreichen. Die gewonnenen Ergebnisse sollten im Vergleich mit den Ergebnissen aus dem ersten Scan signifikante Veränderungen aufzeigen. Ist dem nicht so, ist der im Meetings kommunizierte Fortschritt offensichtlich nicht erzielt worden.
Zusammenfassend benötigen Entscheider
- Klarheit, wie genau regulatorische und zusätzliche sicherheitsrelevante Anforderungen definiert sind,
- ein ganzheitliches Cybersicherheitskonzept, das dies gesamte IT abteilungsübergreifend miteinbezieht, und
- messbare Umsetzungsergebnisse, die sicherstellen, dass die Umsetzung der Cybersicherheitsanforderungen tatsächlich zu Verbesserungen führt sowie
- kontinuierliches Weiterverfolgen und Weiterentwickeln der Cybersicherheitsstrategie, um auch für zukünftige Entwicklungen jederzeit gewappnet zu sein.