Back-to-School: Aus dem Klassenzimmer vom CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI Grundschutzhandbuch und die Teilnehmenden bereiten sich begleitend auf die CISSP Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP oder BSI Fachthema als Blogpost aufzubereiten:

Information Security:

Cybersecurity – Was heisst das für Unternehmen?

Heutzutage ist Cyber-Security für Unternehmungen mehr im Fokus denn je. Milliarden von Daten werden täglich über Netzwerke transferiert und Produkte durch Klick auf den „Kaufen-Button“ nach Hause geliefert. Heute kaum mehr wegzudenken ist der Datenaustausch Teil des Alltags geworden und bildet die Basis der modernen Wirtschaft. Die Digitalisierung von Geschäftsprozessen ermöglicht einerseits weltweit neue innovative und effiziente Lösungen, birgt dabei gleichzeitig aber auch neue Gefahren. Im Gegensatz zur klassischen IT-Sicherheit wird heute ein umfassenderes Sicherheits-denken vom Management und den Sicherheitsverantwortlichen verlangt, das neben dem Internet sämtliche Cyber-Räume berücksichtigen muss. Cyber-Security umfasst zudem den Schutz auf sämtlichen Schichten, vom physischen Schutz der Infrastruktur und des Kommunikationsnetzes, über den Schutz in Applikationen und bei der Übertragung von Daten bis hin zu externen Cloud-Diensten. Waren es 1997 gemäss dem Bundesamt für Statistik noch 6.8% der Schweizer Bevölkerung, die das Internet mehrmals pro Woche benutzt haben, waren es 2016 bereits durchschnittlich 85.2%. Mit angestiegener Komplexität der Technologien und Vernetzung der IT-Systeme sowie dem schnellen Wandel der Zeit, ist es alles andere als einfach, die richtigen Massnahmen gegen Cyber-Angriffe zu treffen.

Staatliche Akteure mit viel Zeit, Geld und Know-how als Angreifer

Die Motivation hinter Cyber-Angriffen ist unterschiedlicher Natur und reicht von banalem Erlangen medialer Präsenz bis hin zum Erreichen bestimmter Ziele mittels sehr grossem zeitlichen und finanziellen Ressourcenansatz: Bildquelle: Klassifikation von Angreifern, Swisscom AG, August 2015 Die Täter können einzeln, in Gruppen oder gar als Regierungsorganisationen mit sehr hohem Know-how und finanziellen Möglichkeiten auftreten und nutzen Schwachstellen im System aus, um von aussen einzudringen. Das BSI geht in ihrem Lagebericht 2016 darüber hinaus von nahezu 600 Mio. bekannter Schadsoftware aus, wobei täglich ca. 380’000 neue Varianten gesichtet werden. Häufigste Infektionswege sind E-Mail-Anhänge, Drive-by-Downloads beim Besuch von Webseiten oder Links auf Schadprogramme. Es gilt die verschiedenen Arten von Angriffen und insbesondere die eigenen Schwachstellen zu kennen.  Jedes Unternehmen verwaltet verschiedene Arten von sensiblen Daten, die in den falschen Händen Schaden herbeiführen können. Was bedeutet es, wenn einem Pharmaunternehmen geheime Rezepturen, einem Dienstleister sein Lieferantennetzwerk, einem Softwareunternehmen der Source-Code oder einer Militärbehörde die Namen der Angehörigen eines Sonderkommandos entwendet werden? Was, wenn die Steuerung eines Kraftwerks betroffen ist? Neben Diebstahl und damit verbundenen Vertraulichkeitsthematiken birgt auch unbemerktes Verändern und das Nichtverfügbarsein von Daten je nach Art und Unternehmung eine ernstzunehmende Gefahr. Die Handelsabteilung einer Bank ist handlungsunfähig und erleidet hohe Umsatzeinbussen, wenn sie ihre Transaktionen nicht zeitgerecht an die Börse übermitteln kann. Warum sollte zudem der moderne Bankräuber eine Bank überfallen, wenn mit 500 Mio. gestohlener User-Accounts oder Kreditkarteninformationen auf dem Schwarzmarkt je nach Güte der Daten bis zu 2 Mia. Dollar herausgeschlagen werden können? Der Reputationsschaden ist nebst rechtlichen und finanziellen Auswirkungen immens und kann ein Unternehmen im schlimmsten Fall in den Ruin treiben. Dabei ist es letztendlich von geringer Bedeutung, ob wie im Fall der US-Pizzakette Cicis Malware in das Kassensystem eingeschleust wurde oder wie im Fall von Sony Playstation oder Adobe Systems das Serviceportal gehackt und Millionen von Kunden-Zahlungsdaten entwendet wurden. Eine Unternehmung sollte sich mittels Unterstützung durch ein ISMS (Information Security Management System) dem Wert ihrer Daten bewusst sein, sodass der Schutz explizit und den Kosten entsprechend danach ausrichtet werden kann. Assets werden nach Anwendungsbereich, Bedrohung, Schwachstellen und dem Schutzgrad der Massnahmen bewertet.

Die Führungsebene übernimmt Verantwortung

Cyber-Security gehört analog dem internen Kontrollsystem und Compliance-Thematiken mittlerweile zu den Verantwortungsbereichen der Unternehmensführung:

• Das Bekenntnis zu einer umfassenden Bekämpfung von Cyber-Risiken und die Übernahme der Verantwortung muss vorhanden sein
• Personelle, zeitliche und finanzielle Ressourcen wie auch Verantwortlichkeiten müssen zugeteilt und eine Sicherheitsorganisation aufgebaut und unterhalten werden
• Die ausgearbeiteten Sicherheitskonzepte mit entsprechenden Kontrollen und Massnahmen müssen in die Prozesse integriert und zukünftig mittels Zielvorgaben gesteuert werden

Damit eine ganzeinheitlich betrachtete Sicherheitsstrategie ermöglicht werden kann, muss der vielmals in der Vergangenheit beobachteten Entkoppelung der IT entgegengewirkt werden. Der grossen Anzahl an Risiken kann vor allem mit einer breitgefächerten Denkweise und Involvierung aller Beteiligten mit Betrachtung der Geschäftsprozesse und zugrundeliegender IT entgegengewirkt werden. Technische Massnahmen alleine reichen nicht mehr aus. Auch ist ein hundertprozentiger Schutz nicht möglich, sodass Massnahmen – auch aus Effizienzüberlegungen – priorisiert werden müssen. Selbstverständlich ist es ebenfalls von zentraler Bedeutung, dass das Management seine Vorbildfunktion wahrnimmt und mit guten Beispiel vorangeht. Eine Unternehmung muss sich dem Wert seiner Assets und den damit verbundenen Gefahren bewusst sein und Massnahmen aktiv bewirtschaften. Ein allumfassendes Sicherheitsmanagement ist nur möglich, wenn die Leitungsebene die Verantwortung dafür übernimmt, entsprechende Ressourcen bereitstellt respektive die Informationssicherheit in organisatorische Abläufe integriert und übergeordnete Aspekte lenkt. Ein Sicherheitskonzept muss zudem einem kontinuierlichen Regelkreis unterliegen und fortlaufend erweitert und der Fülle an neuen Bedrohungen angepasst werden.   Literaturquellen: Bundesamt für Sicherheit in der Informationstechnik (2016): Die Lage der IT-Sicherheit in Deutschland 2016. URL: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2016.pdf?__blob=publicationFile&v=5 [Stand: 26.04.2017] Bundesamt für Statistik (2017): Internetnutzung in der Schweiz. URL: https://www.bfs.admin.ch/bfs/de/home/statistiken/kultur-medien-informationsgesellschaft-sport/informationsgesellschaft/gesamtindikatoren/haushalte-bevoelkerung/internetnutzung.assetdetail.2340996.html [Stand: 26.04.2017]. Swisscom AG (2015): Cyber Security: die aktuelle Bedrohungslage und ihre Entwicklung. URL: www.techzoom.net/Papers/Swisscom-Cyber-Security-Report-DE-(2015).pdf [Stand: 18.04.2017].  

---

---

Blogpost wurde erstelle von Pascal Bieri (PwC) im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.