Talking Cyber Security with the Board of Directors

Cybersicherheit aus Sicht des Vorstands

Ein Interview mit Josh Shaul, Vice President, Web Security Products

Was muss man heutzutage als Vorstandsmitglied über Cybersicherheit wissen?

Den Vorstandsmitgliedern ist bewusst, dass Cybersicherheit immer wichtiger wird. Es besteht großes Interesse an diesem Thema. Alle beschäftigen sich in irgendeiner Form damit. Nicht jeder verfügt allerdings über das nötige Fachwissen, sodass die Probleme nicht von allen gleichermaßen verstanden werden. Wenn ein CIO oder CSO dem Vorstand über die Cybersicherheitsstrategie des Unternehmens berichtet, muss er daher oft noch einiges an Erklärungsarbeit leisten, damit alle auf dem gleichen Wissensstand sind.

Zuallererst sollten Vorstandsmitglieder ein Gespür dafür haben, welche Gefahren in der digitalen Welt lauern und wie sich diese verändern. Dies umfasst auch ein Basiswissen bezüglich der verschiedenen Angriffe und möglichen Verteidigungsmechanismen. Es sollte ein Verständnis dafür vorhanden sein, dass unterschiedliche Angriffe (Distributed Denial of Service (DDoS), Malware, Webangriffe) unterschiedliche Verteidigungsmechanismen erfordern. Sicherheit ist schließlich ein komplexes Thema.

Zweitens sollte man sich darüber im Klaren sein, dass eine herkömmliche Firewall nicht geeignet ist, wenn das Unternehmen online tätig und mit Kunden und Partnern auf der ganzen Welt in hohem Maße vernetzt ist. Netzwerke und Anwendungen können nicht komplett abgeschottet sein. Aber wenn sie offen für Kunden sind, sind sie auch offen für Angriffe. Die geschäftliche Tätigkeit von Unternehmen hat sich stark dezentralisiert. Sicherheitssysteme müssen sich dieser Entwicklung anpassen.

Drittens muss man wissen, dass es keinen zu 100 % lückenlosen Schutz gibt. Die Frage, ob ein Unternehmen sicher ist, lässt sich nicht einfach mit Ja oder Nein beantworten. Man muss sich folgende Fragen stellen: Ist das Unternehmen sicher genug, um erfolgreich zu sein? Welches Risiko sind wir bereit einzugehen? Wie viel sind wir bereit zu investieren, um den Risikograd gering zu halten?

Viertens: Erfolg findet im eigenen Unternehmen statt. Die Schlagzeilen über schwerwiegende Angriffe rufen uns immer wieder ins Bewusstsein, wie teuer ein Versagen des Sicherheitssystems werden kann. Wir können etwas daraus lernen, was anderen widerfährt. Die Cybersicherheit muss sich allerdings auf die unternehmensspezifischen potentiellen Bedrohungen und Schwachstellen konzentrieren – selbst dann, wenn in den Medien über den Vorfall berichtet wird.

Was sollte ein CIO oder CSO dem Vorstand bezüglich der Sicherheitsstrategie des Unternehmens im Idealfall vermitteln?

Ein solches Gespräch sollte drei Themen abdecken: Verteidigungsmechanismen, Kunden und Reaktionsmöglichkeiten.

Verteidigungsmechanismen: Wir haben effektive Verteidigungsmechanismen. Wir haben ein Bewusstsein für Veränderungen in der Bedrohungslandschaft. Wir haben Einblicke in unsere digitalen Bestände und Netzwerke. Und wir haben alles in unserer Macht Stehende getan, um nicht das nächste Opfer eines Cyberangriffs zu werden. Zusätzlich zur Verteidigung des Netzwerks verfügen wir über eine globale Sicherheitslösung in der Cloud, die unsere Bestände und unsere Kommunikation immer und überall schützt. Bei der Überwachung und dem Schutz unserer internen Kommunikation lassen wir die gleiche Sorgfalt walten wie bei der externen. Und ganz wichtig: Wir stellen unsere Verteidigungsmechanismen regelmäßig durch „Testangriffe“ auf die Probe. Wir beauftragen professionelle Hacker damit, uns anzugreifen und schließen sofort alle Sicherheitslücken.

Kunden: Wir überwachen permanent den Zugriff unserer Kunden auf unsere Unternehmensanwendungen, um ihnen bei jeder Interaktion überzeugende und sichere Erlebnisse zu bieten. Wir kennen ihr Onlineverhalten und achten sorgfältig auf ungewöhnliche Zugriffsversuche. Wir stellen sicher, dass es wirklich Kunden sind, die mit unseren Systemen interagieren, und dass sie nicht von Bots imitiert werden. Und wir informieren unsere Kunden, wenn wir merken, dass Betrüger ihre Anmeldedaten oder sogar Identitäten gestohlen haben könnten. Wir schützen also unsere Kunden, ihre Privatsphäre und ihre Daten. Damit erhalten wir ihr Vertrauen aufrecht.

Reaktion: Wir sind buchstäblich auf alles vorbereitet. Unser Team ist bestens geschult. Es weiß genau, was zu tun ist, wenn sich ein Angriff oder ein Datendiebstahl ereignet hat. Die von uns ausgearbeitete Strategie berücksichtigt auch die Personen, die wir informieren und mit denen wir zusammenarbeiten, einschließlich der Geschäftsleitung sowie der PR- und Rechtsabteilung. Wir wissen, wie wir Beweise sammeln und forensische Untersuchungen anstellen. Wir führen realistische Übungen zu Vorfallsreaktionen durch. Unsere Prozesse zur Vorfallsreaktion sitzen und wurden immer und immer wieder geübt. Nur so können wir unseren Gegenspielern immer einen Schritt voraus sein.

Kurz gesagt: Wir sind bestmöglich geschützt, schützen unsere Kunden und sind für alles gewappnet. Sie haben vorhin das Wort „Idealfall“ verwendet. Heutzutage können nicht viele Unternehmen all das von sich behaupten.

Warum nicht? Was hindert sie daran?

Die einfache Antwort ist normalerweise, dass sie nicht in ein umfassenderes Sicherheitsprogramm investiert haben. Das ist aber nur das oberflächliche Problem. Schaut man genauer hin, sieht man, dass es an Kontext und Ausrichtung mangelt. Vielen Firmen fällt es schwer festzulegen, wie viel Sicherheit sie brauchen, welche Risiken sie bereit sind einzugehen oder wie viel sie dafür ausgeben möchten, um die Risiken auf ein zumutbares Niveau zu reduzieren.

Zum Überwinden dieser Hürden empfehlen wir, eine formelle Erklärung über die Risikobereitschaft des Unternehmens auszuarbeiten. Eine dem Finanzministerium zugehörige Regierungsbehörde hat beispielsweise eine eher niedrige Risikobereitschaft bezüglich ihrer Technologie. Dies lässt sich folgendermaßen untergliedern:
  • Keine Risikobereitschaft bei nicht autorisiertem Zugriff auf Systeme, sodass Kontrollen so streng wie möglich sein müssen
  • Geringe Risikobereitschaft bei der Ausfallsicherheit, sodass ausgefallene Systeme zeitnah wieder funktionsbereit sein müssen
  • Mittlere Risikobereitschaft bei innovativen Technologien, mithilfe derer die Nutzeranforderungen erfüllt werden sollen, sodass innerhalb gewisser Grenzen experimentiert werden darf
Die Risikobereitschaft eines Wirtschaftsunternehmens, das rund um die Uhr tätig ist und Märkte auf der ganzen Welt erschließen möchte, sähe dagegen völlig anders aus. Es geht darum herauszufinden, wo man als Unternehmen steht, einige nützliche Grenzen festzulegen und dann diese beiden Faktoren aneinander auszurichten. Für einen Bereich, der so wichtig ist wie Cybersicherheit, sollte sich die Ausrichtung und Zustimmung bezüglich der Risikobereitschaft auf das gesamte Führungsteam erstrecken. Und das Team sollte sichergehen, dass der Vorstand seine Entscheidungen versteht.

Solche Leitsatz-Erklärungen sind ein wichtiges Werkzeug bei der Unternehmensführung. Sie bieten Orientierung, helfen bei der Priorisierung von Zielen und Maßnahmen und bieten eine Grundlage für Entscheidungen. Wenn Aktionäre mit den Leitsätzen zufrieden sind, sind sie viel eher dazu bereit, der Entwicklung einzelner Faktoren zuzustimmen oder diesbezüglich Kompromisse einzugehen. Und diejenigen, die für die Verwaltung der Maßnahmen verantwortlich sind und taktische Entscheidungen treffen (in unserem Beispiel die CIOs und CSOs), haben eine viel stabilere Grundlage und können ihre Maßnahmen überzeugender erklären und rechtfertigen.

Wie genau lässt sich die eigene Risikobereitschaft festlegen?

Es ist hilfreich, sich an ein paar externen Bezugspunkten zu orientieren. Das können entweder Branchen-Benchmarks oder allgemeinere Reifegradmodelle zur Cybersicherheit sein. Vertrauenswürdige Dritte können das Sicherheitspotenzial und manchmal auch das grobe Budget eines Unternehmens bewerten und mit anderen Unternehmen der Branche und Konkurrenten vergleichen. Die Ergebnisse können erforderliche Maßnahmen aufdecken und rechtfertigen – mit dem Augenmerk darauf, nicht zu den angreifbarsten Unternehmen der Branche zu gehören.

Reifegradmodelle teilen Schutzsysteme sowie Betriebs- und Verwaltungsprozesse in verschiedene Stufen der Leistungsfähigkeit ein (normalerweise fünf). Ein Unternehmen kann eine Überprüfung vornehmen und zu dem Schluss kommen: „Wir sind auf Stufe 2, und das ist zu wenig. Unser Unternehmen ist zu vielen Risiken ausgesetzt.“ Das Reifegradmodell kann aufzeigen, wo zusätzliche Funktionen erforderlich sind, um Stufe 3 zu erreichen. Die Erklärung zur Risikobereitschaft des Unternehmens sollte auf eine höhere Reifegradstufe abzielen.

Eine nützliche Methode ist es, die Erklärung zur Risikobereitschaft mit lokalen Szenarien und echten Fällen abzugleichen. Ein Unternehmen kann zum Beispiel anfänglich davon ausgehen, dass es all seinen Onlinekunden rund um die Uhr ohne Ausnahme zur Verfügung stehen muss. Aber wäre es bei einem schwerwiegenden Angriff bereit, eines der Hauptsysteme abzuschalten und 30 % seiner Kunden „auszusperren“, um den Zugriff für die anderen zu erhalten?

Ein weiteres Beispiel wäre, dass das Unternehmen unter gar keinen Umständen einen unberechtigten Zugriff auf sein Netzwerk zulassen möchte. Das ist allerdings ein unrealistisches Ziel, selbst für die am besten geschützten Sicherheitsbehörden der Regierung. In den meisten Unternehmen sind solche Zugriffe bereits vorgekommen und werden auch in Zukunft vorkommen. Die Herausforderung besteht darin, die Eindringlinge ausfindig zu machen und außer Gefecht zu setzen. Die zentrale Frage zur Risikobereitschaft ist also: Welche Angriffe müssen wir auf jeden Fall erkennen und eindämmen?

Solche Szenarien sollten rechtzeitig in Erwägung gezogen und Teil der Reaktionsstrategie werden. Bei der Planung von Szenarien sollte man sich in die Position des Angreifers versetzen und prognostizieren, welche Bestände am angreifbarsten sind. Wenn es sich vermeiden lässt, sollte man maßgebliche Entscheidungen nicht unvorbereitet während des Angriffs treffen.

Risikobereitschaftserklärungen müssen immer wieder aufs Neue entwickelt und getestet werden, sind oft mit Kosten verbunden und basieren auf realen Fakten, die zeigen, was alles zur Erfüllung von Sicherheitszielen erforderlich ist. „Wir brauchen Sicherheitsstufe X.“ „Das wird 30 Millionen Dollar kosten.“ „Okay, in dem Fall können wir auch mit einer niedrigeren Sicherheitsstufe leben.“ Manchmal muss die Risikobereitschaft auch im Zuge eines Angriffs angepasst werden. Entweder stellt das Unternehmen fest, dass ein erhöhter Sicherheitsbedarf besteht oder dass man dem eigenen Risikoprofil nicht gerecht wird.

Zum Schluss noch ein besonders wichtiger Punkt: Erklärungen zur Risikobereitschaft dürfen nicht allgemeiner oder theoretischer Natur sein. Sie müssen so spezifisch auf die Situation des Unternehmens zugeschnitten sein, dass sie selbst in den schwierigsten Fällen bei Entscheidungsfindungen und Zielkonflikten helfen.

Sie haben den Einblick in die Computing-Umgebung erwähnt. Das ist wohl eine Grundlage für effiziente Cybersicherheit.

Definitiv. Je umfassender der Einblick ist – in Assets, Verbindungen, Netzwerkaktivitäten, Schwachstellen –, desto besser kann die gesamte Umgebung geschützt werden. Aber ganz so einfach ist es dann auch wieder nicht.

Umfassende Sicherheit erfordert zunächst einmal eine genaue Bestandsaufnahme der Netzwerke, Systeme und Daten des Unternehmens, und das ist in vielerlei Hinsicht eine Herausforderung. Ein gängiges Beispiel ist der Speicherort für sensible Daten. Viele Unternehmen wissen gar nicht, wo sich diese Daten befinden. Ein weiteres Beispiel ist die Netzwerkoberfläche des Unternehmens, also alle Verbindungen, Partner oder URLs, die in die Computing-Umgebung führen können. In einem großen Unternehmen, das schon lange online ist, kann es sehr schwierig sein, eine vollständige Bestandsaufnahme durchzuführen.

Selbst mit einer guten Bestandsaufnahme kann der Einblick des Unternehmens in seine Umgebung aus einem der folgenden Gründe unvollständig sein:
  • Die Verantwortlichen wissen nicht, wo oder wonach sie suchen sollen. In diesem Fall benötigt es Unterstützung von Experten.
  • Sie wissen nicht, wie sie suchen sollen. In diesem Fall benötigt es Hilfe von technologischen Werkzeugen zur Überwachung der Infrastruktur.
  • Sie haben Angst davor, was sie bei der Suche finden könnten.
Das ist ein heikles Thema und vielleicht auch eine „unbequeme Wahrheit“ innerhalb der Sicherheitscommunity. Manchmal gibt es dunkle Ecken, in die Unternehmen kein Licht bringen wollen: Sie haben Angst, etwas zu finden, das behoben werden muss, was kompliziert und teuer werden kann. Manchmal scheint es, als sei man besser dran, wenn man das eigene Problem gar nicht kennt. Aber das stimmt natürlich nicht.

Probleme unentdeckt zu lassen ist nicht in Ordnung. Unwissenheit ist keine Entschuldigung nach einem Angriff. Allerdings kann es in Ordnung sein, Probleme aufzudecken und sie nicht zu lösen. Es ist eine Frage der Priorität. Kein Unternehmen hat das Geld, das Personal und andere Ressourcen, um alle Probleme zu beheben. Und es gibt eine unvermeidliche Spannung zwischen Verteidigungsfähigkeit, Kosten und Geschäftsrisiko. Damit wären wir also wieder bei der Risikobereitschaft. Mit einem umfassenden Einblick und dem bestmöglichen Wissensstand kann man sich auf die Behebung der Schwachstellen konzentrieren, die das größte Risiko bergen. Dann kann das Unternehmen ganz in Ruhe innerhalb seines festgelegten Sicherheitsrisikos agieren.

Bitte fassen Sie abschließend die wichtigsten Schlussfolgerungen für CIOs und CSOs für uns zusammen.

Erstens: In der Zusammenarbeit mit dem Vorstand muss mehr abgedeckt werden als der Status quo der technischen Verteidigung und das Angriffsrisiko. Es muss auch über den Kundenschutz gesprochen werden und darüber, wie gut das Sicherheitsunternehmen vorbereitet ist und welche Maßnahmen bei einem Angriff ergriffen werden. Zusammengenommen ermöglichen diese Punkte eine wirklich gründliche Sicherheitsstrategie.

Zweitens: Der Vorstand muss verstehen, dass das Unternehmen niemals zu 100 % sicher sein kann. Aber es kann mit einer sorgfältig festgelegten und akzeptablen Risikobereitschaft agieren. In anderen Worten sollten CEO und Vorstand in der Lage sein, den Interessenvertretern gegenüber die Sicherheitsstrategien und Risikobereitschaft des Unternehmens zu vertreten, also gegenüber Kunden, Mitarbeitern, Regulierungsbehörden und Aktionären.

Drittens müssen Sicherheitsverantwortliche oft richtigen Einsatz zeigen, um die benötigten Ressourcen zu bekommen und ihre Verantwortung erfüllen zu können. Viele finden es schwierig, den Geschäftswert und die Notwendigkeit von Sicherheitsprogrammen denjenigen gegenüber zu vertreten, auf die sie finanziell angewiesen sind. Es ist hilfreich, sich in regelmäßigen Abständen mit der Geschäftsleitung und dem Vorstand über Cybersicherheit und Risikobereitschaft auszutauschen. Der Schlüssel zur Freisetzung von Ressourcen kann der Vergleich mit anderen Unternehmen der Branche sein. Dabei darf man aber nicht vergessen, dass die risikogewichteten Sicherheitsbedürfnisse möglicherweise nicht alles umfassen, was die Sicherheitsleitung gerne erreichen würde.

Viertens: Wenn sowohl Sicherheitspotential als auch Risikobereitschaft klar sind, können Programme und Prozesse im Bereich Cybersicherheit dem Unternehmen dabei helfen, die Grenzen des eigenen Handelns festzulegen. Sicherheit soll nicht nur Verbote umfassen, sondern auch die Bewegungsfreiheit aufzeigen, innerhalb der ein Unternehmen online agieren und innovativ sein kann. Die Teams aus dem Bereich Cybersicherheit sollten frühzeitig in die Konzeption und Entwicklung neuer Geschäftsinitiativen eingebunden werden. Cybersicherheit sollte den Fortschritt des Unternehmens ermöglichen und dabei seine Gegner ausbremsen.

Verwandte CIO-Inhalte