Angesichts der wachsenden Cyberkriminalität ist der Aufgabenbereich eines Chief Information Security Officers (CISO) stetigem Wandel unterworfen. Technisches Knowhow zum Schutz der kritischen Daten und Infrastrukturen muss ein CISO ebenso mitbringen, wie Führungsqualitäten, um die Strategien gegenüber der Geschäftsleitung zu verantworten. Mitarbeitermobilität, die digitale Transformation, zunehmend intelligentere Angriffsszenarien und gesetzliche Vorgaben an den Datenschutz müssen in Einklang mit der Schutzstrategie gebracht werden, um opportunistische Angriffe ebenso erfolgreich abzuwehren wie Industriespionage.
Herausforderung #1: Den Überblick über alle Assets bewahren
CISOs verlieren durch die digitale Transformation den Überblick über alle Daten. Vor einer Dekade oblagen Netzwerke und Anwendungen der Kontrolle der IT-Abteilung. Heutzutage nutzen Anwender ihre eigenen Geräte und greifen über öffentliche Netze auf Cloud-Applikationen zu. Auch wenn die Kosten, die Elastizität und Produktivitätsvorteile für die Cloud sprechen, so sind CISOs gefordert, in dieser mobilen, Cloud-orientierten Arbeitswelt den Einblick in diese Datenströme zurückzuerhalten, um sie auf mögliche Sicherheitsbedrohungen zu kontrollieren. Einblick in den Datenstrom aller Geräte, die auf das Internet zugreifen ist dabei entscheidend, um ein ganzheitliches Bild der Gefahrenlage zu erhalten. Je weiter die digitale Transformation voranschreitet, umso mehr müssen CISOs darauf mit ihren Sicherheitsinfrastrukturen reagieren.
Herausforderung #2: Aussagekräftige Analysen für die Geschäftsleitung
Heute müssen sich Unternehmen nicht mehr die Frage stellen, ob sie zum Ziel von Angreifern werden, sondern wann. Die Geschäftsführung fordert vom CISO die Bestätigung, dass im Falle eines Sicherheitsverstoßes die Tools, Strategien und Ressourcen vorhanden sind, um die Situation zu bewältigen und eine Aussage zur Behebungsdauer der Gefahrenlage machen zu können. Dementsprechend gilt Vorkehrungen zu treffen, um die Angriffe aufzuspüren. Dazu ist es nötig, die Anzeichen einer Kompromittierung zu erkennen. Es gilt, potenzielle Malware im Datenverkehr eines Unternehmens zu erkennen, bevor sie Schaden anrichten kann. Der Zeitraum zwischen Infektion und Erkennung ist von höchster Bedeutung, um Datenverlust zu vermeiden.
Das Board muss für den Worst-Case Budgets für umfassende Cyber-Sicherheitsmaßnahmen bewilligen. Allerdings wird damit einhergehend die Anforderung an den CISO gestellt, für die Ausgaben einen Return on Invest zu liefern. Eine Erwartungshaltung muss relativiert, dass eine umfangreiche Sicherheitsstrategie ein Garant für 100% Unfehlbarkeit ist, sondern lediglich das Risiko minimiert.
Herausforderung #3: Verschlüsselter Datenverkehr – Segen und Fluch zugleich
Die IT-Sicherheitsabteilung erhält durch die Verschlüsselung weniger Einblick in Daten und muss dementsprechend Abstriche hinsichtlich der Sicherheit machen. Da heute bereits mehr als 30 % des Internet-Datenaufkommens SSL-verschlüsselt ist, kann durch diese Datenströme ohne Inspektion Malware ins Unternehmen gelangen. Das Entschlüsseln von SSL-Daten zum Malware Scan benötigt Zeit, Performanz und hat dementsprechend auch Auswirkungen auf die Kosten.
Web-basierte TLS-Inspektion ist in Unternehmen weit verbreitet, muss aber mit der Rechtsabteilung und dem Betriebsrat im Vorfeld abgestimmt sein. Je nach Region gilt es dabei die Rechtslage zu berücksichtigen und Datensicherheit gegen Datenschutz abzuwägen. Angesichts der Tatsache, dass zunehmend mehr Advanced Threats hinter SSL-verschlüsselten Datenströmen verborgen ist, sollte der CISO die Diskussion mit dem Betriebsrat nicht scheuen und Maßnahmen ergreifen.
Herausforderung #4: Ransomware – die dominierende Gefahr 2016
Ransomware verhält sich gegenläufig zum Trend der Advanced Threats, die im Verborgenen operieren. Ist eine Infektion mit Ransomware erfolgt, merken Unternehmen das innerhalb kurzer Zeit durch die Bildschirmanzeige oder durch Dateiendungen, die den Zugriff auf kritische Daten verweigern. Unternehmen stehen im Falle einer Infektion vor der Entscheidung, ob sie den Lösegeldforderungen nachkommen wollen oder nicht. Für den CISO gilt es zu entscheiden, ob er die Moral höher stellt als die Förderung der räuberischen Erpressung. Letztendlich kostet der Stillstand durch den verweigerten Datenzugang Geld und im schlimmsten Fall sogar Leben. Da die Ransomware-Verbreitung angesichts der für 2016 prognostizierten Gewinne der Hacker nicht so schnell wieder zurückgehen wird, tun CISOs gut daran, vorbeugende Maßnahmen mit auf die Agenda zu setzen. Denn schon wird Ransomware 2.0 vorhergesagt, die als logische Evolution die Vielfalt der netzwerkfähigen Geräte des Internet of Things ins Auge fasst.
Herausforderung #5: Internet of Things – die nächste große Gefahr
Das Internet der Dinge wird die nächste Generation von Cyber Crime definieren. Laut Gartner soll es 20 Mrd. IoT–Geräte bis zum Jahr 2020 geben und damit muss sich jedes Unternehmen Gedanken machen, wie es diese Geräte und Dinge schützen kann. Wenn von dem Internet of Things die Rede ist, sind all jene Geräte im Unternehmenseinsatz gemeint, die intern und extern kommunizieren und aufgrund ihrer IP-Adresse über das Internet erreichbar sind. Die klassischen Bürogeräte, wie Drucker, Kopierer, Beamer, das Fernsehgerät am Empfang zählen dazu ebenso, wie weniger offensichtliche Geräte aus dem Haushaltsumfeld. Dazu zählen Geräte wie Kühlschrank und Kaffeemaschine oder Überwachungskamera. Hinzu kommt Heizung, Belüftung und Klimaanlagen, sowie Bewegungsmelder oder Beleuchtungssysteme, die mit Intelligenz versehen und über das Internet oder die Cloud ansteuerbar sind.
Alle diese Geräte finden in einer modernen Büro- oder Produktionsumgebung stellen durch die Internet-Anbindung einen potenziellen Angriffsvektor dar. Der CISO ist gefordert, diese Bandbreite an Geräten und Technologien in das Sicherheitskonzept einzubeziehen. Das wird umso beschwerlicher durch den Kontrollverlust, der hinsichtlich der Geräte, der Netzwerke und der Anwendungen besteht, die durch Mitarbeiter zum Einsatz kommen. Für den CISO bedeutet das ein konsistentes Niveau an Due Diligence für alle Geräte, die Daten speichern, verarbeiten oder übertragen können. Wenn der CISO auch für den Schutz der kritischen Internet-Infrastrukturen verantwortlich gemacht wird, kommt der nächste Paradigmenwechsel hinsichtlich Cyber-Sicherheit auf Unternehmen zu.
Herausforderung #6: Remote Access
Die nächste Herausforderung für CISOs besteht darin, sicheren Fernzugriff auf ihr Netzwerk zu gewährleisten. Denn ein VPN – ein virtuelles privates Netzwerk – bleibt ein Netzwerk. Malware, die sich auf dem Gerät eines vertrauenswürdigen Anwenders festgesetzt hat, kann großen Schaden an internen Anwendungen anrichten durch den unbeschränkten Zugriff. Drittparteien haben durch VPNs oftmals nicht nur Zugang zu Anwendungen, die sie im Rahmen der Zusammenarbeit mit dem Unternehmen benötigen, sondern auf das gesamte Netzwerk.
CISOs müssen sich also Gedanken machen, wem sie Zugang zu ihrem Netzwerk gewähren und auf welche Weise. Wenn Mitarbeiter und Partner Zugang zu Anwendungen benötigen, warum wird ihnen der Zugang zu Netzwerken gewährt? Denn beides ist nicht untrennbar miteinander verbunden.
Herausforderung #7: Hausgemachtes DDoS!
Unternehmen benötigen zunehmend mehr Bandbreite durch Smartphones, Tablet-PCs und Laptops, die stärker als je zuvor mit externen Netzen verbunden sind. Cloud-Applikationen tragen zudem zu den Kapazitätsanforderungen an ein Netzwerk bei. Hinzu kommt die allgegenwärtige Verfügbarkeit von Streaming Video Services, die über Netflix, Amazon Video oder neue Live-Streaming Angebote von Facebook oder Periscope angeboten werden. Die meisten Leitungen von Unternehmen sind nicht auf solch anhaltende Datenvolumen ausgelegt.
Ohne Bandbreitenoptimierung und Packet Shaping Technologien läuft ein Unternehmen Gefahr, dass durch die Datenmassen die Leitungen verstopft werden und dadurch der Zugriff auf geschäftskritische Anwendungen leidet. Eine weitere Herausforderung besteht in der Verfügbarkeit der Sicherheit, die dem erhöhten Durchsatz standhalten sollte, ohne Abstriche in der Kontrollfunktion hinnehmen zu müssen.
Herausforderung #8: Schutz gegen Unbekanntes
Blacklists greifen heutzutage nicht mehr als Sicherheitsansatz für Cyber Security. Signaturen für Virenschutz oder IPS funktionieren nur bei bekannten Gefahren. Da Malware heute so rasanten Veränderungen unterworfen ist kann sich ein CISO zum Schutz nicht mehr auf das Wissen über bekannte Malware-Muster verlassen. Heuristische Verfahren, wie Sandbox-Technologien und künstliche Intelligenz werden nun herangezogen, um das Risiko von Zero-Day-Angriffen zu minimieren. Auch für Web Security müssen CISOs umdenken. Traditionellerweise wird auf URL-Filter gesetzt, um den Zugang zu einigen Ecken des Internets zu sperren. Allerdings werden diese dunklen Ecken im Zeitalter von Malvertising und Drive-by-Downloads immer weniger greifbar. Bislang vertrauenswürde Webseiten werden durch Malware kompromittiert und fallen damit durch das Raster von URL-Filter, die auf Blacklisting basieren. Dadurch entsteht die Herausforderung, alle Webseiten-Inhalte kontinuierliche inline zu scannen, bei jedem Zugriff, womit die entsprechende Leistungsfähigkeit eines Sicherheitsansatzes einhergehen muss.
Herausforderung #9: Die Veröffentlichungspflicht von Cyber-Angriffen
Die Einführung der General Data Protection Regulation wird sich auf die Bewertung eines Cyber-Angriffs und die Ursachenforschung auswirken. Das Zeitfenster von 72 Stunden für die Berichterstattung einer Datenschutzverletzung bedeutet, dass Unternehmen wenig Spielraum für die Schadensanalyse bleibt. Deshalb müssen sie ihren Datenfluss besser verstehen und umfassenden Einblick in die generelle Bedrohungslage haben. Die schnelle Veröffentlichungspflicht stellt CISOs vor große Herausforderungen: Sollte eine vorsichtige Einschätzung eines Verstoßes vorgenommen werden, oder vom Worst Case Szenario ausgegangen werden? Unternehmen sind gefordert strukturierte Ablaufpläne im Vorgriff auf potenzielle Cyber-Vorfälle zu entwickeln. Diese Pläne sollten im Bedarfsfall einen Angriff Nachvollziehbar machen zur Folgenabschätzung, Verantwortlichkeiten festlegen und den schnellen und akkuraten Zugang zu den benötigen Informationen sicherstellen.
Herausforderung #10: Information Overkill – die Nadel im Heuhaufen
Vorbeugende Schutzmaßnahmen für sich alleine gesehen reichen nicht mehr aus, um den Schaden durch Cyber-Angriffe möglichst einzudämmen. Die Bedrohungslage macht es erforderlich, eine mehrstufige Sicherheitsstrategie zu implementieren, die neben der Prävention auch die Erkennung und die Schadensbeseitigung umfasst. Die Notwendigkeit Angriffe frühzeitig zu erkennen führt vielfach dazu, dass IT Security-Teams jeglichen Vorgang loggen und damit eine unüberschaubare Masse an Daten generieren.
Durch die Cloud, Mobilität, IoT und SaaS wird eine Unmenge an Informationen generiert, die ein Aufspüren von Schadcode schwieriger gestaltet. Für die Erkennung und Reaktionsfähigkeit gilt es für den CISO zu berücksichtigen, wonach gesucht wird. Eine Korrelation von Log-Daten verschiedenster Systeme, die unter Umständen unterschiedliche nicht kompatible Standards benutzen birgt Fallstricke in der Analyse und führt nicht zur Problemlösung. CISOs benötigen zuverlässige Indikatoren für die Erkennung einer Kompromittierung und Intelligenz zur Gefahrensituation, um die Nadel im Heuhaufen erkennen zu können.
