Partner-Post Dossier in Kooperation mit Business IT

Cybersecurity bedeutet mehr als Tools und Lösungen

Uhr
von Thomas König, CISO, Business IT

Cybersecurity steht und fällt mit der korrekten Vorbereitung auf Sicherheitsvorfälle und Kompromittierungen. Genauso wichtig ist es, nach einem Angriff passend zu reagieren, damit der Betrieb möglichst rasch wieder auf­genommen werden kann.

Thomas König, CISO, Business IT. (Source: zVg)
Thomas König, CISO, Business IT. (Source: zVg)

Spricht man von Cybersecurity, stehen oft technische Lösungen, Tools und Services verschiedener Anbieter im Vordergrund, dazu kommen organisatorische Methoden und Massnahmen. All dies spielt für den Umgang mit Cyberattacken sicher eine Rolle, genügt aber keineswegs, um im Fall einer wirklichen Kompromittierung, etwa durch einen aus Sicht der Cyberkriminellen erfolgreichen Ransomware-Angriff, richtig und schnell zu reagieren.

Vorbereitung ist wichtig, aber auch ausreichend?

Auf einen Cyberangriff, der gemäss der Erkenntnis «die Frage ist nicht ob, sondern wann» in jedem Unternehmen eintreten wird, muss man sich umfassend vorbereiten. Dies gilt für KMUs ebenso wie für Grossunternehmen. Prozesse wie der Incident- und der Major-Incident-Prozess sowie das Problemmanagement müssen implementiert und abrufbar, Rollen und Verantwortlichkeiten definiert sein. Ein Plan für das Business Continuity Management inklusive Business-Impact-Analyse und realistischer Wiederherstellungszeiten (RTO/RPO) sollte formuliert und auch bei einem Komplettausfall für alle Stakeholder zugänglich sein – und sei es auf einem passwortgeschützten USB-Stick, der ausserhalb des Firmengeländes sicher verwahrt wird. Besonders wichtig: Die Kommunikation muss weiterhin spielen, wenn etwas passiert ist. Auch das muss passend vorbereitet werden.

Selbst die beste Vorbereitung kann eine Katastrophe nicht hundertprozentig verhindern. Dies gilt für manche Lebenslagen. Nehmen wir das Beispiel eines Fallschirmspringers: Er hat alles zwei- und dreimal gecheckt, die Handgriffe beherrscht er mit Links, die Brille sitzt. Er springt, landet wie geplant in der Wüste von Nevada – und wird prompt von einer Klapperschlange gebissen. Ähnlich mag es Unternehmen gehen, die «wie aus dem Nichts» zum Opfer von Cyberkriminellen werden, obwohl die technischen Lösungen im Einsatz stehen. Denn die Hacker sind oft einen Schritt voraus und finden immer wieder neue Einfallstore.

Kompromittiert, was dann?

Bei einer Ransomware-Attacke stellen sich weitere Fragen. Soll Lösegeld gezahlt werden und ist das überhaupt im Sinn des Unternehmens? Soll mit den Hackern verhandelt werden, darf man überhaupt verhandeln, zum Beispiel wenn die Angreifer aus einem Land unter Seco-Sanktionen stammen? Welchen Behörden muss der Vorfall gemeldet werden? Und wie identifiziert man die Schadsoftware, die zum Beispiel durch Phishing eingeschleust wurde? Steht die erforderliche Forensik zur Verfügung?

Die Fragestellungen sind komplex und bei vielen KMUs mit internen Kräften kaum zu bewältigen. Dann hilft ein kompetenter Partner, der sich im Sinn eines Generalunternehmers von der Vorbereitung bis zur Reaktion auf Cybervorfälle um die Cybersicherheit kümmert, bei Bedarf weitere Spezialisten hinzuzieht, Aufgaben wie die Überwachung auf Schwachstellen und Angriffe bewältigt, etwa mit geeigneten Tools und etablierten und geprüften Prozessen. Ein Partner kann sogar als «CISO-as-a-Service» die Funktion des Informationssicherheitsverantwortlichen übernehmen, der für den Aufbau eines Grundschutzes und für die Etablierung der Krisendokumentation eingesetzt werden kann.

Diese Vorgehensweise bietet gegenüber mehreren Partnern für unterschiedliche technische und organisatorische Bereiche den Vorteil eines zentralen Ansprechpartners für alle Cybersecurity-Anliegen, was insbesondere, aber nicht nur, KMUs zugute kommt.


"Der Faktor Zeit ist wichtig, um die ­Produktion aufrechtzuerhalten"


Unternehmen tun gut daran, sich für einen möglichen Cyberangriff zu wappnen. Thomas König, Chief Information ­Security Officer beim IT-Dienstleister Business IT, sagt, was eine gute Vorbereitung und einen vertrauenswürdigen Partner ausmachen. Interview: René Jaun

Wie können sich Unternehmen auf einen möglichen Cyber­angriff vorbereiten? Und wer ist in diese Vorbereitungen ­involviert?

Thomas König: In einer Aktiengesellschaft sollte der entsprechende Auftrag vom Verwaltungsrat kommen. Ist einer vorhanden, ist der CISO zu involvieren, ansonsten der IT-Leiter (CIO). Dieser muss nicht ein besonders umfangreiches Werk erstellen. Er muss aber dafür sorgen, dass für den Fall eines Angriffs eine Krisen­organisation definiert ist und dass die entsprechenden Dokumente zugänglich sind. Im Notfall muss ein «Tätschmeister» bestimmt sein, der das Krisenmanagement im Griff hat. Dabei ist auch die Kommunikation zu berücksichtigen. Die Notfallpläne sollen das Ausbrechen von operativer Hektik verhindern, wenn eines Tages der Bildschirm schwarz bleibt. Es empfiehlt sich, die Dokumente in einer ruhigen Minute – je nach Unternehmen auch in einem Workshop – mit allen relevanten Stakeholdern zu besprechen.

Wann ist ein Unternehmen wirklich gut auf einen Cyber­vorfall vorbereitet?

Einerseits müssen die erwähnten Governance-Dokumente stehen. Andererseits müssen auch vertrauenswürdige Partner bestimmt sein. Sie führen im Notfall beispielsweise forensische Untersuchungen durch, ermitteln den Ursprung des Problems und unterstützen das Unternehmen dabei, wieder in den Betrieb zurückzukehren. Diese Prozesse müssen schnell ablaufen. Der Faktor Zeit ist wichtig, um die Produktion aufrechtzuerhalten, Liquiditätsengpässe zu vermeiden und die Reputation nicht aufs Spiel zu setzen.

Wie häufig sollten Unternehmen ihre Notfallpläne ­überarbeiten?

Cyberangriffe entwickeln sich stetig weiter. Auch im Markt der Cybersecurity-Anbieter kommt es immer wieder zu Änderungen, ganz zu schweigen von personellen Wechseln im eigenen Unternehmen. Wann immer eine solche Veränderung passiert, sollten die Dokumentationen angepasst werden. Ist die Lage stabil, ist eine Revision mindestens ein Mal jährlich zu empfehlen 

Welche Unternehmen lagern die Aufgaben des CISOs an ­einen externen Partner aus?

Meistens fällen Unternehmen den mutigen Entscheid, einen Grundschutz in Form eines Informationsmanagement-Systems nach der Norm ISO 27001 einzuführen. Um diesen Grundschutz zu betreiben, haben grosse Unternehmen einen eigenen CISO oder sogar ein Security-Team. Kleinere und mittelgrosse Unternehmen mit bis zu 600 Angestellten entscheiden sich häufig für einen CISO-­as-a-Service. Dieser arbeitet im Auftrag des Verwaltungsrats und mit der unternehmenseigenen IT-Abteilung zusammen.
 

Webcode
6SewsB7x