ISO-Zertifikate schützen nicht

ISO/IEC 27001:2013 spezifiziert die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems im Rahmen der Organisation. Sie enthält auch Anforderungen an die Bewertung und Behandlung von Informationssicherheitsrisiken, die auf die Bedürfnisse der Organisation zugeschnitten sind.

Es war schon unzählige Male zu beobachten. Ein Chief Information Security Officer (CISO) geht in eine Vorstandssitzung und brütet über Statistiken, die den Compliance-Status des Unternehmens zeigen. Das Unternehmen erfüllt zu 75 Prozent die Anforderungen der ISO 27001, aber was sagt das über das Risikoniveau aus? Die Wahrheit ist, dass CISOs Jahre damit verbringen können, alle 114 Kontrollen der ISO 27001 zu implementieren, und ein entschlossener Angreifer die Schutzmaßnahmen in wenigen Stunden umgehen könnte. Da die Angreifer ihre TTPs (Tactics, Techniques, and Procedures) laufend aktualisieren und leichtgläubige Mitarbeiter austricksen, kann keine noch so gute Compliance die gesamte Basis abdecken. Vectra AI fragt daher: Warum also klammern sich CISOs an Compliance-Zahlen?

Vorstände neigen dazu, auf klare Anzeichen von Fortschritt zu reagieren, die im Sicherheitsbereich bekanntermaßen schwer zu messen sind. Daher gilt es die Diskussion zu verändern. Bei der klassischen Risikomanagement-Gleichung Risiko = Bedrohung x Schwachstelle gibt es keine Kontrolle über die Motivation, die Fähigkeiten oder die Ressourcen des Angreifers. Ein CISO könnte all seine Ressourcen in eine umfassende Compliance-Strategie stecken und wäre trotzdem nicht erfolgreich.

Was bedeutet bedrohungsorientiert?

Stattdessen müssen die Ansätze „threat led“, also bedrohungsorientiert sein, meint Vectra AI. Das bedeutet, zunächst die wertvollsten Assets und die Gegner, die es wahrscheinlich auf das Unternehmen abgesehen haben, zu ermitteln, und Prioritäten zu setzen, um die ermittelten Risiken zu mindern. CISOs sollten die Sicherheit daran messen, ob sie in der Lage sind, ein Eindringen ins Netzwerk zu entdecken, indem sie bei Sicherheitstests aussagekräftige Kennzahlen wie die mittlere Zeit bis zum Eindringen oder die mittlere Zeit bis zur Entdeckung von Bedrohungen verwenden. Dann können die CISOs daran arbeiten, diese Zahlen auf ein vereinbartes Niveau zu senken.

Um diese Daten zu erhalten, sind nach Erfahrungen von Vectra AI umfassende Red-Team-Übungen unerlässlich. Red Teams testen Technologie, Menschen und Prozesse. Sie suchen nach blinden Flecken und finden unorthodoxe Wege, um in das Unternehmen einzudringen. Genau so würde ein versierter Angreifer vorgehen. Dies liefert wertvolle Daten darüber, was durch die Maschen gefallen ist, so dass CISOs entsprechende Prioritäten setzen und die durchschnittliche Zeit bis zur Entdeckung eines Verstoßes reduzieren können. Derzeit führen jedoch nur wenige Unternehmen Red-Team-Übungen durch, weil sie sich dazu noch nicht reif genug sehen. Das ist Musik in den Ohren der Angreifer, und sie werden CISOs nicht die nötige Zeit geben, diese Erkenntnisse zu gewinnen, bevor sie zuschlagen. Red-Team-Übungen sollten dann durchgeführt werden, wenn der Reifegrad keine bessere Priorisierung bei der Eindämmung realer Bedrohungen zulässt.

Es gibt keine andere Branche, die so viel investiert, ohne das Ergebnis objektiv zu messen. Autobesitzer würden kein Auto fahren, das nicht einem Crashtest unterzogen wurde, warum also eine Sicherheitsstrategie einsetzen, ohne zu prüfen, ob sie umgangen werden kann? Sogar die Aufsichtsbehörden sind sich dieser Tatsache bewusst – mit Programmen wie TIBER-EU, die von den Banken die Durchführung von Red-Team-Tests verlangen, um sicherzustellen, dass sie über eine einfache grundlegende Compliance hinausgehen.

Bewusstsein wecken in der nächsten Vorstandssitzung

In der nächsten Vorstandssitzung sollten die Compliance-Zahlen nur als Fußnote stehen. Stattdessen gilt es die Beteiligten zu ermuntern, über die geschäftlichen Auswirkungen einer Sicherheitsverletzung und die Wahrscheinlichkeit, dass Angreifer das Unternehmen ins Visier nehmen, nachzudenken. Ebenso empfiehlt es sich, die Wahrscheinlichkeit eines erfolgreichen Angriffs anzusprechen. Den CEO wird es interessieren, ob er auf der Titelseite der Tagespresse erscheint, wenn sein Unternehmen von Ransomware betroffen ist. Das Gleiche gilt für den CFO, wenn er nicht in der Lage ist, Geschäfte zu tätigen, während die Systeme ausgefallen sind.

Anstatt zu versuchen, aufzuzeigen, dass die Vorschriften eingehalten und dass Projekte planmäßig durchgeführt werden, sollten CISOs nach Meinung von Vectra AI in Meetings die Schwachstellen erörtern. Sie sollten dem Vorstand Optionen zur Abschwächung dieser Schwachstellen vorlegen – und das erforderliche Budget einfordern. In der heutigen dynamischen Bedrohungslage kann es vorkommen, dass Pläne zur Jahresmitte geändert werden müssen. Daher ist es entscheidend, dass der Vorstand die Risiken versteht, die er eingeht, wenn er sich entscheidet, nicht zu investieren.

ZDNet.de Redaktion

Recent Posts

Erneut mehr als 90 schädliche Apps im Google Play Store entdeckt

Sie verbreiten einen Banking-Trojanern. Die Hintermänner nehmen mit Anatsa auch Nutzer in Deutschland ins Visier.

9 Stunden ago

Markt für KI-Chips wächst 2024 voraussichtlich um 33 Prozent

Das Volumen des Markts steigt auf rund 71 Milliarden Dollar. Der Bereich KI-Beschleuniger für Server…

9 Stunden ago

Container und Kubernetes für Cybersicherheitsvorfälle in Deutschland verantwortlich

Das gilt vor allem für Unternehmen mit mehreren Standorten. Viele Vorfälle sind auf Konfigurationsfehler und…

9 Stunden ago

17 Prozent der Bundesbürger bereits auf Phishing hereingefallen

Mehr als die Hälfte der Nutzer in Deutschland kann nach eigenen Angaben Phishing und Spam…

10 Stunden ago

Neue Technologie in Browsergames – Flash verschwindet und wird durch HTML5 ersetzt

Browsergames haben seit den frühen 2000er Jahren eine enorme Popularität erlangt und Millionen von Spielern…

11 Stunden ago

Salesforce schmiedet Datenallianz

Der CRM-Marktführer stellt ein neues Ökosystem vor, das die Integration von Kunden- und Marktdaten erleichtern…

2 Tagen ago