IT-Security ist ein lebendiges System

Nachdem ein CISO gefunden (siehe Beitrag “virtueller CISO”), die Strategie zur Informationssicherheit definiert und Dienstleister auf deren Sicherheit überprüft wurden, kann sich eine Organisation beileibe nicht zurücklehnen – denn jetzt geht die Arbeit erst richtig los. Die Umgebung muss kontinuierlich überwacht und kontrolliert werden, wobei immer wieder neue, andersartige Bedrohungen auftauchen und sich zudem die Organisation selbst verändert. Der Vergleich: Sie haben einen Rennfahrer, ein Auto, eine Garage und eine Mannschaft? Jetzt geht es auf die unbekannten Kurse.

Um die Informationssicherheit effektiv zu steuern, wird eine Datenbasis benötigt, anhand derer sich eine Vielzahl von Kennzahlen ableiten lassen. Diese werden zusammengefasst und in Beziehung gesetzt. Dadurch können unsere Kund:innen beispielsweise ermitteln, inwieweit Investitionen in die Informationssicherheit angemessen sind. In unseren Projekten verwenden wir drei Arten von Kennzahlen:

• Key Performance Indicator (KPI): Dieser Wert zeigt auf, wie die Informationssicherheitsziele erreicht werden. Dadurch wird dargestellt, wie erfolgreich technische und organisatorische Maßnahmen in Bezug auf Leistungsniveau, Zeit und Aufwand sind.
• Key Risk Indicator (KRI): Diese Kennzahl stellt dar, ob das Risikoprofil über die gesetzte Toleranzgrenze steigt und somit die Erreichung von Zielen gefährdet wird. Es soll risikoorientierte Unternehmen bei der Umsetzung von Informationssicherheitsprozessen unterstützen, damit eine Situation durch geeignete Gegenmaßnahmen wieder in den Toleranzbereich kommt.
• Key Control Indicator (KCI): Hier wird die Effektivität der Zielerreichung durch die Maßnahmen sowie Prozesse der Informationssicherheit aufgezeigt. Dabei gilt als effektiv, wenn das Steuerungsziel innerhalb des gesetzten Toleranzbereichs erreicht wird.

Business Continuity Management

Ein wichtiger Punkt ist das Business Continuity Management (BCM), um kritische Geschäftsprozesse und Ressourcen in einem Krisenfall abzusichern. Dabei werden verschiedene Szenarien mit ihren Auswirkungen definiert und mögliche Strategien entwickelt. Weil sich Firmen ständig dem Markt anpassen, müssen definierte Pläne mindestens jährlich überprüft und bei Veränderungen nachgezogen werden. Zudem muss auch der Wiederherstellungsplan, der Disaster Recovery Plan, überprüft und getestet werden, damit die Wiederherstellung im Ernstfall gewährleistet ist. Auch wird das betroffene Personal geschult und auf Ernstfälle vorbereitet.

Cybersicherheit und IAM

Neben den Kennzahlen und Plänen für Krisensituationen müssen Unternehmen auch die Cybersicherheit überwachen. Obwohl IT-Sicherheitsmaßnahmen ein Unternehmen schützen, gibt es keine Garantie für eine vollständige Absicherung. Nur durch regelmäßige Kontrollen von Berichten und Statistiken lassen sich bösartige Aktivitäten aufdecken. Die dafür benötigten Daten stammen meist von Geräten des Netzwerks.

Damit einher geht das Identity and Access Management (IAM), die Verwaltung von digitalen Identitäten. Hier werden die Berechtigungen von Accounts geprüft, denn Mitarbeitende verändern ihre Positionen oder bekommen durch andere Tätigkeiten neue Zugriffsrechte. Dabei kann es zu einer schleichenden Rechteausweitung kommen, auch Privilege Creep genannt. Diese Person oder ein Angreifer, der Zugriff auf den Account hat, kann die Berechtigungen ausnutzen. Zum anderen wird geprüft, ob die Identität überhaupt noch benötigt wird.

Awareness – Mitarbeiter:innen sensibilisieren

Die Informationssicherheit ist ein ganzheitliches Thema, in dem neben Technologien und Prozessen auch der menschliche Faktor zählt. Um diesen zu stärken, werden regelmäßig Awareness-Trainings durchgeführt. Ziel dieser vielschichtigen und heterogenen Maßnahmen ist, das Verhalten der Mitarbeiterinnen und Mitarbeiter zu ändern, sie jedoch nicht tiefgründig zu schulen. Security-Awareness-Trainings und -Tests schlagen oft fehlt, da Policies nicht richtig erklärt und somit Verbote nicht nachhaltig verstanden werden. Ein weiteres Problem ist, dass generische Trainings und Tests zum Einsatz kommen, ohne den Branchenkontext einzubeziehen. Trainings bauen normalerweise auf Phishing-Angriffen auf und zeigen einfache Regeln, weshalb viele Mitarbeitende die Komplexität dieser Angriffe und den Ernst der Situation verkennen.

An diesen Punkten zeigt sich, dass Informationssicherheit kein Projekt ist, das man erreichen oder implementieren kann. Um die Resilienz der IT und der Organisation zu stärken, kommt es vor allem darauf an, permanent wachsam zu sein und seine Abwehrmaßnahmen an Veränderungen anzupassen. Insofern stimmt das Bild vom Autorennen auch nur bedingt: Im Bereich IT-Security gibt es keine Zielflagge.

Quelle Titelbild: AdobeStock/tostphoto