DEFIZITE DER SICHERHEITSINDUSTRIE

DEFIZITE DER SICHERHEITSINDUSTRIE:
VERANTWORTLICHKEIT UND
AKTIONSPLAN
Amit Yoran
President, RSA
William Robertson
Assistant Professor
College of Computer and Information Science, Northeastern University
Die Branche der Informationssicherheit ist dabei, den Cyberkrieg zu verlieren. Besser gesagt, die Cyberkriege. Es sind mehrere. Black Hat
„Hacktivisten“, organisierte Verbrecherbanden, vom Staat finanzierte Agenten, Terroristen und andere Akteure greifen scheinbar ungestraft an
mehreren Fronten Computersysteme und kritische Infrastrukturen auf der ganzen Welt an. Beweggründe und Zielsetzungen sind dabei recht
unterschiedlich. Im Allgemeinen steckt jedoch eine böse Absicht dahinter. Dank ihrer erschreckend hoch entwickelten Fähigkeiten und fundierter
Ressourcen gelingt es den Eindringlingen des 21. Jahrhunderts sehr häufig, ihre Ziele zu erreichen. Aber nicht nur Angreifern mit hoch entwickelten
Fähigkeiten ist der Erfolg sicher. Oft gelingt es auch Tätern, die eher über Hartnäckigkeit als Sachverstand verfügen, Schwachstellen auszunutzen.
Unternehmen wissen oft gar nicht, dass sie eine breite Angriffsfläche bieten, da ihre Systeme unzureichend gesichert sind oder über problemlos
überwindbare Eintrittspunkte verfügen. Egal, ob sie das Ziel gewiefter Cybersaboteure bzw. Krimineller geworden sind oder selbst zu wenig
Vorbereitungen getroffen oder Investitionen getätigt haben, die Opfer von Cyberangriffen erleiden Schäden, die teilweise einfach nur ärgerlich
sind, aber auch katastrophal, weitreichend und vor allem teuer sein können.
Allein die finanziellen Auswirkungen sind erschütternd. Wenn man bedenkt, wie durch das unnachgiebige Ausnutzen von Cybersicherheitslücken
die Sicherheit souveräner Staaten geschwächt, Innovationen ausgebremst, das Vertrauen der Verbraucher geschädigt und die öffentliche
Sicherheit gefährdet wird, bekommt man eine Vorstellung vom beängstigenden Ausmaß des Problems. Cyberkriminalität ist eine Gefahr für
die Wirtschaft weltweit.
RSA WHITE PAPER
PARADOX
Trotz des gesteigerten Bewusstseins, der Vielfalt neuer Produkte und Services, wachsender Investitionen und gemeinsamer Maßnahmen,
die von hellen Köpfen aus Wirtschaft, Regierung und Bildung ergriffen werden, hat die Sicherheitsbranche Probleme, mit dieser Entwicklung
Schritt zu halten.
Die Anzahl der gemeldeten Vorfälle im Bereich Informationssicherheit ist weltweit um 48 Prozent auf 42,8 Millionen gestiegen,
was 117.339 Angriffen pro Tag entspricht. Dies geht aus einer Untersuchung mit dem Titel The Global State of Information Security®
Survey 2015 (1) hervor, die im September 2014 von PwC in Zusammenarbeit mit den Magazinen CIO und CSO veröffentlicht wurde. Aus
den Untersuchungsdaten geht hervor, dass die Sicherheitsvorfälle seit 2009 um 66 Prozent zugenommen haben. Die gleiche Untersuchung
berichtet auch, dass mit der Zunahme der Sicherheitsvorfälle auch die damit einhergehenden Kosten für das Management und die
Eindämmung der Vorfälle steigen. Weltweit betrug der durchschnittliche finanzielle Verlust durch Cybersicherheitsvorfälle schätzungsweise
2,7 Millionen US-Dollar – dies entspricht einem Anstieg um 34 % gegenüber 2013. Große Verluste sind in diesem Jahr immer häufiger der Fall.
Fast doppelt so viele Unternehmen melden finanzielle Einbußen von mehr als 20 Millionen US-Dollar.
Zu den direkt mit der Bekämpfung von Datendiebstahl und sonstigen Cyberverbrechen verbundenen finanziellen Aufwendungen – z. B. für
forensische Untersuchungen, Eindämmungsmaßnahmen, Kreditüberwachung bei Opfern von Identitätsdiebstahl usw. – kommt der verheerende
Vertrauensverlust. Die vom Ponemon Institute durchgeführte Untersuchung 2014 Cost of Data Breach Study: United States(2) hat ergeben, dass
die durchschnittlichen Kosten je verlorenem oder gestohlenem Datensatz mit sensiblen und vertraulichen Informationen von 188 auf 201 US-Dollar
gestiegen sind. Die im Durchschnitt von Unternehmen zu tragenden Gesamtkosten sind von 5,4 Millionen auf 5,9 Millionen US-Dollar gestiegen.
„Der Kostenanstieg ist hauptsächlich durch den Kundenverlust nach einem solchen Datenmissbrauch bedingt, da zusätzliche Kosten anfallen, um
den Ruf der Marke und des Unternehmens selbst wiederherzustellen. Die durchschnittliche Kundenfluktuation ist seit dem letzten Jahr um 15 %
gestiegen“, so der Bericht.
Das System weist ganz offensichtlich Mängel auf. Die Identifizierung und Behebung der Ursachen ist von entscheidender Bedeutung.
FALSCHE ODER FEHLENDE MAßNAHMEN?
Sind die Defizite in der Sicherheitsindustrie nun auf ein unterlassenes oder ein falsches Verhalten zurückzuführen?
An Investitionen scheint es jedenfalls nicht zu fehlen. Laut einer Untersuchung der Gartner, Inc. (Forecast: Information Security, Worldwide,
2012-2018, 2Q14 Update) erreichen die weltweiten Ausgaben für Informationssicherheit 2014 eine Höhe von 71,1 Milliarden US-Dollar. Dies
entspricht einem Anstieg von 7,9 Prozent gegenüber 2013, wobei der Bereich Datenverlustprävention mit 18,9 Prozent das stärkste Wachstum
verzeichnet. Die Gesamtausgaben für Informationssicherheit werden 2015 um weitere 8,2 Prozent steigen und eine Höhe von 76,9 Milliarden
US-Dollar erreichen(3).
Die soliden Ausgaben für Informationssicherheitsprodukte und -services werden von den Investitionen in Forschung und Entwicklung und einem
erstaunlichen Boom im Bereich der Neugründungen von Firmen für Informationssicherheit in den Schatten gestellt. Ellen Messmer, ehemalige
leitende Redakteurin bei Network World, schrieb, dass „die Bereitschaft, in neue Sicherheits-Startups zu investieren, weiterhin ein derart
halsbrecherisches Tempo vorlegt, dass Startups, die noch vorbereitend im Hintergrund aktiv sind, bereits von etablierten Akteuren geschluckt
werden, noch bevor sie ihre Sicherheitsprodukte und -services überhaupt der Öffentlichkeit vorstellen können.“ (4)
Warum ist dann die komplette Sicherheitsindustrie – einschließlich Fachleuten, Beratern und ja, auch Technologieanbietern – nicht in der Lage,
Cyberangriffe einzudämmen, geschweige denn, ihnen die Stirn zu bieten? Hierbei spielen mehrere Faktoren eine Rolle.
MANGELNDES SITUATIONSBEWUSSTSEIN
Generell herrscht ein mangelndes Situationsbewusstsein. In einem 1995 veröffentlichten Artikel (5) in Human Factors: The Journal of the Human
Factors and Ergonomics Society, beschreibt Dr. Mica Endsley, leitende Wissenschaftlerin der U.S. Air Force, was als allgemein anerkannte
Definition des Situationsbewusstseins gilt. Sie definiert es als „die Wahrnehmung von Elementen in der Umgebung innerhalb eines bestimmten
Volumens von Zeit und Raum, die Erfassung ihrer Bedeutung und die Projektion ihres Status in der nahen Zukunft“.
Wendet man diese Definition auf den momentanen Zustand der Cybersicherheit an, so werden Methoden, Bedeutung und Auswirkung von
Cyberangriffen von denjenigen, die für den Schutz wertvoller Informationsbestände, persönlicher Daten und sensibler Infrastrukturen zuständig
sind, nicht in einem zeitgemäßen Rahmen beurteilt. Da es an einem klaren Überblick über das Ausmaß der Cyberbedrohungen mangelt, können
die Wirtschaft und der öffentliche Sektor keine adäquate und proaktive Verteidigung gewährleisten. Die meisten Maßnahmen sind reaktiver Art und
entstehen aus dem Moment heraus. Folglich sind viele von ihnen suboptimal und in die Vergangenheit gerichtet.
Ein grober Fehler, der die Situation weiter verschärft, ist der, dass viele Unternehmen ihr Sicherheitskonzept nicht objektiv bewerten. Folglich
vertrauen sie eher auf existierende Sicherheitstechnologien anstatt auf Sicherheitsprogramme, die auf Bedrohungen ausgerichtet sind. Defizite
zuzugeben ist keine einfache Sache, zumal dies mitunter riskant oder nicht mit politischen Zielen vereinbar sein kann. Das Akzeptieren von Risiken
im Tausch gegen ein falsches Sicherheitsgefühl ist jedoch ein schlechtes Geschäft.
Das mangelnde Situationsbewusstsein, das bei vielen Experten der Informationssicherheit verbreitet ist, gehört zu den größten Schwachpunkten,
wenn es darum geht, Cybergefahren innerhalb der USA abzuwehren. Dies manifestiert sich unter anderem in Form eines trügerischen
Sicherheitsgefühls, das einige Experten der Informationssicherheit haben. Viel zu oft wird blind auf Firewalls und andere von ihnen entwickelte
Lösungen vertraut. Vielleicht motiviert durch den allgemeinen Branchenhype, den Drang, einen Eintrag auf einer To-Do-Liste abzuhaken oder
auch aus Angst werden vorsichtige Skepsis und Logik häufig durch Aktivismus verdrängt. Produkten wird vertraut, ohne dass echter Sachverstand,
eine genaue Wahrnehmung der Umstände oder Urteilsvermögen vorhanden wären. Grundlegende Sorgfaltspflichten, wie Bewertungen,
Referenzprüfungen oder Pilotprojekte, werden häufig vernachlässigt. Dies fördert eine gewisse Gleichgültigkeit, die letztlich dazu führt, dass
Systeme ungeschützt Gefahren ausgesetzt sind. Nachdem geeignete Lösungen geprüft und bereitgestellt wurden, ist größte Wachsamkeit
geboten, um diese jederzeit aufrechtzuerhalten.
2
EINE ANFÄLLIGE FESTUNG
Informationssicherheitsinvestitionen in signatur- und regelbasierte Präventionstechnologien, wie Firewalls und Virenschutzsoftware, sind
unverhältnismäßig hoch im Vergleich zu Ausgaben für Lösungen, die Angriffe erkennen und darauf reagieren können. Neil MacDonald, Vice
President und angesehener Analyst, der als Sprecher anlässlich des Gartner-Gipfeltreffens 2014 zum Thema Sicherheit und Risikomanagement
auftrat, empfahl, „dass Unternehmen versuchen sollten, die Kosten für handelsübliche Technologien, wie Malware-Schutz, IPS und
Verschlüsselung neu zu verhandeln, um die Einsparungen dann in Erkennung und Reaktion zu investieren.“ (6)
Höhere Zäune und dickere Mauern scheinen auf den ersten Blick gute Schutzmaßnahmen zu sein, aber Eindringliche können diese untergraben,
überwinden oder schlicht umgehen. Einige mischen sich an der Eingangskontrolle sogar unter die Menge und dürfen passieren. Die Chinesische
Mauer ist ein gutes Beispiel dafür. Das ikonische Bauwerk, das über Jahrhunderte von mehreren Dynastien geschaffen wurde, war sicherlich eine
große architektonische Leistung. Trotz ihrer imposanten Bauweise wurde die Mauer aber nicht nur einmal erklommen, durchdrungen, überstiegen
oder umgangen. Beispiele hierfür aus unserer Zeit sind Schutzmechanismen vom Typ „außen hart und innen weich“, bei dem eine feste Hülle
einen relativ ungeschützten, nahezu frei liegenden Systemkern umgibt. Am Ende war es unmöglich, eine fast 9.000 Kilometer lange Mauer gegen
entschlossene, in Scharen einfallende Feinde zu verteidigen, deren Angriffstaktik im Ausschwärmen bestand. In den heutigen Cyberkriegen gibt
es eigentlich keine echten Hindernisse.
„In den fast zwei Jahrzehnten, seit die erste ernsthafte Diskussion über Cyberpolitik geführt wurde, hat sich die Technologie gewaltig verändert:
E-Mail, Internet und Mobilgeräte sind heute die Norm und nicht die Ausnahme, wie noch Mitte der 1990er Jahre. Die politische Debatte hat sich
traurigerweise nicht verändert“, so Jessica R. Herrera-Flanigan im Artikel „Cyber Policy Still Stuck in the ‘90s“, der im Oktober 2014 (7) auf
Nextgov veröffentlicht wurde. Flanigan ist Partnerin bei der Monument Policy Group, einer Beratungsgesellschaft für Regierungsangelegenheiten,
und Fellow für Cybersicherheit im The National Policy Center, einer unabhängigen Denkfabrik, die Analysen, Unterstützung und Informationen
zu Cybersicherheits- und Innovationsfragen bereitstellt.
WISSENSLÜCKEN
Vielen Unternehmen fehlt es an internem Know-how in Sachen Cybersicherheit und an Ressourcen, um es mit den zahlreichen, gut dokumentierten
und eskalierenden Cybersicherheitsbedrohungen aufzunehmen, die mit nahezu jedem Lebensbereich des 21. Jahrhunderts einhergehen. Dieses
inakzeptable Risiko wird von Führungsteams und Vorständen nur zögerlich angegangen, steht aber in der Regel ganz oben auf der Tagesordnung,
wenn es erst einmal zu einem Angriff gekommen ist.
Das EY Center for Board Matters führt bei den sechs wichtigsten Vorstandsprioritäten für 2015 (8) unter anderem die Cybersicherheit auf.
„Vorstandsmitglieder wurden 2014 für das Missmanagement von Risiken in Sachen Cybersicherheit verstärkt zur Rechenschaft gezogen und
in einigen Fällen sogar abgelöst. Diese Risiken werden 2015 stark zunehmen“, so der Bericht. Konzernvorstände müssen den Ton bei der
Verbesserung der Cybersicherheit angeben, die Aufsichtsverantwortung festlegen und ihren Organisationen gleichzeitig Spielraum anbieten,
der geeignet ist, das technologische Potenzial flexibel zu nutzen.“
Der Mangel an Cybersicherheitsexperten ist im Vereinigten Königreich so akut, dass mehr als die Hälfte der 300 IT- und HR-Führungskräfte in
Unternehmen mit mindestens 500 Mitarbeitern in einer Umfrage der KPMG aus dem November 2014 (9) angaben, sie würden in Erwägung ziehen,
ehemalige Black Hat Hacker zu rekrutieren, um Cyberkriminellen einen Schritt voraus zu sein.
Der Hackerangriff auf Sony Pictures im November 2014 ist ein warnendes Beispiel. Das Eindringen in das Netzwerk durch Unbekannte (später
hatte man nordkoreanische Agenten unter Verdacht) führte zu einer breiten öffentlichen Verteilung vertraulicher Informationen. Dazu gehörten
berühmt-berüchtigte E-Mails des ehemaligen stellvertretenden Vorsitzenden des Unternehmens, in denen er sich über Präsident Obama lustig
macht, ebenso wie Gesundheitsdaten und unveröffentlichtes Filmmaterial. In einer für Klatsch und Tratsch bekannten Branche kam dies dem
Auswerfen eines Köders in haiverseuchten Gewässern gleich. Unter Bezugnahme auf Informationen aus Datensätzen, die von den Hackern
veröffentlicht wurden, berichtete Fusion, dass von den fast 7.000 Mitarbeitern von Sony Pictures nur 11 dem Informationssicherheitsteam des
Unternehmens angehörten.
Auch die Regierungen haben den Mangel an Fachkräften im Bereich Cybersicherheit zu spüren bekommen. Wie Government Technology
meldete (10), hat Michael Daniel, der Experte für Cybersicherheit im Weißen Haus, bei einer kürzlichen Veranstaltung der Brookings Institution
gegenüber einem führenden Mitarbeiter des Florida Center for Cybersecurity auf dem Campus der Universität Südflorida geäußert, dass die
Regierung der Vereinigten Staaten in den nächsten 18 Monaten 6.000 Experten für Computersicherheit einstellen werde.
Wie kommt es zu dem Mangel? Einer der Hauptgründe ist, dass es zwar jede Menge Experten für IT-Sicherheit gibt, die Cybersicherheit jedoch
andere Fähigkeiten verlangt – eine Unterscheidung, die häufig verkannt wird. Bei Cybersicherheit handelt es sich um einen Teilbereich der
Informationssicherheit. Beide Disziplinen haben miteinander zu tun, sind jedoch eigenständige Bereiche. So sind zwar beide darauf ausgelegt,
Informationssysteme zu schützen, allerdings geht die Cybersicherheit über Netzwerke und Systeme hinaus und umfasst auch Ressourcenklassen
wie strategische Infrastrukturen. Versorgungsnetze und Navigationssysteme sind gute Beispiele für Letzteres. Cybersicherheit ist zudem proaktiver
ausgerichtet. Es gibt noch weitere Qualifikationen, die Experten für Cybersicherheit besitzen müssen, die für herkömmliche IT-Mitarbeiter jedoch
nicht relevant sind. Dazu gehören das Verstehen von Geschäftsprozessen, die Fähigkeit, Informationen zu erfassen, zu analysieren und adäquat
danach zu handeln sowie fundierte Kenntnisse des gesamten Unternehmens, in dem sie tätig sind.“
Auch Erfahrung ist eine unverzichtbare Voraussetzung. Eine fundierte technische und wirtschaftliche Ausbildung ist ein weiteres Muss. Es ist
vielversprechend zu beobachten, dass Schulen und Universitäten Cybersicherheitsprogramme auf den Weg bringen und Regierungsbehörden
diese Programme immer häufiger finanzieren, z. B. durch Maßnahmen wie das National Science Foundation Scholarship for Service (SFS)Programm. Die US-Regierung hat erkannt, dass eine Lücke im Bereich Cybersicherheit vorhanden ist, und dass der Ausbildung der nächsten
Generation von Sicherheitsforschern und -fachleuten eine hohe Priorität einzuräumen ist. Das Gewährleisten von Schutz und Sicherheit für
Regierungen, die Industrie und die Gesellschaft im Allgemeinen, die immer mehr auf Cyberinfrastrukturen angewiesen ist, erfordert eine
koordinierte Vorgehensweise an mehreren Fronten – nicht nur im technischen Bereich. Das Ausbilden der nächsten Generation von
Cybersoldaten braucht jedoch seine Zeit, und auch hier gilt es, Mut zu üben und Fähigkeiten zu verfeinern.
3
Bis es soweit ist, haben Unternehmen, denen es an entsprechendem Personal und Fachwissen fehlt, die Möglichkeit, aus einem wachsenden
Angebot cloudbasierter, gemanagter Sicherheitsservices zu wählen, um ihre internen Ressourcen zu ergänzen, allerdings wird diese nur selten
wahrgenommen. Neil MacDonald von Gartner bietet eine mögliche Lösung an. Unternehmen, die intern nicht über entsprechende Mitarbeiter
verfügen, um erweiterte Sicherheitstechnologien zu unterstützen, empfiehlt er dringend, einen gemanagten Service für die Erkennung von
Bedrohungen aus dem wachsenden Angebot einschlägiger Services in Erwägung zu ziehen. (11) Unternehmen, die einen MSSP (Managed Security
Services Provider) in Betracht ziehen, sollten potenzielle Kandidaten ebenso wie Produktanbieter genau unter die Lupe nehmen, da definitiv nicht
alle gleich aufgestellt sind. Die gründliche Bewertung eines MSSP erfordert aufgrund der erhöhten Risikofaktoren, die mit der Auslagerung der
Leistung verbunden sind, in der Tat ein besonders hohes Maß an Sorgfalt. Dazu gehören wichtige Kriterien wie Personalausstattung, Funktionalität
und Technologieinfrastruktur. Die Risiken in Verbindung mit dem Outsourcen der Informationssicherheit können unter Umständen sehr hoch sein,
da Kunden eine „Black Box“ kaufen.
NEUE, DYNAMISCHE BEDROHUNGEN UND VERALTETE, STARRE ANSÄTZE
Sicherheitsfachleute und Lösungsanbieter kämpfen unentwegt und auf einem immer größeren Schauplatz gegen Bedrohungen durch
Cyberkriminelle. Fortgeschrittene, andauernde Bedrohungen (auch Advanced Persistent Threats) sind, wie der Name schon sagt, komplexe und
konstante Versuche, in Systeme einzudringen und diese außer Gefecht zu setzen. Ein intelligenter Sicherheitsansatz (Intelligence Driven Security)
ist die einzig wirksame Strategie, um ein Unentschieden gegen die Legionen der Cyberkriminellen zu erreichen.
Das Verstehen der Verfahren, Regelmäßigkeiten und Hintergründe von Bedrohungsfaktoren ist eine wichtige Voraussetzung, um einen Angriff
möglichst abzuwehren oder zumindest dessen Auswirkungen zu begrenzen. Eine Erkenntnis, die die Sicherheitsindustrie bereits gewonnen hat, ist
die, dass Cyberkriminelle den Überraschungseffekt besonders schätzen. Die Abwehr hartnäckiger und im Verborgenen agierender Cyberguerillas
erfordert eine neue Strategie. Die monolithischen, statischen Barrieren, die zum Schutz wertvoller digitaler Ressourcen und wichtiger Netzwerke
errichtet wurden, müssen durch Minenfelder und Stolperdrähte verstärkt werden, die vom Gegner erst erkannt werden, wenn es bereits zu spät ist.
Zero-Day-Angriffe, deren Bezeichnung sich auf die Zeit zwischen der Entdeckung einer neuen Bedrohung und der Ausnutzung von Schwachstellen
bezieht, haben die Spielregeln verändert. Denken Sie an das Sprichwort „Du weißt nicht, was Du nicht weißt“. Eine Vorbereitung auf einen
Zero-Day-Angriff ist per Definition unmöglich. Es kommt auf eine schnelle Reaktion an. Diese Vorgehensweise erfordert jedoch die Fähigkeit,
Bedrohungen zu erkennen und schnell zu handeln – Eigenschaften, die viele Unternehmen nicht vorweisen können.
„Angesichts der Entwicklungen in Wirtschaft, Technologie und in der Bedrohungslandschaft steht die Funktion der Informationssicherheit im
Rampenlicht, und auch sie muss sich weiterentwickeln, damit Unternehmen weiterhin erfolgreich sein können. Uns als Praktiker bietet sich eine
einzigartige Gelegenheit, das Thema Sicherheit wirklich innovativ anzugehen“, so Roland Cloutier, Vice President und Chief Security Officer bei
Automatic Data Processing, Inc. Das Unternehmen ist Mitglied im Security Business Innovation Council, einer Gruppe von
Sicherheitsverantwortlichen aus Global 1000-Unternehmen, die von RSA, The Security Division of EMC, einberufen wurde.
Die nachfolgenden Empfehlungen können Sicherheitsfachleuten dabei helfen, ihre strategische Planung und taktische Reaktionsweise
zu verbessern.
EMPFEHLUNGEN
Allzeit bereit
Dieses klassische Pfadfindermotto ist zwar kurz, aber extrem wichtig. Die Sicherheitsindustrie muss diesen Leitsatz verinnerlichen und danach
leben. Die Cyberkriege von heute sind, wie in diesem Dokument beschrieben, dynamischer Art. Wachsamkeit und Bereitschaft sind Bestandteile,
die in jedem Informationssicherheitsplan vorhanden sein müssen. Zugriffskontrolle allein ist nicht genug, um es mit Gegnern aufzunehmen, die
blitzschnell angreifen und Schwachstellen immer häufiger mit neuen Methoden ausnutzen. Die Übernahme und Verfeinerung eines iterativen
Incident-Response-Ansatzes ist unverzichtbar. Die Empfehlungen im Dokument NIST 800-61 oder die von der australischen Regierungsbehörde
Australian Signals Directorate definierten wichtigsten Kontrollen bilden eine gute Grundlage, auf der man aufbauen kann. Die Überprüfung und
Überwachung von Schwachstellen sollte operationalisiert und kontinuierlich erfolgen. Ein ganzheitlicher Reaktionsplan, der Mitarbeiter, Prozesse
und Technologien gleichermaßen berücksichtigt, muss implementiert und von allen Beteiligten verstanden und akzeptiert werden. Auch der Plan
selbst sollte regelmäßig überprüft werden.
Prioritäten setzen
Nicht alle Informationsressourcen und -infrastrukturen sind gleich. Entscheiden Sie, welche davon für das gesamte Unternehmen kritisch sind und
welche nur für eine bestimmte Funktion. Identifizieren Sie die Systeme, die auf keinen Fall und unter keinen Umständen angegriffen oder außer
Gefecht gesetzt werden dürfen. Dies betrifft etwa Transaktionsverarbeitungssysteme oder die Notstromversorgung eines Krankenhauses. E-Mailund Business-Intelligence-Anwendungen sind eher funktionskritisch. Ein Ausfall oder Eindringen wären sicherlich ärgerlich, aber tolerierbar und
einfacher zu beheben. Machen Sie sich klar, dass Cyberangriffe unvermeidbar sind. Akzeptieren Sie, dass einige davon erfolgreich sein werden.
Bedenken Sie aber auch, dass Risiken gemanagt und Verluste und Schäden durch Vorausplanung gelindert werden können.
Anpassung an veränderte It-Infrastruktur
Die Zusammensetzung der modernen IT-Infrastruktur ist zunehmend offen und unübersichtlich. Cloud-Computing bietet enorme Vorteile für
Unternehmen, darunter Flexibilität, Zukunftssicherheit, reduzierte Anforderungen an IT-Infrastruktur und Support sowie niedrigere Kosten.
Gehostete und gemanagte Services sind die vorherrschenden Softwaremodelle und dürften auch weiterhin Bestand haben. Gleichermaßen
sind E-Commerce, digitale Lieferketten und mobile Netzwerke unverzichtbare Bestandteile des Handels und der Kommunikation von heute.
Sicherheitsexperten müssen all diese Elemente verstehen, annehmen und bereit sein, sie zu verteidigen, und zwar mit Plänen und Taktiken,
die den neuen, besonderen Sicherheitsherausforderungen gerecht werden, die mit ihnen einhergehen.
4
Tote Winkel aussschalten
In dem sich entwickelnden Sicherheitsmodell steht Erkennung vor Prävention. Granulare Sichtbarkeit ist das A und O, wenn es um das Erkennen
und Stoppen moderner Bedrohungen geht. Perimetersicherheit und Virenschutz für Hosts sind nicht genug. Stellen Sie Technologien, Prozesse
und Mitarbeiter bereit, die auf das gesamte Netzwerk und auf Hostsichtbarkeit ausgelegt sind. Optimieren Sie Toolsets von Grund auf und richten
Sie sie auf neue Bedrohungen aus, indem Sie menschliche Intelligenz und Open-Source-Intelligenz integrieren.
Menschliche Schwachstellen berücksichtigen und Mitarbeiter sensibilisieren
Der Mensch ist nicht perfekt. Er passt daher ideal in das Beuteschema von Hackern. Phishing, Spyware und andere Angriffe richten sich speziell
an die Mitarbeiter von Unternehmen. Social Media haben den Arbeitsplatz verändert und bieten bösartiger Software neue Zugangsmöglichkeiten.
Viele Mitarbeiter nutzen im Rahmen ihrer Arbeit Facebook, LinkedIn und Twitter. Selbst wenn diese und andere soziale Netzwerke nicht für den Job
benötigt werden, gestatten viele Arbeitgeber ihren Mitarbeitern die Nutzung von Social Media, um einfach mal abzuschalten. Die zunehmend auf
Zusammenarbeit ausgelegten Arbeitsplätze implizieren jedoch, dass Menschen regelmäßig Informationen über verschiedene Büros, Zeitzonen und
Regionen hinweg austauschen. Dies ist ein neues Risikopotenzial, dem Rechnung getragen werden muss.
So drastisch und endgültig, wie sich die IT-Infrastruktur verändert hat, haben sich auch Arbeitsort und Arbeitsweise der Menschen verändert. Das
Mitbringen des eigenen Geräts hat sich in den letzten fünf Jahren so weit verbreitet, dass die Abkürzung BYOD mittlerweile jedem ein Begriff ist.
Die Nutzung privater Tablets, Smartphones und Laptops durch die Mitarbeiter ist längst kein Phänomen mehr, das man nur bei avantgardistischen
Startups antrifft. Unternehmen aller Größen und Branchen lassen diese Praxis zu. Viele Unternehmen befürworten BYOD, weil sich dies nicht nur
positiv auf die Investitionskosten, sondern auch auf die Produktivität und Arbeitsmoral der Mitarbeiter auswirkt. In Verbindung mit der Tatsache,
dass Menschen immer häufiger von einem anderen Ort aus arbeiten – etwa im Home Office oder auch im Lieblingscafé – wird schnell klar, dass
gut definierte, statische Netzwerke ein Relikt längst vergangener Zeiten sind. Das Management ist angehalten, für das gesamte Unternehmen
Richtlinien, Verfahren und ein konsequentes Schulungsprogramm zu entwickeln, um sicherzustellen, dass jeder Mitarbeiter die
Sicherheitsvorgaben kennt und sich der Problematik dieser neuen Infrastruktur bewusst ist.
Vertrauen ist gut, Kontrolle ist besser
Die Verantwortung für wichtige Daten und Systeme abzugeben, ist ein fataler Fehler. Noch nie zuvor haben Anbieter von Informationssicherheit so
fortschrittliche Softwareprodukte und Services auf den Markt gebracht. Der Sicherheitstechnologie wird großes Vertrauen entgegengebracht. Eine
unzureichende, falsche oder gar keine Analyse von Sicherheitsereignissen durch den Menschen kann diese jedoch nutzlos machen. Unternehmen
müssen auch weiterhin in Alarmbereitschaft bleiben und Sicherheitsprozesse und Technologien auch künftig prüfen und nachbessern.
FAZIT
In der Geschichte gibt es zahllose Beispiele für ruhmreiche Sieger, die zunächst Verluste und Rückschläge einstecken mussten, bis sie schließlich
ihre Taktik geändert und am Ende selbst den gefürchtetsten Gegner geschlagen haben. Das Wissen um die Ursache vergangener Fehler stärkt uns
auf dem Weg nach vorne. Die Empfehlungen in diesem Dokument bilden die Grundlage für einen neuen Ansatz für Unternehmen, die ihren Kurs
korrigieren und aus vergangenen Fehlern lernen möchten – damit sie im nächsten Kapitel Erfolgsgeschichte schreiben.
5
ÜBER RSA
Seit mehr als 30 Jahren macht es sich RSA zur täglichen Aufgabe, ihre über 30.000 Kunden auf der ganzen Welt beim Schutz wichtiger digitaler
Ressourcen zu unterstützen. RSA vertritt die Auffassung, dass Unternehmen die Ausnutzung von Schwachstellen und Hackerangriffe nicht als
unvermeidbare Konsequenz ihrer Geschäftstätigkeit in einer digitalen Welt hinnehmen müssen. RSA ist sogar fest davon überzeugt, dass
Unternehmen ihr Recht auf ein sicheres Geschäftsumfeld vehement verteidigen müssen. Mit RSA als Partner haben sie dafür die richtige
Wahl getroffen.
Die Intelligence Driven Security-Lösungen von RSA unterstützen Unternehmen dabei, die Risiken einzugrenzen, die mit der Geschäftstätigkeit
in der digitalen Welt einhergehen. Durch Sichtbarkeit, Analyse und Aktion sorgen die Lösungen von RSA dafür, dass Kunden in der Lage sind,
moderne Bedrohungen zu erkennen, zu untersuchen und darauf zu reagieren, Identitäten zu überprüfen und zu managen und letztlich IP-Diebstahl,
Betrug und Cyberkriminalität zu verhindern.
ANHANG
1
Cybersicherheitsvorfälle immer häufiger und teurer bei sinkenden Budgets – eine Untersuchung von PwC, CIO und CSO (Global State of
Information Security® Survey 2015)
2
2014 Cost of Data Breach Study, Ponemon Institute, Mai 2014 http://www.ponemon.org/blog/ponemon-institute-releases-2014-cost-of-data-breach-global-analysis
3
Gartner: http://www.gartner.com/newsroom/id/2828722
4
Network World: Artikel „12 hot security start-ups you need to know“ vom 18. März 2014
http://www.networkworld.com/article/2175279/security/12-hot-security-start-ups-you-need-to-know.html
5
Artikel „Toward a Theory of Situation Awareness in Dynamic Systems, Human Factors“, 1995
http://uwf.edu/skass/documents/HF.37.1995-Endsley-Theory.pdf
6, 12
TechTarget SearchSecurity: Artikel „On prevention vs. detection, Gartner says to rebalance purchasing“
http://searchsecurity.techtarget.com/news/2240223269/On-prevention-vs-detection-Gartner-says-to-rebalance-purchasing
7
„Cyber Policy Still Stuck in the ‘90s“ Nextgov, 22. Oktober 2014
http://www.nextgov.com/cybersecurity/cybersecurity-report/2014/10/cyber-policy-still-stuck-90s/97184/?oref=voicesmodule
8
Artikel „EY Center for Board Matters Highlights Top Priorities for Corporate Boards in 2015“, EY-Unternehmensnachrichten vom 12. September 2015
http://www.prnewswire.com/news-releases/ey-center-for-board-matters-highlights-top-priorities-for-corporate-boards-in-2015-300018768.html
9
Artikel „Hire a hacker to solve cyber skills crisis’ say UK companies“, KPMG-Unternehmensnachrichten vom 16. November 2014
http://www.kpmg.com/uk/en/issuesandinsights/articlespublications/newsreleases/pages/hire-a-hacker-to-solve-cyber-skills-crisis-say-uk-companies.aspx
10
Artikel „Sony Pictures hack was a long time coming, say former employees“ Fusion, 4. Dezember 2014 http://fusion.net/story/31469/sony-pictures-hack-was-a-longtime-coming-say-former-employees/
11
Artikel „Florida Colleges Rush to Create Cybersecurity Soldiers“, Government Technology, 12. Januar 2015 http://www.govtech.com/education/Colleges-Rush-toCreate-Cybersecurity-Soldiers.html
6
Copyright © 2015 EMC Deutschland GmbH. Alle Rechte vorbehalten.
RSA ist der Ansicht, dass die Informationen in dieser Veröffentlichung zum Zeitpunkt der Veröffentlichung korrekt sind. Diese Informationen
können jederzeit ohne vorherige Ankündigung geändert werden.
Die Informationen in dieser Veröffentlichung werden ohne Gewähr zur Verfügung gestellt. Die EMC Corporation macht keine Zusicherungen und
übernimmt keine Haftung jedweder Art im Hinblick auf die in diesem Dokument enthaltenen Informationen und schließt insbesondere jedwede
implizite Haftung für die Handelsüblichkeit und die Eignung für einen bestimmten Zweck aus.
Für die Nutzung, das Kopieren und die Verteilung der in dieser Veröffentlichung beschriebenen EMC Software ist eine entsprechende
Softwarelizenz erforderlich.
Eine aktuelle Liste der Produkte von EMC finden Sie unter EMC Corporation Trademarks auf germany.emc.com.
EMC2, EMC, das EMC Logo, RSA und das RSA-Logo sind eingetragene Marken oder Marken der EMC Corporation in den USA
und anderen Ländern. VMware ist eine eingetragene Marke oder Marke der VMware, Inc. in den USA und anderen Ländern.
© Copyright 2015 EMC Deutschland GmbH. Alle Rechte vorbehalten. Veröffentlicht in Deutschland. 03/15 White Paper H14039
7
germany.emc.com/rsa