DEFIZITE DER SICHERHEITSINDUSTRIE
Transcription
DEFIZITE DER SICHERHEITSINDUSTRIE
DEFIZITE DER SICHERHEITSINDUSTRIE: VERANTWORTLICHKEIT UND AKTIONSPLAN Amit Yoran President, RSA William Robertson Assistant Professor College of Computer and Information Science, Northeastern University Die Branche der Informationssicherheit ist dabei, den Cyberkrieg zu verlieren. Besser gesagt, die Cyberkriege. Es sind mehrere. Black Hat „Hacktivisten“, organisierte Verbrecherbanden, vom Staat finanzierte Agenten, Terroristen und andere Akteure greifen scheinbar ungestraft an mehreren Fronten Computersysteme und kritische Infrastrukturen auf der ganzen Welt an. Beweggründe und Zielsetzungen sind dabei recht unterschiedlich. Im Allgemeinen steckt jedoch eine böse Absicht dahinter. Dank ihrer erschreckend hoch entwickelten Fähigkeiten und fundierter Ressourcen gelingt es den Eindringlingen des 21. Jahrhunderts sehr häufig, ihre Ziele zu erreichen. Aber nicht nur Angreifern mit hoch entwickelten Fähigkeiten ist der Erfolg sicher. Oft gelingt es auch Tätern, die eher über Hartnäckigkeit als Sachverstand verfügen, Schwachstellen auszunutzen. Unternehmen wissen oft gar nicht, dass sie eine breite Angriffsfläche bieten, da ihre Systeme unzureichend gesichert sind oder über problemlos überwindbare Eintrittspunkte verfügen. Egal, ob sie das Ziel gewiefter Cybersaboteure bzw. Krimineller geworden sind oder selbst zu wenig Vorbereitungen getroffen oder Investitionen getätigt haben, die Opfer von Cyberangriffen erleiden Schäden, die teilweise einfach nur ärgerlich sind, aber auch katastrophal, weitreichend und vor allem teuer sein können. Allein die finanziellen Auswirkungen sind erschütternd. Wenn man bedenkt, wie durch das unnachgiebige Ausnutzen von Cybersicherheitslücken die Sicherheit souveräner Staaten geschwächt, Innovationen ausgebremst, das Vertrauen der Verbraucher geschädigt und die öffentliche Sicherheit gefährdet wird, bekommt man eine Vorstellung vom beängstigenden Ausmaß des Problems. Cyberkriminalität ist eine Gefahr für die Wirtschaft weltweit. RSA WHITE PAPER PARADOX Trotz des gesteigerten Bewusstseins, der Vielfalt neuer Produkte und Services, wachsender Investitionen und gemeinsamer Maßnahmen, die von hellen Köpfen aus Wirtschaft, Regierung und Bildung ergriffen werden, hat die Sicherheitsbranche Probleme, mit dieser Entwicklung Schritt zu halten. Die Anzahl der gemeldeten Vorfälle im Bereich Informationssicherheit ist weltweit um 48 Prozent auf 42,8 Millionen gestiegen, was 117.339 Angriffen pro Tag entspricht. Dies geht aus einer Untersuchung mit dem Titel The Global State of Information Security® Survey 2015 (1) hervor, die im September 2014 von PwC in Zusammenarbeit mit den Magazinen CIO und CSO veröffentlicht wurde. Aus den Untersuchungsdaten geht hervor, dass die Sicherheitsvorfälle seit 2009 um 66 Prozent zugenommen haben. Die gleiche Untersuchung berichtet auch, dass mit der Zunahme der Sicherheitsvorfälle auch die damit einhergehenden Kosten für das Management und die Eindämmung der Vorfälle steigen. Weltweit betrug der durchschnittliche finanzielle Verlust durch Cybersicherheitsvorfälle schätzungsweise 2,7 Millionen US-Dollar – dies entspricht einem Anstieg um 34 % gegenüber 2013. Große Verluste sind in diesem Jahr immer häufiger der Fall. Fast doppelt so viele Unternehmen melden finanzielle Einbußen von mehr als 20 Millionen US-Dollar. Zu den direkt mit der Bekämpfung von Datendiebstahl und sonstigen Cyberverbrechen verbundenen finanziellen Aufwendungen – z. B. für forensische Untersuchungen, Eindämmungsmaßnahmen, Kreditüberwachung bei Opfern von Identitätsdiebstahl usw. – kommt der verheerende Vertrauensverlust. Die vom Ponemon Institute durchgeführte Untersuchung 2014 Cost of Data Breach Study: United States(2) hat ergeben, dass die durchschnittlichen Kosten je verlorenem oder gestohlenem Datensatz mit sensiblen und vertraulichen Informationen von 188 auf 201 US-Dollar gestiegen sind. Die im Durchschnitt von Unternehmen zu tragenden Gesamtkosten sind von 5,4 Millionen auf 5,9 Millionen US-Dollar gestiegen. „Der Kostenanstieg ist hauptsächlich durch den Kundenverlust nach einem solchen Datenmissbrauch bedingt, da zusätzliche Kosten anfallen, um den Ruf der Marke und des Unternehmens selbst wiederherzustellen. Die durchschnittliche Kundenfluktuation ist seit dem letzten Jahr um 15 % gestiegen“, so der Bericht. Das System weist ganz offensichtlich Mängel auf. Die Identifizierung und Behebung der Ursachen ist von entscheidender Bedeutung. FALSCHE ODER FEHLENDE MAßNAHMEN? Sind die Defizite in der Sicherheitsindustrie nun auf ein unterlassenes oder ein falsches Verhalten zurückzuführen? An Investitionen scheint es jedenfalls nicht zu fehlen. Laut einer Untersuchung der Gartner, Inc. (Forecast: Information Security, Worldwide, 2012-2018, 2Q14 Update) erreichen die weltweiten Ausgaben für Informationssicherheit 2014 eine Höhe von 71,1 Milliarden US-Dollar. Dies entspricht einem Anstieg von 7,9 Prozent gegenüber 2013, wobei der Bereich Datenverlustprävention mit 18,9 Prozent das stärkste Wachstum verzeichnet. Die Gesamtausgaben für Informationssicherheit werden 2015 um weitere 8,2 Prozent steigen und eine Höhe von 76,9 Milliarden US-Dollar erreichen(3). Die soliden Ausgaben für Informationssicherheitsprodukte und -services werden von den Investitionen in Forschung und Entwicklung und einem erstaunlichen Boom im Bereich der Neugründungen von Firmen für Informationssicherheit in den Schatten gestellt. Ellen Messmer, ehemalige leitende Redakteurin bei Network World, schrieb, dass „die Bereitschaft, in neue Sicherheits-Startups zu investieren, weiterhin ein derart halsbrecherisches Tempo vorlegt, dass Startups, die noch vorbereitend im Hintergrund aktiv sind, bereits von etablierten Akteuren geschluckt werden, noch bevor sie ihre Sicherheitsprodukte und -services überhaupt der Öffentlichkeit vorstellen können.“ (4) Warum ist dann die komplette Sicherheitsindustrie – einschließlich Fachleuten, Beratern und ja, auch Technologieanbietern – nicht in der Lage, Cyberangriffe einzudämmen, geschweige denn, ihnen die Stirn zu bieten? Hierbei spielen mehrere Faktoren eine Rolle. MANGELNDES SITUATIONSBEWUSSTSEIN Generell herrscht ein mangelndes Situationsbewusstsein. In einem 1995 veröffentlichten Artikel (5) in Human Factors: The Journal of the Human Factors and Ergonomics Society, beschreibt Dr. Mica Endsley, leitende Wissenschaftlerin der U.S. Air Force, was als allgemein anerkannte Definition des Situationsbewusstseins gilt. Sie definiert es als „die Wahrnehmung von Elementen in der Umgebung innerhalb eines bestimmten Volumens von Zeit und Raum, die Erfassung ihrer Bedeutung und die Projektion ihres Status in der nahen Zukunft“. Wendet man diese Definition auf den momentanen Zustand der Cybersicherheit an, so werden Methoden, Bedeutung und Auswirkung von Cyberangriffen von denjenigen, die für den Schutz wertvoller Informationsbestände, persönlicher Daten und sensibler Infrastrukturen zuständig sind, nicht in einem zeitgemäßen Rahmen beurteilt. Da es an einem klaren Überblick über das Ausmaß der Cyberbedrohungen mangelt, können die Wirtschaft und der öffentliche Sektor keine adäquate und proaktive Verteidigung gewährleisten. Die meisten Maßnahmen sind reaktiver Art und entstehen aus dem Moment heraus. Folglich sind viele von ihnen suboptimal und in die Vergangenheit gerichtet. Ein grober Fehler, der die Situation weiter verschärft, ist der, dass viele Unternehmen ihr Sicherheitskonzept nicht objektiv bewerten. Folglich vertrauen sie eher auf existierende Sicherheitstechnologien anstatt auf Sicherheitsprogramme, die auf Bedrohungen ausgerichtet sind. Defizite zuzugeben ist keine einfache Sache, zumal dies mitunter riskant oder nicht mit politischen Zielen vereinbar sein kann. Das Akzeptieren von Risiken im Tausch gegen ein falsches Sicherheitsgefühl ist jedoch ein schlechtes Geschäft. Das mangelnde Situationsbewusstsein, das bei vielen Experten der Informationssicherheit verbreitet ist, gehört zu den größten Schwachpunkten, wenn es darum geht, Cybergefahren innerhalb der USA abzuwehren. Dies manifestiert sich unter anderem in Form eines trügerischen Sicherheitsgefühls, das einige Experten der Informationssicherheit haben. Viel zu oft wird blind auf Firewalls und andere von ihnen entwickelte Lösungen vertraut. Vielleicht motiviert durch den allgemeinen Branchenhype, den Drang, einen Eintrag auf einer To-Do-Liste abzuhaken oder auch aus Angst werden vorsichtige Skepsis und Logik häufig durch Aktivismus verdrängt. Produkten wird vertraut, ohne dass echter Sachverstand, eine genaue Wahrnehmung der Umstände oder Urteilsvermögen vorhanden wären. Grundlegende Sorgfaltspflichten, wie Bewertungen, Referenzprüfungen oder Pilotprojekte, werden häufig vernachlässigt. Dies fördert eine gewisse Gleichgültigkeit, die letztlich dazu führt, dass Systeme ungeschützt Gefahren ausgesetzt sind. Nachdem geeignete Lösungen geprüft und bereitgestellt wurden, ist größte Wachsamkeit geboten, um diese jederzeit aufrechtzuerhalten. 2 EINE ANFÄLLIGE FESTUNG Informationssicherheitsinvestitionen in signatur- und regelbasierte Präventionstechnologien, wie Firewalls und Virenschutzsoftware, sind unverhältnismäßig hoch im Vergleich zu Ausgaben für Lösungen, die Angriffe erkennen und darauf reagieren können. Neil MacDonald, Vice President und angesehener Analyst, der als Sprecher anlässlich des Gartner-Gipfeltreffens 2014 zum Thema Sicherheit und Risikomanagement auftrat, empfahl, „dass Unternehmen versuchen sollten, die Kosten für handelsübliche Technologien, wie Malware-Schutz, IPS und Verschlüsselung neu zu verhandeln, um die Einsparungen dann in Erkennung und Reaktion zu investieren.“ (6) Höhere Zäune und dickere Mauern scheinen auf den ersten Blick gute Schutzmaßnahmen zu sein, aber Eindringliche können diese untergraben, überwinden oder schlicht umgehen. Einige mischen sich an der Eingangskontrolle sogar unter die Menge und dürfen passieren. Die Chinesische Mauer ist ein gutes Beispiel dafür. Das ikonische Bauwerk, das über Jahrhunderte von mehreren Dynastien geschaffen wurde, war sicherlich eine große architektonische Leistung. Trotz ihrer imposanten Bauweise wurde die Mauer aber nicht nur einmal erklommen, durchdrungen, überstiegen oder umgangen. Beispiele hierfür aus unserer Zeit sind Schutzmechanismen vom Typ „außen hart und innen weich“, bei dem eine feste Hülle einen relativ ungeschützten, nahezu frei liegenden Systemkern umgibt. Am Ende war es unmöglich, eine fast 9.000 Kilometer lange Mauer gegen entschlossene, in Scharen einfallende Feinde zu verteidigen, deren Angriffstaktik im Ausschwärmen bestand. In den heutigen Cyberkriegen gibt es eigentlich keine echten Hindernisse. „In den fast zwei Jahrzehnten, seit die erste ernsthafte Diskussion über Cyberpolitik geführt wurde, hat sich die Technologie gewaltig verändert: E-Mail, Internet und Mobilgeräte sind heute die Norm und nicht die Ausnahme, wie noch Mitte der 1990er Jahre. Die politische Debatte hat sich traurigerweise nicht verändert“, so Jessica R. Herrera-Flanigan im Artikel „Cyber Policy Still Stuck in the ‘90s“, der im Oktober 2014 (7) auf Nextgov veröffentlicht wurde. Flanigan ist Partnerin bei der Monument Policy Group, einer Beratungsgesellschaft für Regierungsangelegenheiten, und Fellow für Cybersicherheit im The National Policy Center, einer unabhängigen Denkfabrik, die Analysen, Unterstützung und Informationen zu Cybersicherheits- und Innovationsfragen bereitstellt. WISSENSLÜCKEN Vielen Unternehmen fehlt es an internem Know-how in Sachen Cybersicherheit und an Ressourcen, um es mit den zahlreichen, gut dokumentierten und eskalierenden Cybersicherheitsbedrohungen aufzunehmen, die mit nahezu jedem Lebensbereich des 21. Jahrhunderts einhergehen. Dieses inakzeptable Risiko wird von Führungsteams und Vorständen nur zögerlich angegangen, steht aber in der Regel ganz oben auf der Tagesordnung, wenn es erst einmal zu einem Angriff gekommen ist. Das EY Center for Board Matters führt bei den sechs wichtigsten Vorstandsprioritäten für 2015 (8) unter anderem die Cybersicherheit auf. „Vorstandsmitglieder wurden 2014 für das Missmanagement von Risiken in Sachen Cybersicherheit verstärkt zur Rechenschaft gezogen und in einigen Fällen sogar abgelöst. Diese Risiken werden 2015 stark zunehmen“, so der Bericht. Konzernvorstände müssen den Ton bei der Verbesserung der Cybersicherheit angeben, die Aufsichtsverantwortung festlegen und ihren Organisationen gleichzeitig Spielraum anbieten, der geeignet ist, das technologische Potenzial flexibel zu nutzen.“ Der Mangel an Cybersicherheitsexperten ist im Vereinigten Königreich so akut, dass mehr als die Hälfte der 300 IT- und HR-Führungskräfte in Unternehmen mit mindestens 500 Mitarbeitern in einer Umfrage der KPMG aus dem November 2014 (9) angaben, sie würden in Erwägung ziehen, ehemalige Black Hat Hacker zu rekrutieren, um Cyberkriminellen einen Schritt voraus zu sein. Der Hackerangriff auf Sony Pictures im November 2014 ist ein warnendes Beispiel. Das Eindringen in das Netzwerk durch Unbekannte (später hatte man nordkoreanische Agenten unter Verdacht) führte zu einer breiten öffentlichen Verteilung vertraulicher Informationen. Dazu gehörten berühmt-berüchtigte E-Mails des ehemaligen stellvertretenden Vorsitzenden des Unternehmens, in denen er sich über Präsident Obama lustig macht, ebenso wie Gesundheitsdaten und unveröffentlichtes Filmmaterial. In einer für Klatsch und Tratsch bekannten Branche kam dies dem Auswerfen eines Köders in haiverseuchten Gewässern gleich. Unter Bezugnahme auf Informationen aus Datensätzen, die von den Hackern veröffentlicht wurden, berichtete Fusion, dass von den fast 7.000 Mitarbeitern von Sony Pictures nur 11 dem Informationssicherheitsteam des Unternehmens angehörten. Auch die Regierungen haben den Mangel an Fachkräften im Bereich Cybersicherheit zu spüren bekommen. Wie Government Technology meldete (10), hat Michael Daniel, der Experte für Cybersicherheit im Weißen Haus, bei einer kürzlichen Veranstaltung der Brookings Institution gegenüber einem führenden Mitarbeiter des Florida Center for Cybersecurity auf dem Campus der Universität Südflorida geäußert, dass die Regierung der Vereinigten Staaten in den nächsten 18 Monaten 6.000 Experten für Computersicherheit einstellen werde. Wie kommt es zu dem Mangel? Einer der Hauptgründe ist, dass es zwar jede Menge Experten für IT-Sicherheit gibt, die Cybersicherheit jedoch andere Fähigkeiten verlangt – eine Unterscheidung, die häufig verkannt wird. Bei Cybersicherheit handelt es sich um einen Teilbereich der Informationssicherheit. Beide Disziplinen haben miteinander zu tun, sind jedoch eigenständige Bereiche. So sind zwar beide darauf ausgelegt, Informationssysteme zu schützen, allerdings geht die Cybersicherheit über Netzwerke und Systeme hinaus und umfasst auch Ressourcenklassen wie strategische Infrastrukturen. Versorgungsnetze und Navigationssysteme sind gute Beispiele für Letzteres. Cybersicherheit ist zudem proaktiver ausgerichtet. Es gibt noch weitere Qualifikationen, die Experten für Cybersicherheit besitzen müssen, die für herkömmliche IT-Mitarbeiter jedoch nicht relevant sind. Dazu gehören das Verstehen von Geschäftsprozessen, die Fähigkeit, Informationen zu erfassen, zu analysieren und adäquat danach zu handeln sowie fundierte Kenntnisse des gesamten Unternehmens, in dem sie tätig sind.“ Auch Erfahrung ist eine unverzichtbare Voraussetzung. Eine fundierte technische und wirtschaftliche Ausbildung ist ein weiteres Muss. Es ist vielversprechend zu beobachten, dass Schulen und Universitäten Cybersicherheitsprogramme auf den Weg bringen und Regierungsbehörden diese Programme immer häufiger finanzieren, z. B. durch Maßnahmen wie das National Science Foundation Scholarship for Service (SFS)Programm. Die US-Regierung hat erkannt, dass eine Lücke im Bereich Cybersicherheit vorhanden ist, und dass der Ausbildung der nächsten Generation von Sicherheitsforschern und -fachleuten eine hohe Priorität einzuräumen ist. Das Gewährleisten von Schutz und Sicherheit für Regierungen, die Industrie und die Gesellschaft im Allgemeinen, die immer mehr auf Cyberinfrastrukturen angewiesen ist, erfordert eine koordinierte Vorgehensweise an mehreren Fronten – nicht nur im technischen Bereich. Das Ausbilden der nächsten Generation von Cybersoldaten braucht jedoch seine Zeit, und auch hier gilt es, Mut zu üben und Fähigkeiten zu verfeinern. 3 Bis es soweit ist, haben Unternehmen, denen es an entsprechendem Personal und Fachwissen fehlt, die Möglichkeit, aus einem wachsenden Angebot cloudbasierter, gemanagter Sicherheitsservices zu wählen, um ihre internen Ressourcen zu ergänzen, allerdings wird diese nur selten wahrgenommen. Neil MacDonald von Gartner bietet eine mögliche Lösung an. Unternehmen, die intern nicht über entsprechende Mitarbeiter verfügen, um erweiterte Sicherheitstechnologien zu unterstützen, empfiehlt er dringend, einen gemanagten Service für die Erkennung von Bedrohungen aus dem wachsenden Angebot einschlägiger Services in Erwägung zu ziehen. (11) Unternehmen, die einen MSSP (Managed Security Services Provider) in Betracht ziehen, sollten potenzielle Kandidaten ebenso wie Produktanbieter genau unter die Lupe nehmen, da definitiv nicht alle gleich aufgestellt sind. Die gründliche Bewertung eines MSSP erfordert aufgrund der erhöhten Risikofaktoren, die mit der Auslagerung der Leistung verbunden sind, in der Tat ein besonders hohes Maß an Sorgfalt. Dazu gehören wichtige Kriterien wie Personalausstattung, Funktionalität und Technologieinfrastruktur. Die Risiken in Verbindung mit dem Outsourcen der Informationssicherheit können unter Umständen sehr hoch sein, da Kunden eine „Black Box“ kaufen. NEUE, DYNAMISCHE BEDROHUNGEN UND VERALTETE, STARRE ANSÄTZE Sicherheitsfachleute und Lösungsanbieter kämpfen unentwegt und auf einem immer größeren Schauplatz gegen Bedrohungen durch Cyberkriminelle. Fortgeschrittene, andauernde Bedrohungen (auch Advanced Persistent Threats) sind, wie der Name schon sagt, komplexe und konstante Versuche, in Systeme einzudringen und diese außer Gefecht zu setzen. Ein intelligenter Sicherheitsansatz (Intelligence Driven Security) ist die einzig wirksame Strategie, um ein Unentschieden gegen die Legionen der Cyberkriminellen zu erreichen. Das Verstehen der Verfahren, Regelmäßigkeiten und Hintergründe von Bedrohungsfaktoren ist eine wichtige Voraussetzung, um einen Angriff möglichst abzuwehren oder zumindest dessen Auswirkungen zu begrenzen. Eine Erkenntnis, die die Sicherheitsindustrie bereits gewonnen hat, ist die, dass Cyberkriminelle den Überraschungseffekt besonders schätzen. Die Abwehr hartnäckiger und im Verborgenen agierender Cyberguerillas erfordert eine neue Strategie. Die monolithischen, statischen Barrieren, die zum Schutz wertvoller digitaler Ressourcen und wichtiger Netzwerke errichtet wurden, müssen durch Minenfelder und Stolperdrähte verstärkt werden, die vom Gegner erst erkannt werden, wenn es bereits zu spät ist. Zero-Day-Angriffe, deren Bezeichnung sich auf die Zeit zwischen der Entdeckung einer neuen Bedrohung und der Ausnutzung von Schwachstellen bezieht, haben die Spielregeln verändert. Denken Sie an das Sprichwort „Du weißt nicht, was Du nicht weißt“. Eine Vorbereitung auf einen Zero-Day-Angriff ist per Definition unmöglich. Es kommt auf eine schnelle Reaktion an. Diese Vorgehensweise erfordert jedoch die Fähigkeit, Bedrohungen zu erkennen und schnell zu handeln – Eigenschaften, die viele Unternehmen nicht vorweisen können. „Angesichts der Entwicklungen in Wirtschaft, Technologie und in der Bedrohungslandschaft steht die Funktion der Informationssicherheit im Rampenlicht, und auch sie muss sich weiterentwickeln, damit Unternehmen weiterhin erfolgreich sein können. Uns als Praktiker bietet sich eine einzigartige Gelegenheit, das Thema Sicherheit wirklich innovativ anzugehen“, so Roland Cloutier, Vice President und Chief Security Officer bei Automatic Data Processing, Inc. Das Unternehmen ist Mitglied im Security Business Innovation Council, einer Gruppe von Sicherheitsverantwortlichen aus Global 1000-Unternehmen, die von RSA, The Security Division of EMC, einberufen wurde. Die nachfolgenden Empfehlungen können Sicherheitsfachleuten dabei helfen, ihre strategische Planung und taktische Reaktionsweise zu verbessern. EMPFEHLUNGEN Allzeit bereit Dieses klassische Pfadfindermotto ist zwar kurz, aber extrem wichtig. Die Sicherheitsindustrie muss diesen Leitsatz verinnerlichen und danach leben. Die Cyberkriege von heute sind, wie in diesem Dokument beschrieben, dynamischer Art. Wachsamkeit und Bereitschaft sind Bestandteile, die in jedem Informationssicherheitsplan vorhanden sein müssen. Zugriffskontrolle allein ist nicht genug, um es mit Gegnern aufzunehmen, die blitzschnell angreifen und Schwachstellen immer häufiger mit neuen Methoden ausnutzen. Die Übernahme und Verfeinerung eines iterativen Incident-Response-Ansatzes ist unverzichtbar. Die Empfehlungen im Dokument NIST 800-61 oder die von der australischen Regierungsbehörde Australian Signals Directorate definierten wichtigsten Kontrollen bilden eine gute Grundlage, auf der man aufbauen kann. Die Überprüfung und Überwachung von Schwachstellen sollte operationalisiert und kontinuierlich erfolgen. Ein ganzheitlicher Reaktionsplan, der Mitarbeiter, Prozesse und Technologien gleichermaßen berücksichtigt, muss implementiert und von allen Beteiligten verstanden und akzeptiert werden. Auch der Plan selbst sollte regelmäßig überprüft werden. Prioritäten setzen Nicht alle Informationsressourcen und -infrastrukturen sind gleich. Entscheiden Sie, welche davon für das gesamte Unternehmen kritisch sind und welche nur für eine bestimmte Funktion. Identifizieren Sie die Systeme, die auf keinen Fall und unter keinen Umständen angegriffen oder außer Gefecht gesetzt werden dürfen. Dies betrifft etwa Transaktionsverarbeitungssysteme oder die Notstromversorgung eines Krankenhauses. E-Mailund Business-Intelligence-Anwendungen sind eher funktionskritisch. Ein Ausfall oder Eindringen wären sicherlich ärgerlich, aber tolerierbar und einfacher zu beheben. Machen Sie sich klar, dass Cyberangriffe unvermeidbar sind. Akzeptieren Sie, dass einige davon erfolgreich sein werden. Bedenken Sie aber auch, dass Risiken gemanagt und Verluste und Schäden durch Vorausplanung gelindert werden können. Anpassung an veränderte It-Infrastruktur Die Zusammensetzung der modernen IT-Infrastruktur ist zunehmend offen und unübersichtlich. Cloud-Computing bietet enorme Vorteile für Unternehmen, darunter Flexibilität, Zukunftssicherheit, reduzierte Anforderungen an IT-Infrastruktur und Support sowie niedrigere Kosten. Gehostete und gemanagte Services sind die vorherrschenden Softwaremodelle und dürften auch weiterhin Bestand haben. Gleichermaßen sind E-Commerce, digitale Lieferketten und mobile Netzwerke unverzichtbare Bestandteile des Handels und der Kommunikation von heute. Sicherheitsexperten müssen all diese Elemente verstehen, annehmen und bereit sein, sie zu verteidigen, und zwar mit Plänen und Taktiken, die den neuen, besonderen Sicherheitsherausforderungen gerecht werden, die mit ihnen einhergehen. 4 Tote Winkel aussschalten In dem sich entwickelnden Sicherheitsmodell steht Erkennung vor Prävention. Granulare Sichtbarkeit ist das A und O, wenn es um das Erkennen und Stoppen moderner Bedrohungen geht. Perimetersicherheit und Virenschutz für Hosts sind nicht genug. Stellen Sie Technologien, Prozesse und Mitarbeiter bereit, die auf das gesamte Netzwerk und auf Hostsichtbarkeit ausgelegt sind. Optimieren Sie Toolsets von Grund auf und richten Sie sie auf neue Bedrohungen aus, indem Sie menschliche Intelligenz und Open-Source-Intelligenz integrieren. Menschliche Schwachstellen berücksichtigen und Mitarbeiter sensibilisieren Der Mensch ist nicht perfekt. Er passt daher ideal in das Beuteschema von Hackern. Phishing, Spyware und andere Angriffe richten sich speziell an die Mitarbeiter von Unternehmen. Social Media haben den Arbeitsplatz verändert und bieten bösartiger Software neue Zugangsmöglichkeiten. Viele Mitarbeiter nutzen im Rahmen ihrer Arbeit Facebook, LinkedIn und Twitter. Selbst wenn diese und andere soziale Netzwerke nicht für den Job benötigt werden, gestatten viele Arbeitgeber ihren Mitarbeitern die Nutzung von Social Media, um einfach mal abzuschalten. Die zunehmend auf Zusammenarbeit ausgelegten Arbeitsplätze implizieren jedoch, dass Menschen regelmäßig Informationen über verschiedene Büros, Zeitzonen und Regionen hinweg austauschen. Dies ist ein neues Risikopotenzial, dem Rechnung getragen werden muss. So drastisch und endgültig, wie sich die IT-Infrastruktur verändert hat, haben sich auch Arbeitsort und Arbeitsweise der Menschen verändert. Das Mitbringen des eigenen Geräts hat sich in den letzten fünf Jahren so weit verbreitet, dass die Abkürzung BYOD mittlerweile jedem ein Begriff ist. Die Nutzung privater Tablets, Smartphones und Laptops durch die Mitarbeiter ist längst kein Phänomen mehr, das man nur bei avantgardistischen Startups antrifft. Unternehmen aller Größen und Branchen lassen diese Praxis zu. Viele Unternehmen befürworten BYOD, weil sich dies nicht nur positiv auf die Investitionskosten, sondern auch auf die Produktivität und Arbeitsmoral der Mitarbeiter auswirkt. In Verbindung mit der Tatsache, dass Menschen immer häufiger von einem anderen Ort aus arbeiten – etwa im Home Office oder auch im Lieblingscafé – wird schnell klar, dass gut definierte, statische Netzwerke ein Relikt längst vergangener Zeiten sind. Das Management ist angehalten, für das gesamte Unternehmen Richtlinien, Verfahren und ein konsequentes Schulungsprogramm zu entwickeln, um sicherzustellen, dass jeder Mitarbeiter die Sicherheitsvorgaben kennt und sich der Problematik dieser neuen Infrastruktur bewusst ist. Vertrauen ist gut, Kontrolle ist besser Die Verantwortung für wichtige Daten und Systeme abzugeben, ist ein fataler Fehler. Noch nie zuvor haben Anbieter von Informationssicherheit so fortschrittliche Softwareprodukte und Services auf den Markt gebracht. Der Sicherheitstechnologie wird großes Vertrauen entgegengebracht. Eine unzureichende, falsche oder gar keine Analyse von Sicherheitsereignissen durch den Menschen kann diese jedoch nutzlos machen. Unternehmen müssen auch weiterhin in Alarmbereitschaft bleiben und Sicherheitsprozesse und Technologien auch künftig prüfen und nachbessern. FAZIT In der Geschichte gibt es zahllose Beispiele für ruhmreiche Sieger, die zunächst Verluste und Rückschläge einstecken mussten, bis sie schließlich ihre Taktik geändert und am Ende selbst den gefürchtetsten Gegner geschlagen haben. Das Wissen um die Ursache vergangener Fehler stärkt uns auf dem Weg nach vorne. Die Empfehlungen in diesem Dokument bilden die Grundlage für einen neuen Ansatz für Unternehmen, die ihren Kurs korrigieren und aus vergangenen Fehlern lernen möchten – damit sie im nächsten Kapitel Erfolgsgeschichte schreiben. 5 ÜBER RSA Seit mehr als 30 Jahren macht es sich RSA zur täglichen Aufgabe, ihre über 30.000 Kunden auf der ganzen Welt beim Schutz wichtiger digitaler Ressourcen zu unterstützen. RSA vertritt die Auffassung, dass Unternehmen die Ausnutzung von Schwachstellen und Hackerangriffe nicht als unvermeidbare Konsequenz ihrer Geschäftstätigkeit in einer digitalen Welt hinnehmen müssen. RSA ist sogar fest davon überzeugt, dass Unternehmen ihr Recht auf ein sicheres Geschäftsumfeld vehement verteidigen müssen. Mit RSA als Partner haben sie dafür die richtige Wahl getroffen. Die Intelligence Driven Security-Lösungen von RSA unterstützen Unternehmen dabei, die Risiken einzugrenzen, die mit der Geschäftstätigkeit in der digitalen Welt einhergehen. Durch Sichtbarkeit, Analyse und Aktion sorgen die Lösungen von RSA dafür, dass Kunden in der Lage sind, moderne Bedrohungen zu erkennen, zu untersuchen und darauf zu reagieren, Identitäten zu überprüfen und zu managen und letztlich IP-Diebstahl, Betrug und Cyberkriminalität zu verhindern. ANHANG 1 Cybersicherheitsvorfälle immer häufiger und teurer bei sinkenden Budgets – eine Untersuchung von PwC, CIO und CSO (Global State of Information Security® Survey 2015) 2 2014 Cost of Data Breach Study, Ponemon Institute, Mai 2014 http://www.ponemon.org/blog/ponemon-institute-releases-2014-cost-of-data-breach-global-analysis 3 Gartner: http://www.gartner.com/newsroom/id/2828722 4 Network World: Artikel „12 hot security start-ups you need to know“ vom 18. März 2014 http://www.networkworld.com/article/2175279/security/12-hot-security-start-ups-you-need-to-know.html 5 Artikel „Toward a Theory of Situation Awareness in Dynamic Systems, Human Factors“, 1995 http://uwf.edu/skass/documents/HF.37.1995-Endsley-Theory.pdf 6, 12 TechTarget SearchSecurity: Artikel „On prevention vs. detection, Gartner says to rebalance purchasing“ http://searchsecurity.techtarget.com/news/2240223269/On-prevention-vs-detection-Gartner-says-to-rebalance-purchasing 7 „Cyber Policy Still Stuck in the ‘90s“ Nextgov, 22. Oktober 2014 http://www.nextgov.com/cybersecurity/cybersecurity-report/2014/10/cyber-policy-still-stuck-90s/97184/?oref=voicesmodule 8 Artikel „EY Center for Board Matters Highlights Top Priorities for Corporate Boards in 2015“, EY-Unternehmensnachrichten vom 12. September 2015 http://www.prnewswire.com/news-releases/ey-center-for-board-matters-highlights-top-priorities-for-corporate-boards-in-2015-300018768.html 9 Artikel „Hire a hacker to solve cyber skills crisis’ say UK companies“, KPMG-Unternehmensnachrichten vom 16. November 2014 http://www.kpmg.com/uk/en/issuesandinsights/articlespublications/newsreleases/pages/hire-a-hacker-to-solve-cyber-skills-crisis-say-uk-companies.aspx 10 Artikel „Sony Pictures hack was a long time coming, say former employees“ Fusion, 4. Dezember 2014 http://fusion.net/story/31469/sony-pictures-hack-was-a-longtime-coming-say-former-employees/ 11 Artikel „Florida Colleges Rush to Create Cybersecurity Soldiers“, Government Technology, 12. Januar 2015 http://www.govtech.com/education/Colleges-Rush-toCreate-Cybersecurity-Soldiers.html 6 Copyright © 2015 EMC Deutschland GmbH. Alle Rechte vorbehalten. RSA ist der Ansicht, dass die Informationen in dieser Veröffentlichung zum Zeitpunkt der Veröffentlichung korrekt sind. Diese Informationen können jederzeit ohne vorherige Ankündigung geändert werden. Die Informationen in dieser Veröffentlichung werden ohne Gewähr zur Verfügung gestellt. Die EMC Corporation macht keine Zusicherungen und übernimmt keine Haftung jedweder Art im Hinblick auf die in diesem Dokument enthaltenen Informationen und schließt insbesondere jedwede implizite Haftung für die Handelsüblichkeit und die Eignung für einen bestimmten Zweck aus. Für die Nutzung, das Kopieren und die Verteilung der in dieser Veröffentlichung beschriebenen EMC Software ist eine entsprechende Softwarelizenz erforderlich. Eine aktuelle Liste der Produkte von EMC finden Sie unter EMC Corporation Trademarks auf germany.emc.com. EMC2, EMC, das EMC Logo, RSA und das RSA-Logo sind eingetragene Marken oder Marken der EMC Corporation in den USA und anderen Ländern. VMware ist eine eingetragene Marke oder Marke der VMware, Inc. in den USA und anderen Ländern. © Copyright 2015 EMC Deutschland GmbH. Alle Rechte vorbehalten. Veröffentlicht in Deutschland. 03/15 White Paper H14039 7 germany.emc.com/rsa