Sicherheit im Zeitalter der Digitalisierung

Interview mit Kai Grunwitz, Senior Vice President Central Europe bei NTT Security

© Conny Kucera/CIO GUIDE
Kai Grunwitz
Senior Vice President Central Europe
NTT Security
1. Die Meldungen über DDos-Angriffe wie kürzlich gegen Yahoo häufen sich. Die von NTT Security und Lünendonk veröffentlichte Studie zeigt, dass gerade im Bereich IT-Security und Risk-Ma­na­gement noch Defizite bei den Unternehmen bestehen. Wie sehen Sie dieses Thema?

Aus unserer Sicht ist eigentlich schon der Begriff "IT-Security" ein Anachronismus: Informationssicherheit und Risikomanagement betrifft alle Bereiche eines Unternehmens und muss ganzheitlich betrachtet werden – mit einer starken Orientierung an den Geschäftszielen und -modellen eines Unternehmens. Wir reden daher lieber von Business Driven (Cyber) Security.

Viele Unternehmen betrachten IT-Security noch immer primär aus einer technischen Perspektive mit einem Fokus auf die Absicherung einzelner Komponenten. Bei den Unternehmen muss ein grundlegender Paradigmenwechsel stattfinden; sie benötigen einen Full-Security-Lifecycle-Ansatz mit den vier Grundkomponenten Prävention, Erkennung, Abwehr und Reaktion.

2. Welche grundlegenden Punkte sind hier zu beachten?

Der erste Schritt bei der Umsetzung einer ganzheitlichen Security-Strategie ist immer die Risikobewertung in den Dimensionen Technik und Business. Ohne Kenntnis der Risikofaktoren für ein Unternehmen kann ein zielgerichteter Security-Ansatz nicht effizient aufgebaut werden. Dies impliziert, dass Barrieren in Unternehmen aufgebrochen werden. Die Security und Compliance Teams müssen mehr Verständnis für die Anforderungen der Geschäftsbereiche entwickeln, während diese aufhören, Security als Abteilung zur Verhinderung von Innovation und Anpassungsfähigkeit zu betrachten.

3. Steigende Komplexität durch die Digitale Transformation verlangt vielschichtige Sicherheitsmaßnahmen: Unternehmen sehen sich in der Umfrage jedoch gut aufgestellt. Täuschen sich Unternehmen mit ihrer Selbsteinschätzung? Und wenn ja, woran liegt das?

Wir beobachten tatsächlich, dass Verantwortliche in Unternehmen ihre eigenen Sicherheitsmaßnahmen oft nicht richtig einschätzen. Gerade Führungskräften außerhalb der IT-Abteilung fehlt häufig das Verständnis für einen ganzheitlichen Ansatz, bei dem Security ein fester Bestandteil aller Prozesse und Projekte ist. Oft sehen Fachbereiche das Thema Security auch als Hindernis, vor allem, wenn es Zeitdruck zur Bereitstellung einer neuen Lösung gibt.

Ein Grundproblem ist hier eine gewisse Technologie-Gläubigkeit. Unternehmen implementieren eine State-of-the-Art Lösung, sei es Software oder Hardware, die gerade zur Absicherung gegen eine spezifische Art der Cyber-Angriffe im Trend liegt. Das schützt zwar hervorragend in diesem Bereich, nicht aber gegen einen Großteil der anderen Angriffsarten. Das Management geht jedoch davon aus, dass mit dem Einsatz des betreffenden Tools die umfassende Absicherung erfolgt. Solche Fehleinschätzungen geschehen nicht bewusst, sondern aufgrund fehlender Transparenz. Umso wichtiger ist es für interne Experten oder die Security-Branche, hier gezielt gegenzusteuern und die notwendige Transparenz zu schaffen, um diese Pseudosicherheit zu verhindern.

4. Viele Unternehmen betrachten das Durchsetzen von Security-Stan­dards als problematisch. Welche möglichen Lösungen schlagen Sie vor?

Auch wir sehen in der Durchsetzung von Security-Standards eine Herausforderung. Hier muss zunächst die Geschäftsleitung vom The­ma Informationssicherheit und Risikomanagement und von der Einführung und Einhaltung der Security-Standards sowie von einer ganzheitlichen Betrachtung überzeugt werden. Immer mehr Unternehmen erkennen jedoch, dass eine integrierte Security Unternehmen auch in ihrer Geschäftstätigkeit unterstützen und sogar Wettbewerbs­vorteile schaffen kann. Wir sprechen darüber mit unseren Kunden oft auf Geschäftsführungsebene und schlagen folgende Maßnahmen zur Steigerung der Sichtbarkeit vor:

  • Insbesondere ist die Awareness im Management zu erhöhen; dazu zählen auch Attack-Simulationen und die Präsentation der Ergebnisse im Management sowie außerdem regelmäßiges Reporting über Bedrohungssituationen und Vorfälle im Business Management;
  • Security Abteilungen müssen Lösungen erstellen anstatt Regeln;
  • Das Management muss frühzeitig in strategische Projekte eingebunden werden;
  • Dazu gehört auch die Erstellung von Lösungen, die auf die Anforderungen von Mitarbeitern ausgerichtet sind, anstatt punktuell ein Thema zu lösen, ohne die gesamten Implikationen zu betrachten.
5. Ein weiteres Ergebnis der Studie ist, dass Unternehmen bisher große Probleme haben, relevante Angriffe zu erkennen. Warum ist das so schwierig?

Es ist in der Tat so, dass die meisten Unternehmen, deren Kerngeschäft nicht die Cyber Security ist, große Schwierigkeiten damit haben, Angriffe rechtzeitig zu erkennen. Der Grund ist, dass sich die Angriffsmuster, die Häufigkeit und Qualität von Angriffen permanent verändern.

Bei der Abwehr solcher Angriffe ist die Einführung eines Security Tools allerdings nur der Anfang. In der Folge stellen dann die Pflege und Weiterentwicklung sowie die Bereitstellung eines dedizierten Security Teams zur Analyse und Reaktion auf Vorfälle viele Unternehmen vor eine große Herausforderung.

Wir beobachten immer wieder Unternehmen, die eine SIEM-Lösung implementieren und die nun erwarten, alle Angriffe zu erkennen. Dies ist leider nicht so, es wird nur ein Bruchteil der Vorkommnisse erkannt. Es ist eine Kombination von Erkennungsmechanismen und intelligenter Korrelation, durchgängigen Incident Response Prozessen und einem geschulten Security Team nötig. Also die klassischen 3P – People, Processes and Products.

6. Gibt es Möglichkeiten, hier technisch vorzusorgen?

Es ist wichtig, nicht auf einzelne Aspekte wie zum Beispiel Log-Analy­sen zu vertrauen, sondern dass diese mit Packet und Endpoint Daten und einer globalen Threat Intelligence korrelieren. NTT Security verfügt beispielsweise über ein globales Team von Analysten und Sicherheitsexperten, die Zugriff auf eine der größten unabhängigen Threat Intelligence Datenbanken haben, in denen Milliarden von Angriffen pro Jahr und mehrere Billionen von Logs weltweit ausgewertet werden. Auf dieser Basis können Angriffswellen früher erkannt werden.

7. Viele Unternehmen kümmern sich erst spät im Projektverlauf um die IT-Security. Welche Schwierigkeiten ergeben sich dadurch?

Generell ist kein umfassender Schutz gegeben, wenn die IT-Security erst spät im Projektverlauf einbezogen wird. Mitunter ist eine spätere Einbeziehung mit einem höheren Zeitaufwand und mehr Kosten verbunden, da Sicherheitsmaßnahmen vor einer Freigabe einer Lösung nachgezogen werden müssen. Schwachstellen und Sicherheitslücken müssen nachträglich identifiziert und durch Patches und Softwarekorrekturen abgedichtet werden. Das ist ein immenser Aufwand und exponiert das Unternehmen, da es immer nur zeitlich verzögert erfolgen kann. Daher der klare Appell: Trotz der Bedeutung von Time-to-Market und modernster Funktionalität, muss die Sicherheit vom ersten Tag eines Projektes oder der Programmierung auf der Agenda stehen.

8. Unternehmen wissen, dass ein Sicherheitsvorfall enorme Kosten und Imageverluste bedeutet. Trotzdem bleiben seit Jahren die Sicherheitsbudgets auf gleichem Niveau. Können Sie das erklären?

Das überrascht auch mich immer wieder. Viele Unternehmen verschließen die Augen vor den Bedrohungen und Risiken durch eine erfolgreiche Cyber-Attacke oder einen Sicherheitsvorfall. Man hofft offenbar, dass es immer die anderen trifft. Oft hat man auch nur vage Vorstellungen, wie häufig Sicherheitsvorfälle tatsächlich sind. Gerade mittelständische Unternehmer glauben, dass sie nicht interessant genug für Cyber-Angriffe sind. Aber immer wieder wird geistiges Eigentum dieser "Hidden Champions" entwendet, weil sie sich in falscher Sicherheit wiegen. Wenn Unternehmen wüssten, wie gefährdet sie sind, oder dass Attacken bereits unbemerkt erfolgreich waren, würden sie bestimmt anders agieren. Hier muss noch viel Aufklärungsarbeit geleistet werden.

9. Helfen hier Zertifizierungen weiter?

Oft wiegen sich Unternehmen in einer Scheinsicherheit, weil sie nach ISO 27001 zertifiziert sind und sich damit gut abgesichert wähnen. Tatsache ist jedoch, dass ein großer Teil von Unternehmen diese Zertifizierungen mit minimalem Aufwand betreibt, das Ziel ist dabei eine erfolgreiche Zertifizierung selbst, nicht aber eine nachhaltige Verbesserung der Prozesse. Dies ändert sich Schritt für Schritt aufgrund der gesetzlichen Anforderungen, aber noch immer werden diese Zertifizierungen als Feigenblatt genutzt und damit wird auch ein falscher Eindruck von Sicherheit geschaffen. Sicherheit darf nie Alibifunktion sein.

10. Unternehmen können sich einem ganzheitlichen IT-Security-Kon­zept nicht entziehen. Welche Prozesse müssen sie einführen, um künftig vor Angriffen geschützt zu sein?

Richtig! Wie bereits erwähnt ist die ganzheitliche Ausrichtung unabdingbar. Wichtig ist dabei, dass sie keine singulären Aktivitäten darstellen dürfen, sondern regelmäßig erfolgen müssen. Für einen ganzheitlichen Schutz müssen regelmäßige ganzheitliche Audits durch erfahrene Security-Experten erfolgen, nicht auf technischer Ebene, sondern auch durch kontextbezogene Interviews. NTT Security arbeitet mit einer weltweit einheitlichen Methodik, um globale Bench­mark-Informationen nutzen zu können. Diese ergeben, ergänzt durch gezielte Penetrationstests, eine sehr gute Abbildung der Risikolandkarte eines Unternehmens. Außerdem ist schlechtes Patch-/Change-Ma­nagement immer noch eines der größten Risikopotentiale, da notwendige Security Updates aufgrund mannigfaltiger Gründe nicht erfolgt sind. Und schließlich ist auch eine regelmäßige Aktualisierung von Notfallplänen unverzichtbar

1. Die Meldungen über DDos-Angriffe wie kürzlich gegen Yahoo häufen sich. Die von NTT Security und Lünendonk veröffentlichte Studie zeigt, dass gerade im Bereich IT-Security und Risk-Ma­na­gement noch Defizite bei den Unternehmen bestehen. Wie sehen Sie dieses Thema?

Aus unserer Sicht ist eigentlich schon der Begriff "IT-Security" ein Anachronismus: Informationssicherheit und Risikomanagement betrifft alle Bereiche eines Unternehmens und muss ganzheitlich betrachtet werden – mit einer starken Orientierung an den Geschäftszielen und -modellen eines Unternehmens. Wir reden daher lieber von Business Driven (Cyber) Security.

Viele Unternehmen betrachten IT-Security noch immer primär aus einer technischen Perspektive mit einem Fokus auf die Absicherung einzelner Komponenten. Bei den Unternehmen muss ein grundlegender Paradigmenwechsel stattfinden; sie benötigen einen Full-Security-Lifecycle-Ansatz mit den vier Grundkomponenten Prävention, Erkennung, Abwehr und Reaktion.

2. Welche grundlegenden Punkte sind hier zu beachten?

Der erste Schritt bei der Umsetzung einer ganzheitlichen Security-Strategie ist immer die Risikobewertung in den Dimensionen Technik und Business. Ohne Kenntnis der Risikofaktoren für ein Unternehmen kann ein zielgerichteter Security-Ansatz nicht effizient aufgebaut werden. Dies impliziert, dass Barrieren in Unternehmen aufgebrochen werden. Die Security und Compliance Teams müssen mehr Verständnis für die Anforderungen der Geschäftsbereiche entwickeln, während diese aufhören, Security als Abteilung zur Verhinderung von Innovation und Anpassungsfähigkeit zu betrachten.

3. Steigende Komplexität durch die Digitale Transformation verlangt vielschichtige Sicherheitsmaßnahmen: Unternehmen sehen sich in der Umfrage jedoch gut aufgestellt. Täuschen sich Unternehmen mit ihrer Selbsteinschätzung? Und wenn ja, woran liegt das?

Wir beobachten tatsächlich, dass Verantwortliche in Unternehmen ihre eigenen Sicherheitsmaßnahmen oft nicht richtig einschätzen. Gerade Führungskräften außerhalb der IT-Abteilung fehlt häufig das Verständnis für einen ganzheitlichen Ansatz, bei dem Security ein fester Bestandteil aller Prozesse und Projekte ist. Oft sehen Fachbereiche das Thema Security auch als Hindernis, vor allem, wenn es Zeitdruck zur Bereitstellung einer neuen Lösung gibt.

Ein Grundproblem ist hier eine gewisse Technologie-Gläubigkeit. Unternehmen implementieren eine State-of-the-Art Lösung, sei es Software oder Hardware, die gerade zur Absicherung gegen eine spezifische Art der Cyber-Angriffe im Trend liegt. Das schützt zwar hervorragend in diesem Bereich, nicht aber gegen einen Großteil der anderen Angriffsarten. Das Management geht jedoch davon aus, dass mit dem Einsatz des betreffenden Tools die umfassende Absicherung erfolgt. Solche Fehleinschätzungen geschehen nicht bewusst, sondern aufgrund fehlender Transparenz. Umso wichtiger ist es für interne Experten oder die Security-Branche, hier gezielt gegenzusteuern und die notwendige Transparenz zu schaffen, um diese Pseudosicherheit zu verhindern.

4. Viele Unternehmen betrachten das Durchsetzen von Security-Stan­dards als problematisch. Welche möglichen Lösungen schlagen Sie vor?

Auch wir sehen in der Durchsetzung von Security-Standards eine Herausforderung. Hier muss zunächst die Geschäftsleitung vom The­ma Informationssicherheit und Risikomanagement und von der Einführung und Einhaltung der Security-Standards sowie von einer ganzheitlichen Betrachtung überzeugt werden. Immer mehr Unternehmen erkennen jedoch, dass eine integrierte Security Unternehmen auch in ihrer Geschäftstätigkeit unterstützen und sogar Wettbewerbs­vorteile schaffen kann. Wir sprechen darüber mit unseren Kunden oft auf Geschäftsführungsebene und schlagen folgende Maßnahmen zur Steigerung der Sichtbarkeit vor:

  • Insbesondere ist die Awareness im Management zu erhöhen; dazu zählen auch Attack-Simulationen und die Präsentation der Ergebnisse im Management sowie außerdem regelmäßiges Reporting über Bedrohungssituationen und Vorfälle im Business Management;
  • Security Abteilungen müssen Lösungen erstellen anstatt Regeln;
  • Das Management muss frühzeitig in strategische Projekte eingebunden werden;
  • Dazu gehört auch die Erstellung von Lösungen, die auf die Anforderungen von Mitarbeitern ausgerichtet sind, anstatt punktuell ein Thema zu lösen, ohne die gesamten Implikationen zu betrachten.
5. Ein weiteres Ergebnis der Studie ist, dass Unternehmen bisher große Probleme haben, relevante Angriffe zu erkennen. Warum ist das so schwierig?

Es ist in der Tat so, dass die meisten Unternehmen, deren Kerngeschäft nicht die Cyber Security ist, große Schwierigkeiten damit haben, Angriffe rechtzeitig zu erkennen. Der Grund ist, dass sich die Angriffsmuster, die Häufigkeit und Qualität von Angriffen permanent verändern.

Bei der Abwehr solcher Angriffe ist die Einführung eines Security Tools allerdings nur der Anfang. In der Folge stellen dann die Pflege und Weiterentwicklung sowie die Bereitstellung eines dedizierten Security Teams zur Analyse und Reaktion auf Vorfälle viele Unternehmen vor eine große Herausforderung.

Wir beobachten immer wieder Unternehmen, die eine SIEM-Lösung implementieren und die nun erwarten, alle Angriffe zu erkennen. Dies ist leider nicht so, es wird nur ein Bruchteil der Vorkommnisse erkannt. Es ist eine Kombination von Erkennungsmechanismen und intelligenter Korrelation, durchgängigen Incident Response Prozessen und einem geschulten Security Team nötig. Also die klassischen 3P – People, Processes and Products.

6. Gibt es Möglichkeiten, hier technisch vorzusorgen?

Es ist wichtig, nicht auf einzelne Aspekte wie zum Beispiel Log-Analy­sen zu vertrauen, sondern dass diese mit Packet und Endpoint Daten und einer globalen Threat Intelligence korrelieren. NTT Security verfügt beispielsweise über ein globales Team von Analysten und Sicherheitsexperten, die Zugriff auf eine der größten unabhängigen Threat Intelligence Datenbanken haben, in denen Milliarden von Angriffen pro Jahr und mehrere Billionen von Logs weltweit ausgewertet werden. Auf dieser Basis können Angriffswellen früher erkannt werden.

7. Viele Unternehmen kümmern sich erst spät im Projektverlauf um die IT-Security. Welche Schwierigkeiten ergeben sich dadurch?

Generell ist kein umfassender Schutz gegeben, wenn die IT-Security erst spät im Projektverlauf einbezogen wird. Mitunter ist eine spätere Einbeziehung mit einem höheren Zeitaufwand und mehr Kosten verbunden, da Sicherheitsmaßnahmen vor einer Freigabe einer Lösung nachgezogen werden müssen. Schwachstellen und Sicherheitslücken müssen nachträglich identifiziert und durch Patches und Softwarekorrekturen abgedichtet werden. Das ist ein immenser Aufwand und exponiert das Unternehmen, da es immer nur zeitlich verzögert erfolgen kann. Daher der klare Appell: Trotz der Bedeutung von Time-to-Market und modernster Funktionalität, muss die Sicherheit vom ersten Tag eines Projektes oder der Programmierung auf der Agenda stehen.

8. Unternehmen wissen, dass ein Sicherheitsvorfall enorme Kosten und Imageverluste bedeutet. Trotzdem bleiben seit Jahren die Sicherheitsbudgets auf gleichem Niveau. Können Sie das erklären?

Das überrascht auch mich immer wieder. Viele Unternehmen verschließen die Augen vor den Bedrohungen und Risiken durch eine erfolgreiche Cyber-Attacke oder einen Sicherheitsvorfall. Man hofft offenbar, dass es immer die anderen trifft. Oft hat man auch nur vage Vorstellungen, wie häufig Sicherheitsvorfälle tatsächlich sind. Gerade mittelständische Unternehmer glauben, dass sie nicht interessant genug für Cyber-Angriffe sind. Aber immer wieder wird geistiges Eigentum dieser "Hidden Champions" entwendet, weil sie sich in falscher Sicherheit wiegen. Wenn Unternehmen wüssten, wie gefährdet sie sind, oder dass Attacken bereits unbemerkt erfolgreich waren, würden sie bestimmt anders agieren. Hier muss noch viel Aufklärungsarbeit geleistet werden.

9. Helfen hier Zertifizierungen weiter?

Oft wiegen sich Unternehmen in einer Scheinsicherheit, weil sie nach ISO 27001 zertifiziert sind und sich damit gut abgesichert wähnen. Tatsache ist jedoch, dass ein großer Teil von Unternehmen diese Zertifizierungen mit minimalem Aufwand betreibt, das Ziel ist dabei eine erfolgreiche Zertifizierung selbst, nicht aber eine nachhaltige Verbesserung der Prozesse. Dies ändert sich Schritt für Schritt aufgrund der gesetzlichen Anforderungen, aber noch immer werden diese Zertifizierungen als Feigenblatt genutzt und damit wird auch ein falscher Eindruck von Sicherheit geschaffen. Sicherheit darf nie Alibifunktion sein.

10. Unternehmen können sich einem ganzheitlichen IT-Security-Kon­zept nicht entziehen. Welche Prozesse müssen sie einführen, um künftig vor Angriffen geschützt zu sein?

Richtig! Wie bereits erwähnt ist die ganzheitliche Ausrichtung unabdingbar. Wichtig ist dabei, dass sie keine singulären Aktivitäten darstellen dürfen, sondern regelmäßig erfolgen müssen. Für einen ganzheitlichen Schutz müssen regelmäßige ganzheitliche Audits durch erfahrene Security-Experten erfolgen, nicht auf technischer Ebene, sondern auch durch kontextbezogene Interviews. NTT Security arbeitet mit einer weltweit einheitlichen Methodik, um globale Bench­mark-Informationen nutzen zu können. Diese ergeben, ergänzt durch gezielte Penetrationstests, eine sehr gute Abbildung der Risikolandkarte eines Unternehmens. Außerdem ist schlechtes Patch-/Change-Ma­nagement immer noch eines der größten Risikopotentiale, da notwendige Security Updates aufgrund mannigfaltiger Gründe nicht erfolgt sind. Und schließlich ist auch eine regelmäßige Aktualisierung von Notfallplänen unverzichtbar

Sie wollen mehr zum Thema IT-Security erfahren?

Erfahren Sie jetzt mehr zu den Herausforderungen im Zusammenhang mit IT-Security und Risk-Management. Downloaden Sie jetzt kostenlos die Studie und erhalten Sie fundierte Informationen zum Thema IT-Security.
Jetzt Studie downloaden

Mehr zum Thema Security Management System

This is some text inside of a div block.

Kommentare

Das könnte Sie auch interessieren ...

Mehr zum Thema Security Management System

This is some text inside of a div block.

Mehr zum Thema Sicherheit und Digitalisierung

Sie stehen vor einer Management-Herausforderung zum Thema IT-Security? Dann nehmen Sie Kontakt zu unseren Experten auf!