Ist die Geschäftskontinuität nicht Teil der Sicherheit?
Andrea Covello
Diverse IT Sicherheitsvorfälle haben gezeigt, dass es nicht genügt, sich auf die traditionellen IT-Sicherheitskomponentnen (IDM, WAF, Firewalls, SIEM, Anti-Malware etc.) und Serviceprozesse (z.B. Incident Management etc.) zu verlassen, vielmehr benötigt man ein Radar, einen Seismographen für potentielle Sicherheitsvorfälle, bestehend aus einem Netzwerk interessierter, sicherheitsaffiner Mitarbeitenden, die für Ihren Verantwortungsbereich sicherheitsrelevante Ereignissen identifizieren, bewerten, eskalieren und angemessen weiterkommunzieren können: Damit entstehende Vorfälle im Keim erstickt werden können, bevor sie sich zu einem vitalen Problem für das Unternehmen entwickeln.
Die rasante technologische Entwicklung, die auch die Durchdringung sämtlicher Lebensbereiche mit Informationstechnologie sukzessive zunehmen lässt, sorgt für eine vielseitige Veränderung der Bedrohungslage. Unaufhörlich folgen Meldungen über neu entdeckte Schwachstellen in verschiedensten Produkten, welche ein Eindringen in noch so gut gesicherte Infrastrukturen ermöglichen. Eine Welle von Cyber-Attacken auf attraktive Ziele sorgt fortgesetzt für Aufsehen erregende Schlagzeilen. Der kriminellen Energie sind genauso wenig Grenzen gesetzt wie der exponentiell ansteigenden Komplexität technischer Systeme, welche nicht zu erahnende Kollateraleffekte nach sich zieht und ungewollt ständig ein neues Feld ungeahnter, illegitimer Möglichkeiten bereitet.
Banken und andere Dienstleister sehen sich als Verarbeiter schützenswerter und somit für potentielle Angreifer äusserst attraktiver Information wie als Betreiber anspruchsvoller Businss-Infrastruktur vermehrt mit plötzlich auftretenden Gefahren konfrontiert, welche kurzfristig erkannt werden müssen und auf die mit angemessenen Massnahmen reagiert werden muss.
Immer wieder werden Schwachstellen von häufig verwendeten, populären Produkten, wie Browser, Firewalls oder Betriebssystemen aufgedeckt und mittels diverser Internetkanäle einer immensen Anzahl potentieller Angreifer offen gelegt. Auch kryptographische Komponenten, welche integrale Bestandteile wichtiger Dienstleistungen darstellen, sind keineswegs vor Schwächen gefeit.
In solchen Situationen wird die angemessene Reaktion zum Wettlauf mit der Zeit: Es gilt, diese Schwächen in ihrer Tragweite zu erkennen und ihnen mit geeigneten Massnahmen innerhalb eines Unternehmens zu begegnen, bevor Auswirkungen auf die Qualität der Dienstleistungen entstehen können.
Für die Sicherheit eines Unternehmens und deren unmittelbare Auswirkung auf die Qualität und Reputation des Listungsportfolios ist es unabdingbar, die relevanten Bedrohungen und/oder Schwachstellen so früh wie möglich zu erkennen und kontrollieren zu können. Es drängt sich deshalb ein Sicherheitsdispositiv zur Risiko-Früherkennung, raschen Entschlussfassung und Massnahmenumsetzung auf: Nennen wir es Risikoseismograph.
Dieses organisatorische Instrument zur Risikofrüherkennung, ist interdisziplinär und Unternehmensweit über alle Geschäftsfelder aufgestellt. Unter dem Radar der Verantwortlichen stehen sämtliche Technologien, die zur Erbringung des Dienstleistungsspektrums wesentlich sind. Sicherheitsvorfälle werden proaktiv erkannt oder umgehend reaktiv identifiziert, um angemessen und kompetent Massnahmen zu ergreifen. Der weitestgehende Ausschluss von Beeinträchtigung von Dienstleistungen ist das oberste Ziel, zur langfristigen Absicherung des hohen Qualitätsanspruches des erbrachten Leistungsportfolios und Wahrung der ausserordentlichen Reputation des Geschäftsumfeldes.
Die Identifikation von sicherheitsrelevanten Ereignissen baut auf der Überwachung von Informationsquellen auf. Aktuelle Bedrohungen und Schwachstellen von Systemkomponenten werden in Foren, Newsgroups oder Herstellernachrichten kommuniziert. Eigene interne Alarmeinrichtungen – wie Systemkonsolen oder Intrusion Detection Systeme (SIEM, Anti Maleware, etc.) – überwachen das Verhalten der Infrastruktur auf Unregelmässigkeiten. Die verantwortlichen Fachspezialisten überwachen diese Informationsquellen und führen die auf verschiedenen Wegen gewonnenen Erkenntnisse in einer Vorbewertung zusammen.
Doch mangelt es in Unternehmen noch oft an der Rahmen-Organisation für die frühzeitige Weiterleitung der Informationen und deren Behandlung durch die zuständigen Stellen. Die meisten dieser Bedrohungen oder Schwachstellen haben einen interdisziplinären Kommunikations- und Handlungsbedarf und verlangen nach einer entsprechenden Institutionalisierung im Unternehmen, um wirksam behandlet werden zu können.
Art | Erkennungsszenario |
---|---|
Öffentliche Diskussion | Neues Ereignis wird im Internet oder anderen Informationsmedien als mögliche Gefahr diskutiert. |
Externe Detektion | Ereignis ist an fremden Orten aufgetreten und wird über Massenmedium (z.B. Tageszeitungen, Fernsehen) oder externes Alarmsystem kommuniziert. |
Interne Detektion | Eigene Sicherheitseinrichtungen machen auf Ereignis aufmerksam. |
Interne Auswirkung | Ereignis tritt in eigener Organisation (punktuell) auf und könnte grössere Schäden anrichten. |
Interner Schaden | Ereignis verursacht in eigener Organisation bereits grössere Schäden. |
Die Treffsicherheit der Erkennung stellt die kritische Komponente des Risikoseismogrpahen dar: Während in einer oberflächlichen Betrachtung wesentliche Fälle unerkannt bleiben, führt eine überhöhte Sensibilität zu einer extensiven Anzahl von False Positives Ereignisse, welche fälschlicherweise als zutreffend bewertet werden) und einer Reduktion der Aufmerksamkeit.
Um die Treffsicherheit der Ereknnung relevanter Events sicher zu stellen, bedarf es spezieller Rollen im Dispositiv des Risikoseismographen:
Als Sicherheitsvorfälle werden Ereignisse bezeichnet, welche eine Wirkung auf folgende Eigenschaften von Informationen oder Verarbeitungssystemen aller Art haben:
Ein solcher Sicherheitsvorfall wird dann zu einem Vorfall des Risikoseismographen, sobald von dem Ereignis eine Auswirkung auf die Sicherheit der Dienstleistungen, Informationen oder Infrastruktur des Unternehmens zu erwarten ist. Dabei kann der Effekt sowohl potentiell in der Zukunft eintreten (proaktive Betrachtung) als auch bereits tatsächlich gegeben sein (reaktive Betrachtung).
Unabhängig von der später folgenden Einschätzung der Relevanz ist jeder Sicherheitsvorfall, sobald dieser als Risikoseismograph Vorfall betrachtet wird, als solcher im Board zu erfassen. Dies stellt die Evidenz sicher, dass die Überwachung und Behandlung auch tatsächlich erfolgt ist.
Der Eventerkennung und -analyseprozess besteht im wesentlichen aus sechs Schritten in 2 Phasen:
Phase I: Ereigniserkennung & Analyse | RK | TL | TF | PE | BD | |
---|---|---|---|---|---|---|
1. | Überwachung von Informationsquellen | x | - | - | - | - |
2. | Vorbewertung und ggf. Erstellung eines Eintrags im Board | x | - | - | - | x |
3. | Analyse und bereinigte Ereignisbeschreibung | x | x | - | - | - |
Phase II: Erarbeitung & Umsetzuung von Massnahmen | RK | TL | TF | PE | BD | |
4. | ggf. Erarbeitung von Massnahmen | x | x | x | x | - |
5. | Massnahmenentscheid Umsetzen | x | x | - | x | x |
6. | Rückmeldung zur Umsetzung und Abschluss | - | x | - | - | x |
Wie läuft nun der Prozess konkret ab:
Es stehen sämtliche Technologien, welche zur Erbringung des Dienstleistungsspektrum des Unternehmens wesentlich sind, unter der Überwachung mittels des Risikoseismogrpahen subsumiert.
Durch die Organisation des Risikoseismographen entstehen diverse Schnittstellen zu bereits etablierten Stellen und Funktionen eines Unternehmen: Fachabteilungen, Incident- Problem- Patch- und Change-Mgmt, Engineering, Development, Applikations- & Businssowners, Risk Mgmt. Damit wird generell die Zusammenarbeit bei Vorfällen erfahrungsgemäss massiv gestärkt und dadruh auch das gegenseitige Verständnis für Anliegen der Sicherheit.
Durch das erschaffen der besprochenen Rollen innerhalb der Organisation des Risikoseismogrpahen, erwachsen aus Sicherheitssicht diverse vorteile:
Unsere Spezialisten kontaktieren Sie gern!
Andrea Covello
Michèle Trebo
Lucie Hoffmann
Yann Santschi
Unsere Spezialisten kontaktieren Sie gern!