Risikoseismograph - Organisatorisches Dispositiv für eine rasche Reaktion auf akute IT Risiken

Risikoseismograph

Organisatorisches Dispositiv für eine rasche Reaktion auf akute IT Risiken

Flavio Gerbino
von Flavio Gerbino
Lesezeit: 13 Minuten

Diverse IT Sicherheitsvorfälle haben gezeigt, dass es nicht genügt, sich auf die traditionellen IT-Sicherheitskomponentnen (IDM, WAF, Firewalls, SIEM, Anti-Malware etc.) und Serviceprozesse (z.B. Incident Management etc.) zu verlassen, vielmehr benötigt man ein Radar, einen Seismographen für potentielle Sicherheitsvorfälle, bestehend aus einem Netzwerk interessierter, sicherheitsaffiner Mitarbeitenden, die für Ihren Verantwortungsbereich sicherheitsrelevante Ereignissen identifizieren, bewerten, eskalieren und angemessen weiterkommunzieren können: Damit entstehende Vorfälle im Keim erstickt werden können, bevor sie sich zu einem vitalen Problem für das Unternehmen entwickeln.

Idee

Die rasante technologische Entwicklung, die auch die Durchdringung sämtlicher Lebensbereiche mit Informationstechnologie sukzessive zunehmen lässt, sorgt für eine vielseitige Veränderung der Bedrohungslage. Unaufhörlich folgen Meldungen über neu entdeckte Schwachstellen in verschiedensten Produkten, welche ein Eindringen in noch so gut gesicherte Infrastrukturen ermöglichen. Eine Welle von Cyber-Attacken auf attraktive Ziele sorgt fortgesetzt für Aufsehen erregende Schlagzeilen. Der kriminellen Energie sind genauso wenig Grenzen gesetzt wie der exponentiell ansteigenden Komplexität technischer Systeme, welche nicht zu erahnende Kollateraleffekte nach sich zieht und ungewollt ständig ein neues Feld ungeahnter, illegitimer Möglichkeiten bereitet.

Banken und andere Dienstleister sehen sich als Verarbeiter schützenswerter und somit für potentielle Angreifer äusserst attraktiver Information wie als Betreiber anspruchsvoller Businss-Infrastruktur vermehrt mit plötzlich auftretenden Gefahren konfrontiert, welche kurzfristig erkannt werden müssen und auf die mit angemessenen Massnahmen reagiert werden muss.

Immer wieder werden Schwachstellen von häufig verwendeten, populären Produkten, wie Browser, Firewalls oder Betriebssystemen aufgedeckt und mittels diverser Internetkanäle einer immensen Anzahl potentieller Angreifer offen gelegt. Auch kryptographische Komponenten, welche integrale Bestandteile wichtiger Dienstleistungen darstellen, sind keineswegs vor Schwächen gefeit.

In solchen Situationen wird die angemessene Reaktion zum Wettlauf mit der Zeit: Es gilt, diese Schwächen in ihrer Tragweite zu erkennen und ihnen mit geeigneten Massnahmen innerhalb eines Unternehmens zu begegnen, bevor Auswirkungen auf die Qualität der Dienstleistungen entstehen können.

Für die Sicherheit eines Unternehmens und deren unmittelbare Auswirkung auf die Qualität und Reputation des Listungsportfolios ist es unabdingbar, die relevanten Bedrohungen und/oder Schwachstellen so früh wie möglich zu erkennen und kontrollieren zu können. Es drängt sich deshalb ein Sicherheitsdispositiv zur Risiko-Früherkennung, raschen Entschlussfassung und Massnahmenumsetzung auf: Nennen wir es Risikoseismograph.

Dieses organisatorische Instrument zur Risikofrüherkennung, ist interdisziplinär und Unternehmensweit über alle Geschäftsfelder aufgestellt. Unter dem Radar der Verantwortlichen stehen sämtliche Technologien, die zur Erbringung des Dienstleistungsspektrums wesentlich sind. Sicherheitsvorfälle werden proaktiv erkannt oder umgehend reaktiv identifiziert, um angemessen und kompetent Massnahmen zu ergreifen. Der weitestgehende Ausschluss von Beeinträchtigung von Dienstleistungen ist das oberste Ziel, zur langfristigen Absicherung des hohen Qualitätsanspruches des erbrachten Leistungsportfolios und Wahrung der ausserordentlichen Reputation des Geschäftsumfeldes.

Hintergrund

Die Identifikation von sicherheitsrelevanten Ereignissen baut auf der Überwachung von Informationsquellen auf. Aktuelle Bedrohungen und Schwachstellen von Systemkomponenten werden in Foren, Newsgroups oder Herstellernachrichten kommuniziert. Eigene interne Alarmeinrichtungen – wie Systemkonsolen oder Intrusion Detection Systeme (SIEM, Anti Maleware, etc.) – überwachen das Verhalten der Infrastruktur auf Unregelmässigkeiten. Die verantwortlichen Fachspezialisten überwachen diese Informationsquellen und führen die auf verschiedenen Wegen gewonnenen Erkenntnisse in einer Vorbewertung zusammen.

Doch mangelt es in Unternehmen noch oft an der Rahmen-Organisation für die frühzeitige Weiterleitung der Informationen und deren Behandlung durch die zuständigen Stellen. Die meisten dieser Bedrohungen oder Schwachstellen haben einen interdisziplinären Kommunikations- und Handlungsbedarf und verlangen nach einer entsprechenden Institutionalisierung im Unternehmen, um wirksam behandlet werden zu können.

Art Erkennungsszenario
Öffentliche Diskussion Neues Ereignis wird im Internet oder anderen Informationsmedien als mögliche Gefahr diskutiert.
Externe Detektion Ereignis ist an fremden Orten aufgetreten und wird über Massenmedium (z.B. Tageszeitungen, Fernsehen) oder externes Alarmsystem kommuniziert.
Interne Detektion Eigene Sicherheitseinrichtungen machen auf Ereignis aufmerksam.
Interne Auswirkung Ereignis tritt in eigener Organisation (punktuell) auf und könnte grössere Schäden anrichten.
Interner Schaden Ereignis verursacht in eigener Organisation bereits grössere Schäden.

Rollen

Die Treffsicherheit der Erkennung stellt die kritische Komponente des Risikoseismogrpahen dar: Während in einer oberflächlichen Betrachtung wesentliche Fälle unerkannt bleiben, führt eine überhöhte Sensibilität zu einer extensiven Anzahl von False Positives Ereignisse, welche fälschlicherweise als zutreffend bewertet werden) und einer Reduktion der Aufmerksamkeit.

Um die Treffsicherheit der Ereknnung relevanter Events sicher zu stellen, bedarf es spezieller Rollen im Dispositiv des Risikoseismographen:

Prozessübersicht

Als Sicherheitsvorfälle werden Ereignisse bezeichnet, welche eine Wirkung auf folgende Eigenschaften von Informationen oder Verarbeitungssystemen aller Art haben:

Ein solcher Sicherheitsvorfall wird dann zu einem Vorfall des Risikoseismographen, sobald von dem Ereignis eine Auswirkung auf die Sicherheit der Dienstleistungen, Informationen oder Infrastruktur des Unternehmens zu erwarten ist. Dabei kann der Effekt sowohl potentiell in der Zukunft eintreten (proaktive Betrachtung) als auch bereits tatsächlich gegeben sein (reaktive Betrachtung).

Unabhängig von der später folgenden Einschätzung der Relevanz ist jeder Sicherheitsvorfall, sobald dieser als Risikoseismograph Vorfall betrachtet wird, als solcher im Board zu erfassen. Dies stellt die Evidenz sicher, dass die Überwachung und Behandlung auch tatsächlich erfolgt ist.

Der Eventerkennung und -analyseprozess besteht im wesentlichen aus sechs Schritten in 2 Phasen:

Phase I: Ereigniserkennung & Analyse RK TL TF PE BD
1. Überwachung von Informationsquellen x - - - -
2. Vorbewertung und ggf. Erstellung eines Eintrags im Board x - - - x
3. Analyse und bereinigte Ereignisbeschreibung x x - - -
Phase II: Erarbeitung & Umsetzuung von Massnahmen RK TL TF PE BD
4. ggf. Erarbeitung von Massnahmen x x x x -
5. Massnahmenentscheid Umsetzen x x - x x
6. Rückmeldung zur Umsetzung und Abschluss - x - - x

Ablauf

Wie läuft nun der Prozess konkret ab:

  1. Die Risikokundschafter innerhalb eines Fachbereichs sind für die regelmässige Überwachung der Informationsquellen verantwortlich.
  2. Die Risikokundschafter übernehmen eine erste Filterung der vorgefundenen Informationen. Zu diesem Zweck nehmen sie eine Vorbewertung vor. Das bedingt das Abschätzen der Relevanz sowie der Dringlichkeit eines Ereignisses. Unter Umständen muss der betreffende Risikokundschafter zusätzliche Nachforschungen anstellen, um alle benötigten Informationen in Erfahrung zu bringen. Falls das untersuchte und vorbewertete Ereignis auf das Unternehmen Auswirkung hat (der Hersteller, der die Information veröffentlicht hat oder das Produkt, welches die Information betrifft ist im Unternehmen in Verwendung), so eröffnet der Risikokundschafter einen Eintrag im Board für den Risikoseismographen: Die Eröffnung des Eintrages erfolgt unabhängig von der Relevanz der konkreten Information. Diese Beurteilung erfolgt als Teil des nächsten Schrittes 3.
  3. In diesem Teilschritt wird das aktuelle Ereignis innerhalb des jeweiligen Fachbereichs analysiert und diskutiert. Relevante Fälle werden weiter verfolgt, nicht relevante zum Zwecke der Nachvollziehbarkeit als solche gekennzeichnet und abgeschlossen. Nach Abschluss von Schritt3 resultiert eine bereinigte Beschreibung, die den Ausgangspunkt für die nachfolgenden Schritte bildet. Sämtliche Funktionsträger besuchen das Board arbeitstäglich und begutachten die nicht abgeschlossenen Einträge aus dem jeweiligen Fachbereich. Sie beteiligen sich an der Diskussion der Ereignisse und tragen mit ihren Fachkenntnissen zur Analyse bei.
  4. In Abhängigkeit der Resultate aus 3 werden Massnahmenvorschläge zur Behebung eines Ereignisses ausgearbeitet. Zu diesem Zweck kann der Taskforce Leiter eine Taskforce mit geeigneter Zusammensetzung einberufen. Als Resultat steht eine Sammlung von möglichen Massnahmen zur Verfügung.
  5. Die Massnahmenvorschläge aus 4 werden mit dem Betrieb (diese mit den betroffenen Ownern) und ggf. weiteren betroffenen Personen diskutiert. Als Resultat gibt es u.U. einen Entscheid zur Umsetzung der vorgeschlagenen Massnahmen. Die Umsetzung erfolgt im Rahmen der betrieblichen Prozesse via Change Management. Falls dies nicht möglich ist werden eventuell bereits vorhandenen Change-Prozesse verwendet oder die Aufträge direkt via E-Mail an die Verantwortlichen übergeben.
  6. Nach erfolgter Umsetzung der gewählten Massnahme liefert der Betrieb eine Rückmeldung an den Taskforce Leiter. Dieser dokumentiert die Rückmeldungen im Board und schliesst nach der Umsetzung den Eintrag ab.

Risikoseismograph in der Zeit

Abdeckung

Es stehen sämtliche Technologien, welche zur Erbringung des Dienstleistungsspektrum des Unternehmens wesentlich sind, unter der Überwachung mittels des Risikoseismogrpahen subsumiert.

Risikoseismograph Bereiche und Abdeckung

Schnittstellen

Durch die Organisation des Risikoseismographen entstehen diverse Schnittstellen zu bereits etablierten Stellen und Funktionen eines Unternehmen: Fachabteilungen, Incident- Problem- Patch- und Change-Mgmt, Engineering, Development, Applikations- & Businssowners, Risk Mgmt. Damit wird generell die Zusammenarbeit bei Vorfällen erfahrungsgemäss massiv gestärkt und dadruh auch das gegenseitige Verständnis für Anliegen der Sicherheit.

Fazit

Durch das erschaffen der besprochenen Rollen innerhalb der Organisation des Risikoseismogrpahen, erwachsen aus Sicherheitssicht diverse vorteile:

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv