Der Begriff Cyber hat in den letzten Jahren auch nebst der Informationssicherheit und ausserhalb spezialisierter Fachkreise sukzessive an Bedeutung gewonnen. Er ist insofern salonfähig geworden und auch wenn sich die Effekthascherei dieses Begriffs inzwischen bereits wieder etwas abgenutzt hat, wird er dennoch gerne und breit verwendet. Noch immer haftet ihm eine durchaus dramatische, ja fast mythische Konnotation an.

Gerne schmückt man etablierte Begriffe mit diesem Präfix, um eine besondere Wichtigkeit und Brisanz zu erwirken: Cyberangriff, Cyberkriminalität, Cyberspionage, Cybersicherheit, Cyberkriegsführung etc. Er ist zum kollektiven Universalbegriff des Sicherheitsdiskurses avanciert.

Versuch einer Wortherkunft

Wenn man nach der Etymologie des Wortes Cyber recherchiert, erscheinen zunächst die englischen cybernetics, die Steuer-Wissenschaften der Kybernetik, sodann der griechische kybernetes, der Steuermann, samt seiner kybernetike (techne), der Steuermannskunst, und schliesslich das Grundwort kybernan, steuern.

Im Buch Was die Philologen lieben – 27 Wortgeschichten von Klaus Bartels findet sich folgende Ergänzung:

Dieser “griechische” kybernetes ist im Griechischen ein Fremdling gewesen, ohne weitere Verwandtschaft, und wir wissen nicht einmal, aus welchem “Barbaren”-Land es ihn an griechische Küsten verschlagen hat.

Ja, vielleicht lässt sich aus dieser Beschreibung erahnen, weshalb wir uns zu recht Gedanken zum Thema Cyber machen müssen: Es ist genau diese bedrohliche Ungewissheit, das Zweifelhafte, nicht vorhersehbare, das ohne sichtbare Herkunft abrupt eintreten kann, das uns Sorge bereitet. Ähnlich wie den Griechen das plötzliche Eintreffen des kybernetes.

Auch in der neueren Literatur gibt es Hinweise auf das Wort Cyber: 1982 schreibt der amerikanische Science-Fiction-Autor William Gibson die Kurzgeschichte Burning Chrome. Die im Roman erwähnte Software der Hacker nannte er Cyber Space Seven.

In einem Interview mit der New York Times einige Jahre später verriet Gibson dann, dass das Wort keinerlei Bedeutung habe. Ihm gefalle es aber trotzdem sehr gut, denn vom Klang her mache es jawohl einiges her.

Cyber im Unternehmen

Da der Begriff Cyber also eine sehr breite Verwendung findet, ist es für eine Betrachtung aus Unternehmenssicht umso wichtiger, dass man sich auf eine spezifische Sichtweise beschränkt, so dass die Handlungsfelder im Kontext besser abgegrenzt und entsprechend definiert werden können.

Dies sollte dann soweit führen, dass Cybersicherheit quasi den Status einer bedeutenden Facette der Informationssicherheit und des Informationssicherheitsmanagements einnehmen kann. Unter dem Aspekt, dass Cybersicherheit alles einschliesst, was das Unternehmen besonders vor vorsätzlichen Angriffen, Bedrohungen, Schwachstellen und daraus resultierenden Folgen schützt.

Trotz der polyvalenten Verwendung des Begriffs, sollte Cybersicherheit auf alle anderen Informationssicherheitsaspekte in einem Unternehmen ausgerichtet werden. Dazu gehören natürlich auch Management Disziplinen wie die Governance und das Risk Management.

Das Leitmotiv der Cybersecurity ergibt sich – im Gegensatz zur traditionellen, eher statischen Informationssicherheit – in ihrer ausgeprägten Dynamik, die sehr situativ fokussiert ist und die je nach Bedrohungslage, permanent anpassungsfähig bleibt, um die jeweils aktuellen Motive adäquat zu adressieren. Diese Charakteristik impliziert einen kontinuierlichen Verbesserungsprozess, der sicherstellt, dass alle definierten Anforderungen erfüllt werden können: Diese ergeben sich nicht nur aus den unternehmensspezifischen Sicherheitszielen, sondern erwachsen natürlich auch aus der Weiterentwicklung von Good-Practices, durchgesetzliche Rahmenbedingungen und regulatorische Spielregeln.

Shift im Sicherheitsmodell

Die Aktionssphäre der traditionellen Informationssicherheit wird nun somit auf den erfassbaren Cyber-Raum expandiert. Dieser schliesst alle mit dem Internet und anderen ähnlichen Netzen (also auch Darknet) verbundene Technologien mit ein und berücksichtigt auch die erweiterten Kommunikationswege, Prozesse, Applikationen und Datenströme und Informationen. Daraus kann man schon mal folgende Schlüsse ziehen.

Aus den bedeutenden Geschäftsfeldern eines Unternehmens heraus, lassen sich für die Cybersicherheit unterschiedliche Perspektiven einnehmen, die dazu beitragen können, die Realität bezüglich der effektiven Risiken und Bedrohungen in ihrer Bedeutung besser zu verstehen:

• Cybersicherheitsthemen sollten nicht nur aus vereinzelten Blickwinkeln (z.B. der Informationssicherheit) heraus betrachtet werden. Dies könnte zu einer Fehleinschätzung führen und ungeeignete Aktivitäten und Massnahmen hervorbringen.
• Cybersicherheit ist bei weitem kein rein technisches Thema, sondern eine Frage der Unternehmensstrategie, des Managements und der Prozesse.
• Cybersicherheit setzt effiziente, rationelle Prozesse voraus, da Pseudo-Komplexität und Trägheit der intendierten, agilen Sicherheit-Disposition stark entgegenwirken können.

Die Erarbeitung einer passgenauen Cybersicherheits-Strategie entsteht also, indem auch aus einer Vogelperspektive heraus, über den branchenüblichen Rahmen eines Unternehmens hinweg, sowohl Sicherheitsinnovationen als auch neu entstehende Bedrohungen und Trends aus anderen Kanälen (z.B. Darknet) registriert und minuziös verfolgt werden.

Des Weiteren bilden auch nationale und internationale Vorstösse, Strategien, Taktikten aus Wirtschaft, Politik und anderen Organisationen bzw. Fachgruppierungen der Branche, wertvolle Grundlage für die Orientierung. Dazu gehören:

• ISB – Cyber-Risiken NCS
• ISB – SN002: Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken
• EU/ENISA – EU Cyber Security Strategy
• ENISA – An evaluation framework for Cyber Security Strategies
• ENISA – National Cyber Security Strategies: An Implementation Guide

Ausrichtung und Weiterentwicklung der eigenen Cybersicherheits-Massnahmen und Vorhaben, im Sinne eines Common Sense Abgleiches.

Regulatorische Standpunkte

In der Vorgabe Corporate governance principles for banks des Basel Committee on Banking Supervision vom Juli 2015 findet das Thema Cybersicherheit und Cyberrisiken erstmals eine Erwähnung.

(…) cyber risks have captured the attention of regulators and bank executives alike after large scale and coordinated denial of service attacks on banks and high profile criminal hacking (…)

Interessant ist, dass sogar im Geschäftsbericht der Schweizerischen Nationalbank SNB von Cyberrisken gesprochen wird. Genauer gesagt, werden erstmals Cyberattacken als konkrete Risiken in Finanzsystem dokumentiert und zwar im Kontext des Financial Stability Board FSB:

Der Finanzstabilitätsrat FSB koordiniert die Weiterentwicklung und Förderung stabilitätswirksamer Massnahmen zwischen den sektorenspezifischen Standardsetzungsgremien und unterstützt die nationalen Behörden bei der Umsetzung wirksamer Regulierungs- und Aufsichtsmassnahmen. Er stellt zudem das Verbindungsglied zwischen den sektorenspezifischen Standardsetzungsgremien und der G-20 dar.

In der Schweiz geht es der FINMA (Eidgenössische Finanzmarktaufsicht) nun natürlich auch darum, die schweizerische Basis an die internationalen Standards, wie eben dem erwähnten Basler Ausschuss, anzugleichen.

D.h auch die FINMA ist, daran die aufsichtsrechtlichen Anforderungen an die Corporate Governance der Banken zusammenzufassen (internes Kontrollsystem Risikomanagement). Dafür konzentriert sie diverse Bestimmungen – vorher in unterschiedlichen Rundschreiben verteilt – in einem Rundschreiben und adaptiert die Bestimmungen im Hinblick auf Erkenntnisse aus der Finanzmarktkrise und den modernisierten internationalen Standards.

Daraus folgen strengere Vorschriften für Corporate Governance, interne Kontrollsysteme und Risikomanagement, sowie ebenfalls die erstmalige Einführung des Begriffs Cyber als Management von IT- und Cyberrisiken: Dieser Grundsatz zur IT- und Cyberkriminalität wird ins Rundschreiben 2008/21: Operationelle Risiken Banken aufgenommen.

Wenn man nun den neuen Grundsatz 4 bezüglich Cybersicherheitsanforderungen der FINMA betrachtet, sieht man unweigerlich, dass die erwähnten Dimensionen praktisch kongruent mit gängigen Standards der Cybersicherheit Korrespondieren (NIST: Cyber Security Framework)

Standards zur Cybersicherheit

Inzwischen gibt es einige etablierte Standards, die eine gute Basis bilden, um basierend Darauf Cybersicherheits-Strategien zu erarbeiten:

• ISO/IEC 27032:2012 Information technology – Security techniques – Guidelines for cybersecurity
• National Institute of Standards and Technology – NIST Cyber Security Framework
• NIST SP 800-53 Security and Privacy Controls for Federal Information Systems and Organizations
• NIST – Controls Database
• CIS – Center for Interner Security (aka. SANS TOP 20) – Critical Security Controls for Effective Cyber Defense
• SANS TOP 20 Poster
• BSI Bundesamt für Sicherheit in der Informationstechnik
• BSI-CS_006 Basismassnahmen der Cyber-Sicherheit
• BSI-CS_013 Cyber-Sicherheits-Exposition

Quintessenz der Cybersicherheit

Das unreflektierte Einhalten von Regularien, Standards und Good-Practices alleine reicht nicht aus, um Cybersicherheit zu gewährleisten. Wir haben gesehen, dass die traditionelle, präventive Perimetersicherheit nicht mehr verlässlich genug ist: Die Bedrohung ist heute nicht der Perimeterübertritt (Intrusion) per se, wie das bei regulärer, althergebrachter Sichtweise der Fall gewesen wäre.

Anhand der Advanced Persistent Threats (APT) zeigt sich beispielsweise deutlich, dass an der einen oder anderen Stelle der traditionellen Informationssicherheit die Verteidigungslinien bereits erfolgreich passiert wurden und sich Hacker unerkannt hinter feindlichen Linien aufhalten können, eventuell zunächst einmal ohne einen direkten, sichtbaren Schaden zu verursachen.

D.h. die Bedrohung, dass sich Angreifer über längere Zeit unbemerkt hinter diesen vermeintlichen Schutzlinien aufhalten können, ist heute realer denn je. Dies erfordert eben den Paradigmenwechsel bei den Sicherheitsverantwortlichen und der Unternehmensführung: Eine Verschiebung in der Sicherheitsmodellierung.

Im Grunde geht es bei der Ausgestaltung der Sicherheitsziele in punkto Cybersicherheit um die Antizipation zukünftiger, potentieller Cyberrisiken und von neu aufkommenden Bedrohungen, mit dem Ziel das Unternehmen optimal vorzubereiten und aufzustellen, um sowohl den bestehenden gegenwärtigen als auch den antizipierten zukünftigen Entwicklungen Paroli bieten zu können.

Die frühzeitige Entdeckung von gezielten Attacken durch das Detektieren von Anomalien (und zwar keinesfalls nur technisch) sowie eine rasche Abschätzung der möglichen Auswirkungen, D.h. eine optimierte Situationswahrnehmung der Sicherheit in Echtzeit sind existentiell. Und darin liegt genau die Quintessenz der Cybersicherheit.

Dies beinhaltet besonders:

• Analyse zukünftiger Cyberrisiken und Bedrohungen, insbesondere unter dem Blickwinkel der sich wandelnden Technologischen, der politischen und der wirtschaftlichen Landschaft, um zukünftige Gefahren besser zu prognostizieren, antizipieren und entsprechend dagegen zu wappnen.
• Analyse innovativer Methoden zur Anomaliedetektierung, durch Zusammenführen verfügbarer Netzwerk-Informationen, System-Logs, anderer Datenströme mit neuen Mustererkennungsansätzen (Pattern Mining). Hierbei ist eine hohe Performance und Skalierbarkeit (Big Data) für die umfassende Anwendung – im Zusammenschluss und Kooperation mit anderen – über die Unternehmensgrenzen hinweg von grösster Bedeutung.
• Design von modulbasierten Infrastrukturmodellen, welche diverse vertikale Ebenen einschliessen, von der eigentlichen IT, über die Perspektive der Datenströme, der Schutzobjekte, sowie der Service-Bereitstellung, bis hin zu den inter-organisatorischen Abhängigkeiten.
• Innovative Strategien gegen Angriffsszenarien (ev. Simulationen), um die Auswirkungen von Angriffen auf vernetzte Infrastrukturen und die Effektivität von Gegenmassnahmen auf diversen Ebenen und aus verschiedenen Ausgangssituationen heraus prognostizieren zu können.
• Zusammenschliessen zu Interessensgruppen, um die Cybererkenntnisse der jeweils einzelnen Unternehmen und Organisationen zusammenzuführen und kombinieren. Um die Isolierten Anstrengungen für die Anomalieerkennung zu koordinieren und den Informationsaustausch und die gegenseitige Hilfe zwischen Organisationen und Unternehmen zu ermöglichen und verstärken.

Fazit

Es existiert kein einfacher archimedischer Punkt der Cybersicherheit. Sondern nur unzähligen Parameter, Schutzziele, Risiken, Bedrohungen und Angriffsszenarien. Die ganze Betrachtung ist mehr als die Summe der Teile. Und die Gefahren, die damit abgewendet werden sollen, entstehen auch aus Effekten und Tendenzen, deren Kausalitäten und Korrelationen wir derzeit nur unzureichend verstehen.

Auch mit der raffiniertesten Cybersicherheits-Strategie können wir eben dennoch nicht alles erkennen, registrieren, messen und detektieren. Das bedeutet aber durchaus nicht, dass wir uns deshalb nicht intensiv mit Cybersicherheit auseinandersetzen sollten. Im Gegenteil: Wir befinden uns in einer vertrackten Mittelposition. Wir wissen einiges, können uns über manches vertieft informieren und mit etwas Phantasie diverse Bedrohungsszenarien realistisch erkennen und registrieren. Cybersicherheit ist aus dieser Perspektive, der konkrete Versucht, daraus das Beste für die Sicherheit zu machen.

Über den Autor

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

• http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf
• http://www.bis.org/bcbs/publ/d328.pdf
• http://www.fsb.org
• http://www.jetzt.de/wortschatztruhe/wort-ohne-bedeutung-539102
• http://www.nist.gov/cyberframework/cybersecurity-framework-archived-documents.cfm
• http://www.nzz.ch/nzzas/cyber-attacke-gegen-ruestungskonzern-ruag-russische-hacker-enttarnen-geheime-schweizer-elitetruppe-ld.18562
• http://www.snb.ch/de/mmr/reference/annrep_2015_komplett/source/annrep_2015_komplett.de.pdf
• https://books.google.ch/books?isbn=0060539828
• https://ec.europa.eu/digital-single-market/en/cybersecurity
• https://web.nvd.nist.gov/view/800-53/Rev4/home
• https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_006.pdf?__blob=publicationFile&v=2
• https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSICS_013.pdf?__blob=publicationFile&v=2
• https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/cyber-sicherheit_node.html
• https://www.cisecurity.org/critical-controls/
• https://www.enisa.europa.eu/publications/an-evaluation-framework-for-cyber-security-strategies
• https://www.enisa.europa.eu/publications/national-cyber-security-strategies-an-implementation-guide
• https://www.finma.ch/de/~/media/finma/dokumente/dokumentencenter/anhoerungen/laufende-anhoerungen/rs-corpgovbanken/eb_rs_corpgovbanken_20160301_de.pdf?la=de
• https://www.isb.admin.ch/isb/de/home/ikt-vorgaben/strategien-teilstrategien/sn002-nationale_strategie_schutz_schweiz_cyber-risiken_ncs.html
• https://www.isb.admin.ch/isb/de/home/themen/cyber_risiken_ncs.html
• https://www.iso.org/obp/ui/#iso:std:iso-iec:27032:ed-1:v1:en
• https://www.sans.org/media/critical-security-controls/critical-controls-poster-2016.pdf