Cybersicherheit - Hochdynamische Risiken adressieren

Cybersicherheit

Hochdynamische Risiken adressieren

Flavio Gerbino
von Flavio Gerbino
am 14. Juli 2016
Lesezeit: 14 Minuten

Der Begriff Cyber hat in den letzten Jahren auch nebst der Informationssicherheit und ausserhalb spezialisierter Fachkreise sukzessive an Bedeutung gewonnen. Er ist insofern salonfähig geworden und auch wenn sich die Effekthascherei dieses Begriffs inzwischen bereits wieder etwas abgenutzt hat, wird er dennoch gerne und breit verwendet. Noch immer haftet ihm eine durchaus dramatische, ja fast mythische Konnotation an.

Gerne schmückt man etablierte Begriffe mit diesem Präfix, um eine besondere Wichtigkeit und Brisanz zu erwirken: Cyberangriff, Cyberkriminalität, Cyberspionage, Cybersicherheit, Cyberkriegsführung etc. Er ist zum kollektiven Universalbegriff des Sicherheitsdiskurses avanciert.

Versuch einer Wortherkunft

Wenn man nach der Etymologie des Wortes Cyber recherchiert, erscheinen zunächst die englischen cybernetics, die Steuer-Wissenschaften der Kybernetik, sodann der griechische kybernetes, der Steuermann, samt seiner kybernetike (techne), der Steuermannskunst, und schliesslich das Grundwort kybernan, steuern.

Im Buch Was die Philologen lieben – 27 Wortgeschichten von Klaus Bartels findet sich folgende Ergänzung:

Dieser “griechische” kybernetes ist im Griechischen ein Fremdling gewesen, ohne weitere Verwandtschaft, und wir wissen nicht einmal, aus welchem “Barbaren”-Land es ihn an griechische Küsten verschlagen hat.

Ja, vielleicht lässt sich aus dieser Beschreibung erahnen, weshalb wir uns zu recht Gedanken zum Thema Cyber machen müssen: Es ist genau diese bedrohliche Ungewissheit, das Zweifelhafte, nicht vorhersehbare, das ohne sichtbare Herkunft abrupt eintreten kann, das uns Sorge bereitet. Ähnlich wie den Griechen das plötzliche Eintreffen des kybernetes.

Auch in der neueren Literatur gibt es Hinweise auf das Wort Cyber: 1982 schreibt der amerikanische Science-Fiction-Autor William Gibson die Kurzgeschichte Burning Chrome. Die im Roman erwähnte Software der Hacker nannte er Cyber Space Seven.

In einem Interview mit der New York Times einige Jahre später verriet Gibson dann, dass das Wort keinerlei Bedeutung habe. Ihm gefalle es aber trotzdem sehr gut, denn vom Klang her mache es jawohl einiges her.

Cyber im Unternehmen

Da der Begriff Cyber also eine sehr breite Verwendung findet, ist es für eine Betrachtung aus Unternehmenssicht umso wichtiger, dass man sich auf eine spezifische Sichtweise beschränkt, so dass die Handlungsfelder im Kontext besser abgegrenzt und entsprechend definiert werden können.

Dies sollte dann soweit führen, dass Cybersicherheit quasi den Status einer bedeutenden Facette der Informationssicherheit und des Informationssicherheitsmanagements einnehmen kann. Unter dem Aspekt, dass Cybersicherheit alles einschliesst, was das Unternehmen besonders vor vorsätzlichen Angriffen, Bedrohungen, Schwachstellen und daraus resultierenden Folgen schützt.

Trotz der polyvalenten Verwendung des Begriffs, sollte Cybersicherheit auf alle anderen Informationssicherheitsaspekte in einem Unternehmen ausgerichtet werden. Dazu gehören natürlich auch Management Disziplinen wie die Governance und das Risk Management.

Das Leitmotiv der Cybersecurity ergibt sich – im Gegensatz zur traditionellen, eher statischen Informationssicherheit – in ihrer ausgeprägten Dynamik, die sehr situativ fokussiert ist und die je nach Bedrohungslage, permanent anpassungsfähig bleibt, um die jeweils aktuellen Motive adäquat zu adressieren. Diese Charakteristik impliziert einen kontinuierlichen Verbesserungsprozess, der sicherstellt, dass alle definierten Anforderungen erfüllt werden können: Diese ergeben sich nicht nur aus den unternehmensspezifischen Sicherheitszielen, sondern erwachsen natürlich auch aus der Weiterentwicklung von Good-Practices, durchgesetzliche Rahmenbedingungen und regulatorische Spielregeln.

Shift im Sicherheitsmodell

Traditionelle Informationssicherheit Cyber-Sicherheit
Reaktiv (Historisch) Intelligence Driven (Zukunft)
Perimeter-basiert Risk- & Angiffsszenario-basiert
Statische Controls Dynamische Controls
“Silo” Management System “Contextual” Management System

Die Aktionssphäre der traditionellen Informationssicherheit wird nun somit auf den erfassbaren Cyber-Raum expandiert. Dieser schliesst alle mit dem Internet und anderen ähnlichen Netzen (also auch Darknet) verbundene Technologien mit ein und berücksichtigt auch die erweiterten Kommunikationswege, Prozesse, Applikationen und Datenströme und Informationen. Daraus kann man schon mal folgende Schlüsse ziehen.

Aus den bedeutenden Geschäftsfeldern eines Unternehmens heraus, lassen sich für die Cybersicherheit unterschiedliche Perspektiven einnehmen, die dazu beitragen können, die Realität bezüglich der effektiven Risiken und Bedrohungen in ihrer Bedeutung besser zu verstehen:

Die Erarbeitung einer passgenauen Cybersicherheits-Strategie entsteht also, indem auch aus einer Vogelperspektive heraus, über den branchenüblichen Rahmen eines Unternehmens hinweg, sowohl Sicherheitsinnovationen als auch neu entstehende Bedrohungen und Trends aus anderen Kanälen (z.B. Darknet) registriert und minuziös verfolgt werden.

Des Weiteren bilden auch nationale und internationale Vorstösse, Strategien, Taktikten aus Wirtschaft, Politik und anderen Organisationen bzw. Fachgruppierungen der Branche, wertvolle Grundlage für die Orientierung. Dazu gehören:

Ausrichtung und Weiterentwicklung der eigenen Cybersicherheits-Massnahmen und Vorhaben, im Sinne eines Common Sense Abgleiches.

Regulatorische Standpunkte

In der Vorgabe Corporate governance principles for banks des Basel Committee on Banking Supervision vom Juli 2015 findet das Thema Cybersicherheit und Cyberrisiken erstmals eine Erwähnung.

(…) cyber risks have captured the attention of regulators and bank executives alike after large scale and coordinated denial of service attacks on banks and high profile criminal hacking (…)

Interessant ist, dass sogar im Geschäftsbericht der Schweizerischen Nationalbank SNB von Cyberrisken gesprochen wird. Genauer gesagt, werden erstmals Cyberattacken als konkrete Risiken in Finanzsystem dokumentiert und zwar im Kontext des Financial Stability Board FSB:

Der Finanzstabilitätsrat FSB koordiniert die Weiterentwicklung und Förderung stabilitätswirksamer Massnahmen zwischen den sektorenspezifischen Standardsetzungsgremien und unterstützt die nationalen Behörden bei der Umsetzung wirksamer Regulierungs- und Aufsichtsmassnahmen. Er stellt zudem das Verbindungsglied zwischen den sektorenspezifischen Standardsetzungsgremien und der G-20 dar.

In der Schweiz geht es der FINMA (Eidgenössische Finanzmarktaufsicht) nun natürlich auch darum, die schweizerische Basis an die internationalen Standards, wie eben dem erwähnten Basler Ausschuss, anzugleichen.

D.h auch die FINMA ist, daran die aufsichtsrechtlichen Anforderungen an die Corporate Governance der Banken zusammenzufassen (internes Kontrollsystem Risikomanagement). Dafür konzentriert sie diverse Bestimmungen – vorher in unterschiedlichen Rundschreiben verteilt – in einem Rundschreiben und adaptiert die Bestimmungen im Hinblick auf Erkenntnisse aus der Finanzmarktkrise und den modernisierten internationalen Standards.

Daraus folgen strengere Vorschriften für Corporate Governance, interne Kontrollsysteme und Risikomanagement, sowie ebenfalls die erstmalige Einführung des Begriffs Cyber als Management von IT- und Cyberrisiken: Dieser Grundsatz zur IT- und Cyberkriminalität wird ins Rundschreiben 2008/21: Operationelle Risiken Banken aufgenommen.

Wenn man nun den neuen Grundsatz 4 bezüglich Cybersicherheitsanforderungen der FINMA betrachtet, sieht man unweigerlich, dass die erwähnten Dimensionen praktisch kongruent mit gängigen Standards der Cybersicherheit Korrespondieren (NIST: Cyber Security Framework)

FINMA NIST
Planung: Cyberrisikomanagement-Strategie N/A
Identifikation: Identifikation potenzieller Risiken für Cyberangriffe Identify
Schützen: Schutz vor Cyberangriffen Protect
Aufdeckung: Aufdeckung von Cyberangriffen Detect
Reaktion: Reaktion auf Cyberangriffe Respond
Wiederherstellung: Wiederherstellung nach einem Cyberangriff Recover

Standards zur Cybersicherheit

Inzwischen gibt es einige etablierte Standards, die eine gute Basis bilden, um basierend Darauf Cybersicherheits-Strategien zu erarbeiten:

Quintessenz der Cybersicherheit

Das unreflektierte Einhalten von Regularien, Standards und Good-Practices alleine reicht nicht aus, um Cybersicherheit zu gewährleisten. Wir haben gesehen, dass die traditionelle, präventive Perimetersicherheit nicht mehr verlässlich genug ist: Die Bedrohung ist heute nicht der Perimeterübertritt (Intrusion) per se, wie das bei regulärer, althergebrachter Sichtweise der Fall gewesen wäre.

Anhand der Advanced Persistent Threats (APT) zeigt sich beispielsweise deutlich, dass an der einen oder anderen Stelle der traditionellen Informationssicherheit die Verteidigungslinien bereits erfolgreich passiert wurden und sich Hacker unerkannt hinter feindlichen Linien aufhalten können, eventuell zunächst einmal ohne einen direkten, sichtbaren Schaden zu verursachen.

D.h. die Bedrohung, dass sich Angreifer über längere Zeit unbemerkt hinter diesen vermeintlichen Schutzlinien aufhalten können, ist heute realer denn je. Dies erfordert eben den Paradigmenwechsel bei den Sicherheitsverantwortlichen und der Unternehmensführung: Eine Verschiebung in der Sicherheitsmodellierung.

Im Grunde geht es bei der Ausgestaltung der Sicherheitsziele in punkto Cybersicherheit um die Antizipation zukünftiger, potentieller Cyberrisiken und von neu aufkommenden Bedrohungen, mit dem Ziel das Unternehmen optimal vorzubereiten und aufzustellen, um sowohl den bestehenden gegenwärtigen als auch den antizipierten zukünftigen Entwicklungen Paroli bieten zu können.

Die frühzeitige Entdeckung von gezielten Attacken durch das Detektieren von Anomalien (und zwar keinesfalls nur technisch) sowie eine rasche Abschätzung der möglichen Auswirkungen, D.h. eine optimierte Situationswahrnehmung der Sicherheit in Echtzeit sind existentiell. Und darin liegt genau die Quintessenz der Cybersicherheit.

Dies beinhaltet besonders:

Fazit

Es existiert kein einfacher archimedischer Punkt der Cybersicherheit. Sondern nur unzähligen Parameter, Schutzziele, Risiken, Bedrohungen und Angriffsszenarien. Die ganze Betrachtung ist mehr als die Summe der Teile. Und die Gefahren, die damit abgewendet werden sollen, entstehen auch aus Effekten und Tendenzen, deren Kausalitäten und Korrelationen wir derzeit nur unzureichend verstehen.

Auch mit der raffiniertesten Cybersicherheits-Strategie können wir eben dennoch nicht alles erkennen, registrieren, messen und detektieren. Das bedeutet aber durchaus nicht, dass wir uns deshalb nicht intensiv mit Cybersicherheit auseinandersetzen sollten. Im Gegenteil: Wir befinden uns in einer vertrackten Mittelposition. Wir wissen einiges, können uns über manches vertieft informieren und mit etwas Phantasie diverse Bedrohungsszenarien realistisch erkennen und registrieren. Cybersicherheit ist aus dieser Perspektive, der konkrete Versucht, daraus das Beste für die Sicherheit zu machen.

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

Werden auch Ihre Daten im Darknet gehandelt?

Wir führen gerne für Sie ein Monitoring des Digitalen Untergrunds durch!

×
TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv