Rawpixel.com - stock.adobe.com
Die Herausforderungen einer richtigen Sicherheitsstrategie
Die Implementierung einer umfassenden Sicherheitsstrategie ist keine einfache Aufgabe für Unternehmen. Menschen, Prozesse und Technologien müssen in Einklang gebracht werden.
Ein durchdachtes Sicherheitsprogramm besteht aus den drei Säulen Menschen, Prozesse und Technologie. Im Mittelpunkt aber steht der Mensch: Aktionen müssen durchgeführt, Kontrollen validiert und Verbesserungen implementiert werden. Doch die meisten Menschen haben nur begrenzt Lust darauf, über Bedrohungen, Gefahren oder böswillige Absichten nachzudenken.
Menschen: Das richtige Bewusstsein schaffen
Dennoch ist es unumgänglich, ein Sicherheitsmanagement einzuführen: Risikomanagement, Compliance und Datenschutz erfordern einen intensiven Umgang mit dem Thema Security. Dazu gehören die Produktsicherheit (inklusive Anwendungssicherheit), DevOps-Sicherheit und die Sicherheit für die Infrastruktur. Hinzu kommen Sicherheitsuntersuchungen, Vorfallmanagement, digitale Forensik und das Schwachstellenmanagement sowie die Überwachung und Alarmierung.
Schließlich muss ein Security-Team häufig auch für die Punkte Security Governance, Risiko- und Business-Continuity Management und technischer Datenschutz direkt oder indirekt verantwortlich zeichnen unter der Aufsicht eines Chief Information Security Officers (CISO), der idealerweise direkt an die Geschäftsleitung berichtet.
Moderne CISOs sind heute Business Leader, die der Geschäftsleitung auf dem oberen Management eine geschäftsorientierte Sichtweise auf die gesamte Sicherheitslage bieten. Sie benötigen einen Geschäftssinn und Soft Skills. Um sich herum versammeln sie – je nach Größe des Unternehmens – ein eigenes Security-Team, das sich um die Sicherheits- und Risikohaltung des Unternehmens kümmert und diese mit den Geschäftszielen in Einklang bringt. Bei kleinen Unternehmen reicht ein Verantwortlicher, der sich aus Unternehmensbereichen IT, HR, Finance entsprechend Mitarbeiter zieht und involviert.
Um ein Bewusstsein innerhalb der Belegschaft zu festigen, ist es allerdings unumgänglich, Sicherheitsbedenken in Schulungen anzusprechen und eine Kultur der Mitverantwortung zu entwickeln. Ziel ist es, dass alle Mitglieder des Unternehmens ihren Teil zur Sicherheit beitragen. Ohne dieses Modell der gemeinsamen Verantwortung, das stark auf Faktoren wie Training, Problembewusstsein und Zusammenarbeit angewiesen ist, sind die Kosten für die Erstellung eines robusten Sicherheitsprogramms extrem hoch.
Prozesse: Nicht nur für Experten
Gleichzeitig spielen Prozesse bei der Entwicklung von Sicherheitskonzepten eine zentrale Rolle. Indem Geschäftsabläufe eingeführt werden, die wiederholbar und messbar sind, lässt sich eine qualitativ hochwertige Sicherheitslage etablieren. Allerdings ist zu bedenken, dass die Unternehmenssicherheit nur so stark ist wie deren schwächste Komponente: Die Beibehaltung der Sorgfaltspflicht, Überwachung kritischer Vermögenswerte und kontinuierliche Sicherheitskontrollen sind also unumgänglich, um die Stabilität der Sicherheit im gesamten Unternehmen zu gewährleisten.
Da in der Regel aber nie genügend Ressourcen zur Verfügung stehen, um diese Kontrollen kontinuierlich durchzuführen, müssen auch Nichtspezialisten in der Lage sein, diese Überprüfungen anzustoßen. Dies wiederum lässt sich nur durch ein sorgfältiges Prozessmanagement und kontinuierliche Verbesserungen von Arbeitsabläufen realisieren.
Folgende Schritte sollten für die Einführung einer Sicherheitskultur unternommen werden:
- Projektmanager bestimmen. Er kümmert sich um die Einbindung von Mitarbeitern aus Unternehmensbereichen wie Rechtsabteilung, IT, HR oder Finance.
- Sicherheitskultur als wichtigstes Projekt benennen
- Security Team/CISO mit Geschäftsleitung verzahnen
- Change-Prozess vorbereiten
- Richtung für das Unternehmen vorgeben
- Richtlinien einführen und kommunizieren
- Ansprache für unterschiedliche Altersgruppen planen und verschiedene Kommunikationskanäle wählen
- Gezielte Trainings mit einzelnen Fachabteilungen abhalten
- KPIs etablieren und regelmäßige Feedback-Schleifen einführen
Die Messung der Effektivität solcher Prozesse (ob automatisiert oder nicht) ist ein entscheidender Faktor für die langfristige Tragfähigkeit einer soliden Sicherheitslage: Während beispielsweise Passwörter früher zum Schutz wertvoller Vermögenswerte ausreichten, haben verschiedene Entwicklungen bei Seitenkanalangriffen wie Social Engineering oder die Ausnutzung von Schwächen bei der Implementierung neue Vorgehensweisen erforderlich gemacht.
Dazu gehören beispielsweise Änderungen an den Login-Prozeduren, indem neue Mechanismen wie die Multifaktor-Authentifizierung (MFA) hinzugefügt wurden. Dabei handelt es sich um ein Security-Konzept, das mehr als eine Form der Authentifizierung benötigt, um die Rechtmäßigkeit einer Transaktion zu verifizieren. Unautorisierten Personen wird es damit erschwert, auf ein Ziel wie zum Beispiel einen physischen Standort, ein Computing-Gerät, ein Netzwerk oder eine Datenbank zuzugreifen. Sollte ein Faktor kompromittiert oder defekt sein, muss sich der Angreifer mit mindestens einer weiteren Barriere auseinandersetzen, um einbrechen zu können.
Technologie: Unterstützung für den Menschen
Als Multiplikator für die beiden Faktoren Menschen und Prozesse gilt der Aspekt Technologie. Es mag einige Beispiele dafür geben, bei denen Technologie tatsächlich eine völlig neue Sicherheitskontrolle ermöglicht, die durch den Einsatz von Menschen nicht realisierbar gewesen wäre. Im Allgemeinen ist es aber meistens so, dass das Zusammenspiel von Menschen und Prozessen durch neue Technologien verbessert wird und besser skaliert.
„Ohne eine starke und einheitliche Unterstützung durch die Chefetage wird es kaum möglich sein, ein zufrieden stellendes Schutzniveau zu erreichen.“
Gerald Beuchelt, LogMeIn
Ein Beispiel: Im Access-Management-Bereich sind Passwörter traditionell die erste Verteidigungslinie für Unternehmen. Da zunehmend BYOD-Richtlinien umgesetzt und Apps zur Effizienzsteigerung eingesetzt werden, müssen Unternehmen mehr Kontrolle über Anmeldeinformationen ihrer Mitarbeiter und deren Zugriff auf Arbeitsplatzanwendungen haben.
Um dieses Niveau zu erreichen und eine höhere Sicherheit zu gewährleisten, sollte der Mittelstand (kleine und mittlere Unternehmen, KMUs) zunächst Passwortmanagement-, Single-Sign-On und Multifaktor-Authentifizierungslösungen einführen, um sich in der heutigen digitalen Arbeitswelt zu schützen.
Eine konsolidierte Sicht auf den Zugriff und die Authentifizierung in einem Unternehmen erleichtert es IT-Teams, ihre Aufgaben zu erledigen und ihr Geschäftsumfeld zu sichern. Gleichzeitig kann die Qualität der Gesamtsicherheit des Unternehmens bei integrierten und externen IT-Diensten verbessert werden.
Drei Faktoren in Einklang bringen
Fest steht: Ohne eine starke und einheitliche Unterstützung durch die Chefetage wird es kaum möglich sein, ein zufrieden stellendes Schutzniveau zu erreichen. Anders ausgedrückt: Sicherheitsteams benötigen die Unterstützung der Mitarbeiter, um ihre Mission zu erfüllen. Ohne Support durch die Geschäftsführung wird jedes Training, jede Sensibilisierungskampagne oder Prozessänderung durch konkurrierende Ziele, mangelndes Interesse oder die so genannte „Compliance-Müdigkeit“ behindert.
Mitarbeiter müssen verstehen, dass Sicherheit als Enabler oder gar Produktmerkmal betrachtet werden muss. Gleichzeitig ist es nötig, die Bemühungen der Führungskräfte durch starke Governance-Prozesse und -Strukturen zu untermauern. Sie ermöglichen eine effektive Entscheidungsfindung auf strategischer Ebene.
Da die Sicherheit die Aktivitäten der meisten Unternehmensbereiche betrifft, sollte in der gesamten Führungsebene ein Konsens über die allgemeinen Sicherheitsprinzipien erreicht werden. Diese Übereinstimmung berücksichtigt die allgemeinen Sicherheits- und Risikobedenken, ohne die anderen Unternehmensziele wie Wachstum, Innovation oder Rentabilität negativ zu beeinflussen.
Klare Verantwortlichkeiten und Verantwortungen für Sicherheits- und Risikoentscheidungen unterstützen dieses Vorgehen. Schlagen Menschen, Prozesse und Technologie im Gleichtakt, so steht einer umfassenden Sicherheitsstrategie im Unternehmen auch nichts mehr im Weg.
Über den Autor:
Gerald Beuchelt ist CISO bei LogMeIn/LastPass.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.