Cybersecurity: Leben mit der Unsicherheit
Mit Unsicherheit und Komplexität aufgrund neuer Technologien und bestimmter drohender Gefahren müssen Entscheider in der digitalen Transformation leben lernen. Auch wenn man sich nach einer klaren, Sicherheit verheissenden Lösung sehnt. Die gibt es aber so nicht.
Die heute genutzten Services haben eine kaum durchschaubare Komplexität von neuen vernetzten Technologien mit Legacy-Systemen entwickelt. Hinzu kommt die zunehmende Anzahl von Cloud-Integrationen, was die Sicherstellung der Security- und Compliance-Vorgaben infrage stellt. Man ist sich zwar der eigenen Verantwortlichkeiten bewusst – aber wie soll diese wahrgenommen werden, wenn ein kaum vermeidbarer Ransomware-Angriff tatsächlich eintrifft. Was soll man tun, wenn sich alles so unkontrolliert anfühlt?
Manchmal scheint es einfacher, den Beteuerungen der Tool- und Lösungsanbieter zu vertrauen und sich in einer gewissen Sicherheit zu wiegen, die man jedoch nicht wirklich versteht. Die Lösungen und angepriesenen Werkzeuge vermögen bestimmt einen Beitrag zu leisten. Aber man darf sich nichts vormachen: Wir leben in herausfordernden Zeiten und die Unsicherheiten werden so nicht verschwinden. Sicherheit lässt sich nicht einkaufen, wie viel Budget auch immer bereitgestellt wird.
Es gibt nur einen Weg: man muss lernen, mit der Ungewissheit zu leben. "Ungewissheit ist die einzige Gewissheit, die es gibt", schrieb der Mathematiker John Allen Paulos. "Die einzige Sicherheit besteht darin, mit der Ungewissheit leben zu können." Die Ungewissheit akzeptieren zu können, anstelle sich dieser Realität zu widersetzen, ist wohl der erste Schritt, um zu lernen, zu verbessern und letztlich Vertrauen zu gewinnen, wie wir damit umgehen, wenn sich alles so unkontrolliert anfühlt.
Akzeptanz ist jedoch nicht gleichbedeutend mit Resignation. Eine Situation zu akzeptieren, bedeutet nicht, dass sie niemals besser werden wird. Wir akzeptieren nicht, dass die Dinge für immer so bleiben, wie sie sind; wir akzeptieren nur das, was im Moment tatsächlich passiert. Und hier liegt die wahre Verantwortung und zugleich auch der Schlüssel zur Lösung für das Management in den Unternehmen. Investition in die eigenen Ressourcen der Organisation – und nicht bloss in die Bereitstellung technischer Tools. Die Organisation, deren Mitarbeitende, Prozesse und Zusammenarbeitskultur ist die beste Ressource, die ein Unternehmen hat, und diese muss resilienter gestaltet werden. Eine Ransomware-Attacke kann jedes Unternehmen jederzeit treffen. Die Frage nach der Verantwortlichkeit und der notwendigen Rechenschaftspflicht stellt sich in einem solchen Falle sehr schnell: Hat das Unternehmen genügend unternommen, die Risiken für solche Vorfälle zu minimieren? Falls nicht, lässt sich der Vorfall nicht einfach als Betriebsunfall darstellen. Also was tun?
NIST – das Cybersecurity-Framework für organisatorische Resilienz
Es gibt viele ausgezeichnete Best-Practice-Leitfaden, die grösstenteils für alle Unternehmen frei verfügbar sind. Es gibt auch strukturierte Standards wie ISO/IEC 27001, die den Organisationen helfen, ein Information Security Management System (ISMS) aufzubauen, zu unterhalten und auch formell zu zertifizieren. Ein relativ einfaches und pragmatisches Framework ist jedoch das NIST Cybersecurity Framework (National Institute of Standards and Technology). Dieses leistungsstarke Werkzeug hilft Organisationen, ihre Cybersecurity auf Basis ihres eigenen Profils zu organisieren und gleichzeitig zu verbessern.
Gerade kleineren KMU-Organisationen fehlt oft das notwendige Verständnis und es besteht auch nicht wirklich die Notwendigkeit, eine Zertifizierung anzustreben. NIST ist hier sehr gut geeignet, um ein grundlegendes Verständnis für die Notwendigkeit von Cybersicherheit und der damit verbundenen Risiken zu schaffen. Durch seine Organisation in fünf Funktionen unterstützt es Organisationen in einer verblüffend einfachen und nachvollziehbaren Weise dabei, wichtige Daten-Assets und Ressourcen der Infrastruktur, Anwendungen und Systeme zu bewerten. Organisationen und Verantwortliche erhalten dadurch die Kontrolle über ihre eigene Umgebung zurück und können sich darauf konzentrieren, die einzelnen Bereiche weiter zu verbessern.
Unterstützung finden Unternehmen in der Organisationsentwicklung bei spezialisierten Anbietern, die entsprechende Kompetenzen vermitteln. So können Unternehmen die Herausforderungen der Zukunft meistern und letztlich das Steuer in den eigenen Händen behalten. Dies in Form von Strategien und Assessments (Kennen), von Schulungen (Können) und vom Coaching zur Umsetzung (Tun). Dies setzt jedoch immer auch voraus, dass Organisationen und ihr Management bereit sein müssen, gewohnte Praktiken anzupassen und Neues zu lernen. Denn nur durch die eigene Aufmerksamkeit kehrt das notwendige Vertrauen in die erworbenen Fähigkeiten zurück. Organisationen müssen aber selbst erkennen, dass sie wesentlicher Teil der Lösung sind. NIST ist dabei ein ausgezeichneter Orientierungsleitfaden.
3 FRAGEN ZUR CYBERSICHERHEIT
Welches sind bezüglich Cybersecurity die grössten Versäumnisse des Managements?
Martin Andenmatten: Man muss zuerst auch attestieren, dass bereits viel getan wird und sich das Management sehr wohl der Risiken infolge allfälliger Cyberattacken bewusst ist. Zu oft wird Information Security aber noch als Spezialfunktion für Experten angeschaut. Es ist noch zu wenig ein integraler Bestandteil des Betriebsmodells und damit Teil der täglichen Arbeit für alle Mitarbeitenden – insbesondere dem Management selbst.
Warum gibt es trotz Vorhandensein von Cybersecurity-Strategien, fähigen CIOs & CISOs und wachsamen Mitarbeitenden dennoch erfolgreiche Cyberangriffe auf Unternehmen?
Unternehmen und ihre Daten sind heute nicht mehr hinter dicken Mauern und Firewalls versteckt, sondern von überall auf der Welt zugreifbar. Eine kleine Unachtsamkeit genügt und schon sind die meisten ausgeklügelten Sicherheitskonzepte von Angreifern ausgehebelt. Diese sind nicht sichtbar, unglaublich kreativ und hartnäckig in ihrer Zielverfolgung. Zudem sind erfolgreiche Angriffe enorm lukrativ. Das macht die Abwehr so komplex.
Wie kann ein Unternehmen sicherstellen, dass es bei einem Angriff keinen vitalen Schaden nimmt und danach schnell wieder "up and running" ist?
Es gibt nicht die eine zentrale Massnahme, die dafür genügt. Unternehmen müssen sich darauf einstellen, dass ein Angriff passiert und entsprechend verschiedene Massnahmen definieren, umsetzen und einüben. Zuerst muss man wissen, was geschützt werden soll und wo diese Assets sind und wie diese genutzt werden. Dann braucht es Massnahmen zum Schutz dieser Assets basierend auf erkannten und bewerteten Risiken. Ausserdem sind Massnahmen zur rechtzeitigen Erkennung von allfälligen Angriffen nötig. Es braucht aber auch eingeübte Massnahmen, um auf Angriffe wirkungsvoll zu reagieren und letztlich erprobte Massnahmen für einen schnellen Wiederaufbau des Betriebs, sollte der Angriff nicht rechtzeitig abgewehrt werden können.
EU-Datenschützer beurteilen Bezahlzwang für Datenschutz als inakzeptabel
Update: Österreichischer Investor übernimmt Devolo
Was KI zur Barrierefreiheit im Web beitragen kann
Logitechs Tastaturen und Mäuse erhalten direkten Draht zu ChatGPT
Der Astrologe rettet den Tag ... oder auch nicht
Das sind die Finalisten der Swiss Fintech Awards 2024
Whatsapp und Threads verschwinden aus chinesischem App Store
Update: Bundesgericht akzeptiert Swisscom-Beschwerde gegen Weko-Entscheid
Firewalls von Palo Alto enthalten eine kritische Sicherheitslücke
