5. Blog der Serie: IT-Sicherheit neu denken – Cyber Security Anamnese
In meinem letzten Blog mit dem Titel “Ziele einer erfolgreichen Umsetzung von IT Security” habe ich beschrieben, dass das Etablieren einer risiko-orientierten Cyber Resilienz ein elementares Ziel sein sollte. Es gilt also reale und bisher unentdeckte Cyberrisiken und unerwünschte Ereignisse kontinuierlich transparent zu machen, zu erkennen, zu bewerten und zu beseitigen, mit dem Ziel das Unternehmensrisiko zu minimieren.
Ein bestandener Audit hat nur wenig Aussagekraft darüber, ob man das reale Cyberrisiko auch unter Kontrolle hat oder ob nicht schon längst Angreifer unentdeckt in der eigenen Infrastruktur unterwegs sind. Das gleiche gilt für gelegentliche Security Checks und Penetration Tests, egal ob nun von außen oder von innen. Diese zeigen zwar sehr gut mögliche Schwachstellen auf, die es zu beseitigen gilt, aber zusätzlich empfiehlt sich eine „Cyber Security Anamnese“, um mehr Transparenz und Visibilität zu schaffen.
„LICHT AN“ sollte also die Prämisse sein, denn nur was ich sehe, kann ich auch bekämpfen oder dementsprechend die Präventionsmaßnahmen verbessern. Es gilt, sich initial einen „Rundumblick“ zu verschaffen mit dem Ziel unbekannte Risiken aufzudecken z.B.
- die Nutzung von unerwünschten und unerlaubten Applikationen und Cloud Services (Schatten IT)
- im Netzwerkverkehr zum Internet und aus dem Internet
- im externen Netzwerkzugang durch Hersteller, Service Partner etc.
- das Verhalten von Dateien sowohl auf dem Endgerät als auch im gesamten Netzwerk
- von Anomalien und unerwünschten Netzwerkverbindungen im internen Netzwerk.
- Vernetzte IoT Geräte wie z.B. Gebäudeleittechnik oder vernetzte medizinische Geräte in Krankenhäusern
- die Einhaltung oder Missachtung von Compliancevorgaben und Sicherheitsregeln
- das unvorsichtige Klicken auf Anhänge oder Dateien in Emails von den eigenen Mitarbeitern
Stellt sich die Frage, wie lässt sich eine solche „Security Anamnese“ angehen, um das reale Risiko transparent zu machen, ohne dass
- zu Beginn schon große Kosten entstehen
- ein großer zusätzlicher Aufwand für die IT-Abteilung entsteht
- die produktiven Systeme und Applikationen ein erhöhtes Ausfallsrisiko haben
Wie im ersten Blog „IT-Sicherheit neu denken“ beschrieben, ist eine solche Cyber Security Anamnese ein wichtiger Teilaspekt, um organisationsübergreifend eine risiko-orientierte Fokussierung etablieren zu können. Was allerdings nicht außer Acht gelassen werde sollte, ist die notwendige organisationsübergreifende Denk- und Arbeitsweise, die es benötigt, damit eine Cyber Security Anamnese auch nachhaltig das Cyberrisiko minimiert. Grundvoraussetzung ist eine Kultur, die
- jegliche Transparenz als positiv erachtet, um reale Risiken aufzudecken.
- akzeptiert, dass es nie einen 100%igen Schutz geben kann und dementsprechend unerwünschte Ereignisse nicht nur einmalig, sondern kontinuierlich und proaktiv erkannt werden sollten, idealerweise bevor überhaupt ein Schaden entsteht.
- ein Cyberrisiko durch fehlende oder nicht ausreichende Schutzmaßnahmen nicht als Problem erachtet wird, sondern als Möglichkeit sich zu verbessern.
- bei der Bewertung der realen Cyberrisiken immer den Nutzen für den Anwender und den Mehrwehrt des Unternehmens mitberücksichtigt.
- nicht jedes Cyberrisiko als kritisch einstuft, sondern es im Kontext der Unternehmensanforderungen bewertet, eventuell akzeptiert und entsprechend dokumentiert.
- teamübergreifend das Risiko bewertet und wenn notwendig entsprechend unter Kontrolle bringt durch die Nutzung von vertrauensbasierten Konzepten (Zero Trust) und entsprechenden Technologien.
- jegliche Nutzung von „Cloud-Services“ nicht kategorisch verbietet – sondern nach Lösungen sucht diese unter Kontrolle zu bringen, wenn denn der Service den Nutzern oder dem Unternehmen ein Mehrwert bietet, den die eigene IT nicht anbietet
- IT-Sicherheit und Datenschutz bei der Bewertung der Cyberrisiken gemeinsam betrachtet – nicht alle Daten sind gleich schützenswert.
Gemeinsam mit unseren Partnern bieten wir als Cisco tolle Möglichkeiten, sich in kurzer Zeit einen ersten „Rundumblick“ und entsprechende Transparenz des realen Cyberrisikos zu verschaffen.
- DNS Traffic Analyse – mehr als 90% der Malware nutzt DNS um Angriffe vorzubereiten oder durchzuführen. Welche Auffälligkeiten und Risiken findet man im DNS Traffic zum und vom Internet?
- Traffic Analyse von vernetzten medizinischen Geräten oder der vernetzten Gebäudeleittechnik – Welche Geräte sind am Netzwerk, wie ist deren Kommunikationsverhalten, welche externe Zugriffe z.B. von Herstellern gibt es und welches Risiko geht von dem jeweiligen Gerät aus anhand der erkannten Schwachstellen?
- Interne Netzwerk Traffic Analyse – Wie sieht das Kommunikationsverhalten im eigenen Netzwerk aus? Wer kommuniziert mit wem? Welche Anomalien gibt es, die auf ein Cyber Risiko hindeuten? Wo werden Compliance Vorgaben missachtet?
- Ende-zu-Ende Verhalten von Dateien – Wie verhalten sich Dateien kontinuierlich auf dem Endgerät und im Netzwerk? Gibt es anzeichen für maliziöse Dateien?
- Email Phishing Kampagnen – Zum Testen und Messen des Nutzerverhaltens was das leichtsinnige Klicken auf E-Mails angeht. Wie erfolgreich sind Schulungs- und Sensibilisierungsschulungen wirklich? Wie viele Mitarbeiten haben leichtsinnig auf eine selbst kreierte Phishing Email geklickt und wären nun bereits Opfer eines Angriffs? Ist über die Zeit eine zunehmende Sensibilisierung festzustellen, welche das Cyber Risiko minimiert?
Am schnellsten, einfachsten und den größten Aha-Effekt liefert aus der Erfahrung heraus die DNS Traffic Analyse durch Cisco Umbrella und ist deshalb ein idealer Startpunkt für eine Cyber Security Anamnese. Es wäre nicht das erste Mal, dass nach der Auswertung des kundenspezifischen DNS Traffic und entsprechenden Executive Reports die Sensibilisierung auf einen Schlag gegeben ist und die Notwendigkeit des Handelns offensichtlich ist. Alles was der Kunde benötigt ist der Wille, dass reale Cyberrisiko transparent zu machen, indem Cisco Umbrella für ca. vier Wochen im Monitormodus seinen DNS-Traffic analysiert. Folgende Vorteile bietet diese erste Cyber Risiko Anamnese:
- Sehr geringe Kosten
- Minimaler Aufwand für die IT – es wird lediglich an zentraler Stelle der DNS Eintrag abgeändert.
- Kein Risiko für die Produktivumgebung des Kunden.
- Nutzung der größten nicht-staatlichen globalen Threat Intelligence (TALOS) zur Auswertung der Risiken
Eine Bewertung der DNS Traffic Analyse durch Cisco Umbrella sollte idealerweise gemeinsam mit einem erfahrenen Partner gemacht werden, der aus den neu gewonnen Erkenntnissen des realen Risikos gemeinsam Handlungsempfehlungen ableiten kann.
Mehr dazu wie immer in meinem nächsten Blog.
Authors