Cyberangriffe erschweren den Arbeitsalltag des Chief Information Security Officers. Zwangsläufige Lücken in der Defensive erfordern eine ausgereifte und belastbare Cyberresilienz sowie eine Weiterentwicklung der Datensicherheit. Der Weg führt weg von Einzelmaßnahmen – hin zu Sicherheit durch Design, argumentiert der Security-Spezialist Commvault.
Reifegrad der Cyberresilienz: Ein Sicherheitschef (Chief Information Security Officer/CISO) trägt laut einer Studie von Check Point eine sehr hohe Verantwortung. Die Zahl der globalen Cyberangriffe ist im dritten Quartal 2024 im Vergleich zum Vorjahr um satte 75 Prozent gestiegen. Es braut sich etwas zusammen, und es scheint es nur eine Frage der Zeit zu sein, bis die Krise in der eigenen Infrastruktur ankommt. Dennoch fühlen sich viele Unternehmen nicht ausreichend für diese sich zuspitzende Situation gerüstet. In einer Umfrage von Commvault gaben lediglich 13 Prozent der befragten Unternehmen an, die nötige Reife bei der Cybersicherheit zu haben, um einen Angriff effektiv abzuwehren und sich davon zu erholen.
Es stellt sich die Frage, wieso manche Unternehmen in der Lage sind, ihre Systeme und Daten viel schneller wiederherzustellen als andere. Die Antwort: Diese Unternehmen akzeptieren das Scheitern ihrer Sicherheitsarchitektur als reale Option und etablieren entsprechende Maßnahmen. Ihre Sicherheitstools erkennen aktuelle Risiken frühzeitig und ermöglichen es den IT-Teams, gemeldete Vorfälle strukturiert anhand definierter Runbooks, klarer Rollenverteilungen und etablierter Prozesse zu bearbeiten. Diese Betriebe haben sich auf den Ernstfall vorbereitet und proben ihn regelmäßig.
Unerlässlich ist dabei ein sekundäres Backup-System in einer isolierten Umgebung, in der unveränderliche Kopien kritischer Daten abgelegt sind, sowie fortlaufende Tests der Cyber-Recovery-Praktiken, um die Prozesse funktionstüchtig zu halten. Sinnvoll ist zudem eine Dark Site. Es handelt sich dabei um eine Website, die vorbereitet, aber nicht öffentlich zugänglich ist. Freigeschaltet wird sie erst im Fall einer Cyber-Attacke, um wichtige Informationen schnell und gezielt bereitzustellen.
Den Reifegrad bestimmen
Manche Sicherheitschefs sind dafür zuständig, solche Maßnahmen umzusetzen und routinemäßig zu prüfen, wie effizient sie greifen. Deren Autorität und Kompetenz variiert jedoch erheblich. Auf einer niedrigen Reifeebene liegt die Sicherheit möglicherweise in den Händen von Mitarbeitern, die lediglich Anweisungen entgegennehmen, während CISOs in hochentwickelten Strukturen eng mit dem Vorstand kooperieren und sicherstellen, dass Cybersicherheit strategisch im gesamten Unternehmen verankert ist.
Der Reifegrad der Cyberresilienz lässt sich typischerweise anhand von fünf Stufen ermitteln:
1. Sicherheit nach dem Häkchenprinzip
In Unternehmen, die in punkto Cybersicherheit eher unreif sind, sind die Sicherheitsverantwortlichen selten Entscheidungsträger. Die meisten dieser Unternehmen haben keinen eigenen CISO. Stattdessen wird die Cybersicherheit von einem Teil des IT-Teams betreut. Diese Teams sind aber oft mit den täglichen Routineaufgaben ausgelastet, wie beispielsweise das Konfigurieren von Servern, das Installieren von Software-Updates und das Einrichten von Laptops.
2. Ein eigener Chief Security Officer
Mit jedem Wachstum eines Unternehmens vergrößert sich auch seine Angriffsfläche. Mehr Beschäftigte, Kunden, Partner und Lieferanten bedeuten zusätzliche Prozesse und Anwendungen, die wiederum mehr Schwachstellen für Angreifer schaffen.
An diesem Punkt stellen viele Unternehmen einen Cybersicherheitsexperten ein. Die Position wird mit der Erwartung verknüpft, dass der Stelleninhaber einen Teil seiner Zeit gemeinsam mit den Entwicklungsmitarbeitern in die Programmierung investiert. Für den CISO bleibt oft wenig Spielraum für die Planung und Umsetzung einer übergreifenden Cyberstrategie.
IT und Sicherheit sollten effektive Kommunikationskanäle etablieren, um sicherzustellen, dass die Sicherheitsziele gemeinsam vereinbart und eine Kluft zwischen den beiden Funktionen vermieden wird. Eine regelmäßige Interaktion zwischen CISO und CIO fördert eine produktive Zusammenarbeit ihrer Teams.
3. Ein eigenes Team für die IT-Sicherheit
Auf dieser Reifestufe wird klar, dass der CISO mehr Autonomie benötigt, um Sicherheitskontrollen und -verfahren unternehmensweit zu bewerten und einzusetzen. CISOs brauchen die Befugnis, umfassendere Maßnahmen zum Schutz von Bereichen wie der Cloud-Sicherheit zu implementieren und den Zugriff auf alle Unternehmenssysteme mithilfe von Zugriffsmanagementlösungen zu kontrollieren. Auch wenn andere Führungskräfte Bedenken hinsichtlich der Sicherheitsinitiativen äußern, die möglicherweise die Markteinführungszeit verlangsamen, müssen Führungskräfte den CISO unterstützen und wichtige neue Cyber-Sicherheitsinitiativen fördern.
Obwohl IT und Sicherheit nun getrennte Teams sind, sollten CIO und CISO weiterhin eng zusammenarbeiten, um IT-Ziele mit Sicherheitsanforderungen in Einklang zu bringen. Diese kontinuierliche Abstimmung ist für die Sicherheit und einen reibungslosen Geschäftsbetrieb unerlässlich.
4. Der bevollmächtigte Sicherheitschef
Bei Unternehmen mit hohem Resilienzgrad nimmt der CISO an strategischen Meetings mit dem Vorstand teil und berät zu Cybersicherheitsrisiken, Resilienz und Wiederherstellungsfähigkeiten. In Zusammenarbeit mit dem Führungsteam ermittelt der CISO proaktiv die Risikotoleranz des Unternehmens und erstellt Analysen, um Veränderungen im Risikoprofil des Unternehmens aufzuzeigen. Darüber hinaus entwickelt er die passende Strategie und Sicherheitsrichtlinien, um die vereinbarten Toleranzen einzuhalten.
Auf dieser Stufe beraten CISOs den Vorstand auch über die Vorteile und Risiken neuer Technologien wie Künstlicher Intelligenz. Cybersicherheit ist ein fester Bestandteil der strategischen und operativen Planung.
5. Sicher durch Design
In Unternehmen, die die höchste Stufe erreichen, ist Sicherheit fest in der Organisation verankert. Nach den Grundsätzen von „Secure by Design“ halten sich die Beschäftigten unternehmensweit an Sicherheitsprozesse und -richtlinien. Cybersicherheit ist damit die Grundlage aller Unternehmensaktivitäten. Kontinuierliche Tests der Unternehmenssysteme werden erwartet, und die Teams sind gut in der Vorfalls- und Datenwiederherstellung geübt.
Der Reifezyklus und Reifegrad der Cyberresilienz
In Sachen Cybersicherheit gleicht kein Unternehmen dem anderen. Jedes hat seine eigene technische Infrastruktur, Arbeitsweise und strategischen Ziele. Daher ist es nicht einfach, die Geschwindigkeit des Fortschritts im Cybersicherheits-Reifezyklus zu berechnen. Durch das Verständnis der Merkmale der einzelnen Stufen können CIOs und Führungskräfte jedoch die Entwicklung interner Kandidaten oder die Rekrutierung eines CISO mit den richtigen Fähigkeiten und Qualitäten für ihre spezifischen Bedürfnisse besser aufeinander abstimmen. Dies trägt dazu bei, einen Reifegrad der Cyberresilienz zu erreichen, der der Risikotoleranz der eigenen Organisation entspricht. Die Analyse des Reifegrads hilft dabei, Lücken bei den Kompetenzen und im Rollenverständnis zu finden. Wer diese Lücken schließt, der stärkt seine Cyberresilienz. jf
Der Autor
Javier Dominguez ist Chief Information Security Officer bei Commvault.
