Leistungen | 3. Juni 2022

In dieser dreiteiligen Blog-Serie nehmen wir fünf häufig gehörte Thesen aus unseren Projekten und Mandaten im Bereich Cyber-Sicherheit sowie unserer Tätigkeit als CISO/IT-Sicherheitsbeauftragte unter die Lupe.

Verfasst von: Peter Flütsch

Mit folgenden fünf Aussagen setzen wir uns kritisch auseinander:

  • These #1: «Unser CISO/IT-Sicherheitsbeauftragter verhindert Angriffe und ist für die Cyber-Sicherheit verantwortlich»
  • These #2: «Die neueste technische Sicherheitslösung mit künstlicher Intelligenz schützt uns vor Cyber-Angriffen»
  • These #3: «Security-Awareness-Trainings bringen nichts, unsere Mitarbeitenden klicken sowieso»
  • These #4: «Unser Unternehmen ist nicht interessant für Cyber-Angriffe»
  • These #5: «Datenschutz-Anforderungen verzögern unsere Digitalisierungsprojekte»

Im ersten Teil der Serie werden die Thesen #1 und #2 näher beleuchtet.

These #1: «Unser CISO/IT-Sicherheitsbeauftragter verhindert Angriffe und ist für die Cyber-Sicherheit verantwortlich»

Cyber-Vorfälle sind gemäss dem Risiko-Barometer der Allianz-Versicherung für das Jahr 2022 das Geschäftsrisiko Nummer 1. Unternehmen und Verwaltungen sind im Bereich Cyber-Sicherheit je nach Grösse und Branche unterschiedlich organisiert. In der Praxis treffen wir oft folgende Organisationsformen an:

  • In KMU oder Gemeinden ist oft der IT-Leiter implizit auch noch für das Thema Cyber-Sicherheit verantwortlich. Die Zuständigkeiten sind oft nicht definiert.
  • In grösseren Unternehmen ist in der Regel zumindest die Rolle des CISO/IT-Sicherheitsbeauftragten definiert. Er oder Sie ist «automatisch» für alles, was mit dem Thema zu tun hat, verantwortlich.
  • Unternehmen, welche einen höheren Maturitätsgrad im Thema haben, beschäftigten ganze Teams mit klar definierten Rollen und AKV (Aufgaben, Kompetenzen, Verantwortlichkeiten).

In jedem Fall sind Cyber-Risiken ein Thema für die Geschäftsleitung eines Unternehmens und nicht nur für den CISO/IT-Sicherheitsbeauftragten. Der CISO soll Cyber-Risiken beurteilen und so aufbereiten, dass eine Geschäftsleitung sie verstehen und die richtigen Entscheidungen für das Unternehmen treffen kann. Die Sicherheit zu maximieren ist weder wirtschaftlich noch zielführend. Deshalb ist bei der Wahl der Sicherheitsmassnahmen risikobasiert vorzugehen und aus geschäftlicher Sicht der Nutzen zu beurteilen, insbesondere in kleineren Unternehmen mit eingeschränktem Security-Budget. Weil Cyber-Angriffe in erster Instanz oft über Mitarbeitende laufen tragen auch diese in ihrem Zuständigkeitsbereich eine Verantwortung. Zudem sollen Projektleitende das Thema Informationssicherheit frühzeitig in der Initialisierungsphase in Projekten berücksichtigen.

Das Thema Cyber-Sicherheit betrifft somit nicht nur den CISO/IT-Sicherheitsbeauftragten, sondern in der Regel das ganze Unternehmen und insbesondere die Geschäftsleitung.

These #2: «Die neuste technische Sicherheitslösung mit künstlicher Intelligenz schützt uns vor Cyber-Angriffen»

Moderne, technische Sicherheitslösungen sind unbestritten ein wichtiges Puzzle-Teil in der gesamten Sicherheitsarchitektur. In den letzten Jahren hat insbesondere beim Schutz von Clients (mit Endpoint Detection and Response (EDR) oder Extended Detection and Response (XDR) Lösungen) eine wichtige Entwicklung stattgefunden.

Das Thema Informationssicherheit muss aus unserer Sicht immer gesamtheitlich angegangen werden. In der Praxis sehen wir oft, dass einzelne Sicherheitsmassnahmen perfektioniert, andere hingegen komplett vernachlässigt werden. Der Standard ISO/IEC 27002:2022 besteht beispielsweise aus 93 Controls (Massnahmen), welche je nach Unternehmen nicht alle gleich wichtig sind, jedoch alle angemessen für die jeweilige Situation des Unternehmens berücksichtigt werden sollen. Eine Standortbestimmung basierend auf ISO 27001 oder dem IKT-Minimalstandard des Bundes zeigt blinde Flecken auf. Im Rahmen des IKT-Minimalstandard gibt es beispielsweise ein Tool, welches einfach nutzbar ist und klare Aussagen zu Lücken im Sicherheitsdispositiv macht. Die folgende Grafik zeigt eine Auswertung daraus (Quelle: Assessment Tool, Bundesamt für wirtschaftliche Landesversorgung BWL):

Wurde bereits in einen IT-Grundschutz investiert sind eine «attack simulation» (Simulation von realen Cyber-Angriffen) oder ein «red team assessment» (das interne, für die Abwehr zuständige «blue team» wird herausgefordert) weitergehende Massnahmen, mit denen Lücken im Sicherheitsdispositiv in der Praxis aufgedeckt werden können. Wichtig bei solchen Assessments ist nicht nur Lücken aufzuzeigen, sondern mit dem Unternehmen zusammen angemessene, «verdaubare» und in der Praxis umsetzbare Lösungen auszuarbeiten. Ein gutes Informationssicherheitsmanagementsystem (ISMS) ist umfassend, immer auf die jeweilige Situation eines Unternehmens zugeschnitten und beinhaltet definitiv mehr als nur die neueste technische Sicherheitslösung mit künstlicher Intelligenz.

Was ist Ihre Meinung zu den Thesen? Ich bin gespannt auf Ihre Kommentare auf LinkedIn oder bei einem persönlichen Austausch. Sind Sie an interessanten Projekten im Bereich Informationssicherheit in einem selbstorganisierten Unternehmen interessiert? Dann prüfen Sie unsere offenen Stellen.