Intelligence Driven Security – Umdenken bei der Informationssicherheit

Das Zusammenspiel von Informationssicherheit und Compliance

Die Zahl der erfolgreichen Cyber-Angriffe hat dramatisch zugenommen, wir erfahren nahezu täglich von erfolgreichen Attacken. Die Angreifer gehen dabei oft mit ausgefeilten Methoden, hohem Sachverstand und großer Beharrlichkeit zu Werke. Es scheint dabei, dass keine Branche und auch keine Unternehmensgröße davon ausgeschlossen bleibt.

Unter dem Begriff APT – Advanced Persistent Threat – werden solche Angriffe charakterisiert, die geplant und zielgerichtet auf ganz bestimmte Bereiche der Unternehmen ausgerichtet sind. Im letzten Jahr haben wir eine regelrechte „Industrialisierung“ und schnelle Verbreitung von APTs gesehen. Gründe hierfür liegen sicherlich im Entstehen einer regelrechten „cyber-crime“-Industrie. Ich habe kürzlich auf einer Konferenz einen bezeichnenden Satz gehört: Ein APT heute ist ein gängiges Angriffs-Szenario morgen.

Ein weiterer wesentlicher Aspekt liegt in der Vergrößerung und Veränderung der Angriffsfläche. Unter dem Stichpunkt Mobilität und BYOD gibt es in der digitalen Welt quasi keine Unternehmensgrenzen mehr und stellt die Security-Verantwortlichen in den Unternehmen vor große Herausforderungen.

So ist auch nicht verwunderlich – wenn auch erschreckend – dass Gartner in der Studie „Top Security Trends 2012 & 2013“ im Juni dieses Jahres prognostiziert, dass bis 2015 etwa 80 Prozent aller erfolgreichen Angriffe durch Ausnutzen von bekannten Schwachstellen erfolgen werden. Dies ist eine Folge der Vielfalt und Komplexität der Gefährdungslandschaft, in Verbindung mit der Herausforderung, zu vertretbaren Kosten die IT-Infrastruktur umfassend gegen diese Gefährdungslandschaft zu härten – ein Compliance-Problem. Hierbei sollte man sich immer folgende Aussage vor Augen halten: Der Schutz ist nur so stark, wie das schwächste Glied in der Kette.

Was bedeutet das Alles nun für die Unternehmen? Gibt es überhaupt einen Schutz der Unternehmenswerte zu vertretbaren Kosten? Müssen wir die weiße Fahne hissen?
Ich denke Ruhe ist hier die erste Bürgerpflicht und es ist auch keine Panik angesagt, wenn man versteht, dass der herkömmliche und traditionelle Ansatz für IT-Security nicht mehr ausreicht um gegen die oben beschriebene Veränderung in der Gefährdungslandschaft bestehen zu können. Ein Umdenken ist an dieser Stelle notwendig.

Herkömmlich bedeutet in erste Linie Fokus auf den Perimeterschutz. Das ist zwar nach wie vor wichtig, reicht aber nicht aus; man muss davon ausgehen, dass ein Angreifer in das Unternehmensnetz kommen kann beziehungsweise bereits eingedrungen ist. Herkömmlich bedeutet auch einen technischen Ansatz und die Bewertung der IT-Sicherheit nach der Einhaltung von zuvor aufgestellten Kriterien. Dieses ist recht statisch und reflektiert nur unzureichend die Risiken, denen ein Unternehmen ausgesetzt ist. Zusammengefasst bedeutet herkömmlich: Regel-basierend, Audit-getrieben und in „Silos“ implementiert.

Der von RSA in Zusammenarbeit mit namhaften Fachleuten aus der Industrie und Forschung entwickelte Ansatz wird als „Intelligence Driven Security“ beschrieben. Dieser Ansatz zum Umgang mit der neuen Bedrohungslage beruht auf drei wichtigen Kernelementen: Sichtbarkeit, Verständnis und Kontrolle, wobei gleichermaßen Sicherheits- wie auch Compliance-Aspekte betrachtet werden müssen. Intelligence driven bedeutet: Risiko-basierend, Verständnis von Kontext und Agilität.

Die Betrachtung der Risiken sollten in jedem Fall der Ausgangspunkt für eine Diskussion zu dem Thema Informationssicherheit sein: Was sind die Unternehmensrisiken und wie sind diese zu bewerten? Als Konsequenz hieraus ergibt sich, dass IT-Sicherheit nicht nur eine Aufgabe von IT ist, sondern auch von den Geschäftsverantwortlichen. Nur diese können die Risiken bewerten und gemeinsam mit der IT die Prioritäten für einen umfassenden Schutz von Unternehmenswerten erarbeiten. Laut einer Studie der Carnegie Mellon Universität zu dem Thema Governance of Enterprise Security, vom Mai dieses Jahres wird festgestellt, dass in der Regel zwar großen Wert auf Risiko-Management gelegt wird, dass allerdings die Bedeutung und der Beitrag von IT-Risiko-Management nicht ausreichend berücksichtigt wird.

Ich glaube in Deutschland wird dieser Wandel inzwischen auch wahrgenommen. In den Gesprächen mit unseren Kunden stelle ich in den letzten Monaten eine inhaltliche und funktionale Wendung fest. Inhaltlich wird viel weniger über Technologie gesprochen und viel mehr über Konzeptionen und übergreifende Ansätze. Auf der technischen Ebene reden wir vermehrt darüber, wie die Rolle der IT in dem neuen Security-Ansatz zu begreifen ist; auf der Geschäftsprozess-Ebene reden wir über IT Security Governance, Entscheidungskompetenz und das Sicherstellen der Handlungsfähigkeit. Diese Gespräche machen Mut und ich bin überzeugt, dass wir als Industrie gute Werkzeuge und entsprechendes Know-how haben, um uns gemeinsam gegen die Cyber-Attacken wehren zu können.