Sicherheitskonzepte

Vectra rät Unternehmen bedrohungsorientiert zu agieren

Vectra rät Unternehmen bedrohungsorientiert zu agieren

ISO-Zertifikat schützt nicht vor einer Sicherheitsverletzung

Es war schon unzählige Male zu beobachten. Ein CISO geht in eine Vorstandssitzung und brütet über Statistiken, die den Compliance-Status des Unternehmens zeigen. Das Unternehmen erfüllt zu 75 Prozent die Anforderungen der ISO 27001, aber was sagt das über das Risikoniveau aus? Die Wahrheit ist, dass CISOs Jahre damit verbringen können, alle 114 Kontrollen der ISO 27001 zu implementieren, und ein entschlossener Angreifer die Schutzmaßnahmen in wenigen Stunden umgehen könnte. Da die Angreifer ihre TTPs (Tactics, Techniques, and Procedures) laufend aktualisieren und leichtgläubige Mitarbeiter austricksen, kann keine noch so gute Compliance die gesamte Basis abdecken. Vectra AI fragt daher: Warum also klammern sich CISOs an Compliance-Zahlen?

Vorstände neigen dazu, auf klare Anzeichen von Fortschritt zu reagieren, die im Sicherheitsbereich bekanntermaßen schwer zu messen sind. Daher gilt es die Diskussion zu verändern. Bei der klassischen Risikomanagement-Gleichung Risiko = Bedrohung x Schwachstelle gibt es keine Kontrolle über die Motivation, die Fähigkeiten oder die Ressourcen des Angreifers. Ein CISO könnte all seine Ressourcen in eine umfassende Compliance-Strategie stecken und wäre trotzdem nicht erfolgreich.

Was bedeutet bedrohungsorientiert?

Stattdessen müssen die Ansätze „threat led“, also bedrohungsorientiert sein, meint Vectra AI. Das bedeutet, zunächst die wertvollsten Assets und die Gegner, die es wahrscheinlich auf das Unternehmen abgesehen haben, zu ermitteln, und Prioritäten zu setzen, um die ermittelten Risiken zu mindern. CISOs sollten die Sicherheit daran messen, ob sie in der Lage sind, ein Eindringen ins Netzwerk zu entdecken, indem sie bei Sicherheitstests aussagekräftige Kennzahlen wie die mittlere Zeit bis zum Eindringen oder die mittlere Zeit bis zur Entdeckung von Bedrohungen verwenden. Dann können die CISOs daran arbeiten, diese Zahlen auf ein vereinbartes Niveau zu senken.

Um diese Daten zu erhalten, sind nach Erfahrungen von Vectra AI umfassende Red-Team-Übungen unerlässlich. Red Teams testen Technologie, Menschen und Prozesse. Sie suchen nach blinden Flecken und finden unorthodoxe Wege, um in das Unternehmen einzudringen. Genau so würde ein versierter Angreifer vorgehen. Dies liefert wertvolle Daten darüber, was durch die Maschen gefallen ist, so dass CISOs entsprechende Prioritäten setzen und die durchschnittliche Zeit bis zur Entdeckung eines Verstoßes reduzieren können. Derzeit führen jedoch nur wenige Unternehmen Red-Team-Übungen durch, weil sie sich dazu noch nicht reif genug sehen. Das ist Musik in den Ohren der Angreifer, und sie werden CISOs nicht die nötige Zeit geben, diese Erkenntnisse zu gewinnen, bevor sie zuschlagen. Red-Team-Übungen sollten dann durchgeführt werden, wenn der Reifegrad keine bessere Priorisierung bei der Eindämmung realer Bedrohungen zulässt.

Es gibt keine andere Branche, die so viel investiert, ohne das Ergebnis objektiv zu messen. Autobesitzer würden kein Auto fahren, das nicht einem Crashtest unterzogen wurde, warum also eine Sicherheitsstrategie einsetzen, ohne zu prüfen, ob sie umgangen werden kann? Sogar die Aufsichtsbehörden sind sich dieser Tatsache bewusst – mit Programmen wie TIBER-EU, die von den Banken die Durchführung von Red-Team-Tests verlangen, um sicherzustellen, dass sie über eine einfache grundlegende Compliance hinausgehen.

Bewusstsein wecken in der nächsten Vorstandssitzung

In der nächsten Vorstandssitzung sollten die Compliance-Zahlen nur als Fußnote stehen. Stattdessen gilt es die Beteiligten zu ermuntern, über die geschäftlichen Auswirkungen einer Sicherheitsverletzung und die Wahrscheinlichkeit, dass Angreifer das Unternehmen ins Visier nehmen, nachzudenken. Ebenso empfiehlt es sich, die Wahrscheinlichkeit eines erfolgreichen Angriffs anzusprechen. Den CEO wird es interessieren, ob er auf der Titelseite der Tagespresse erscheint, wenn sein Unternehmen von Ransomware betroffen ist. Das Gleiche gilt für den CFO, wenn er nicht in der Lage ist, Geschäfte zu tätigen, während die Systeme ausgefallen sind.

Anstatt zu versuchen, aufzuzeigen, dass die Vorschriften eingehalten und dass Projekte planmäßig durchgeführt werden, sollten CISOs nach Meinung von Vectra AI in Meetings die Schwachstellen erörtern. Sie sollten dem Vorstand Optionen zur Abschwächung dieser Schwachstellen vorlegen – und das erforderliche Budget einfordern. In der heutigen dynamischen Bedrohungslage kann es vorkommen, dass Pläne zur Jahresmitte geändert werden müssen. Daher ist es entscheidend, dass der Vorstand die Risiken versteht, die er eingeht, wenn er sich entscheidet, nicht zu investieren.