Im Kampf gegen Cyberkriminalität muss ein Chief Information Security Officer heute vielerlei Aufgaben bewältigen. Das sind die 10 größten Herausforderungen für CISOs. [...]
Technisches Knowhow zum Schutz kritischer Daten und Infrastrukturen muss ein Chief Information Security Officer (CISO) ebenso mitbringen wie Führungsqualitäten, um die Strategien gegenüber der Geschäftsleitung zu verantworten. Mitarbeitermobilität, die digitale Transformation, zunehmend intelligentere Angriffsszenarien und gesetzliche Vorgaben an den Datenschutz müssen in Einklang mit der Schutzstrategie gebracht werden, um opportunistische Angriffe ebenso erfolgreich abzuwehren wie Industriespionage. In Kooperation mit Cloud-Security-Evangelist Chris Hodson haben wir die zehn wesentlichen Herausforderungen für den Chief Information Security Officer zusammengefasst.
1. Überblick bewahren
CISOs laufen durch die digitale Transformation Gefahr, den Überblick über alle Daten zu verlieren. Vor einer Dekade oblagen Netzwerke und Anwendungen der Kontrolle der IT-Abteilung. Heute nutzen Anwender ihre eigenen Geräte und greifen über öffentliche Netze auf Cloud-Applikationen zu. Auch wenn Kosten, Elastizität und Produktivitätsvorteile für die Cloud sprechen, sind CISOs gefordert, in dieser mobilen, Cloud-orientierten Arbeitswelt den Einblick in diese Datenströme zurückzuerhalten, um sie auf mögliche Sicherheitsbedrohungen zu kontrollieren.
CISOs laufen durch die digitale Transformation Gefahr, den Überblick über alle Daten zu verlieren. Vor einer Dekade oblagen Netzwerke und Anwendungen der Kontrolle der IT-Abteilung. Heute nutzen Anwender ihre eigenen Geräte und greifen über öffentliche Netze auf Cloud-Applikationen zu. Auch wenn Kosten, Elastizität und Produktivitätsvorteile für die Cloud sprechen, sind CISOs gefordert, in dieser mobilen, Cloud-orientierten Arbeitswelt den Einblick in diese Datenströme zurückzuerhalten, um sie auf mögliche Sicherheitsbedrohungen zu kontrollieren.
2. Aussagekräftige Analysen
Unternehmen müssen sich nicht mehr die Frage stellen, ob sie zum Ziel von Angreifern werden, sondern wann. Die Geschäftsführung fordert vom CISO die Bestätigung, dass im Falle eines Sicherheitsverstoßes die Tools, Strategien und Ressourcen vorhanden sind, um die Situation zu bewältigen und eine Aussage zur Behebungsdauer der Gefahrenlage gemacht werden kann. Dementsprechend gilt es, Vorkehrungen zu treffen, um die Angriffe aufzuspüren. Dazu ist es nötig, die Anzeichen einer Kompromittierung zu erkennen, bevor potenzielle Malware Schaden anrichten kann. Das Board muss Worst-Case-Budgets für umfassende Cyber-Sicherheitsmaßnahmen bewilligen. Allerdings wird damit einhergehend die Anforderung an den CISO gestellt, für die Ausgaben einen Return-on-Invest zu liefern. Es gilt die Erwartungshaltung des Boards dahingehend zu relativieren, dass eine umfangreiche Sicherheitsstrategie das Risiko immer nur minimieren kann.
Unternehmen müssen sich nicht mehr die Frage stellen, ob sie zum Ziel von Angreifern werden, sondern wann. Die Geschäftsführung fordert vom CISO die Bestätigung, dass im Falle eines Sicherheitsverstoßes die Tools, Strategien und Ressourcen vorhanden sind, um die Situation zu bewältigen und eine Aussage zur Behebungsdauer der Gefahrenlage gemacht werden kann. Dementsprechend gilt es, Vorkehrungen zu treffen, um die Angriffe aufzuspüren. Dazu ist es nötig, die Anzeichen einer Kompromittierung zu erkennen, bevor potenzielle Malware Schaden anrichten kann. Das Board muss Worst-Case-Budgets für umfassende Cyber-Sicherheitsmaßnahmen bewilligen. Allerdings wird damit einhergehend die Anforderung an den CISO gestellt, für die Ausgaben einen Return-on-Invest zu liefern. Es gilt die Erwartungshaltung des Boards dahingehend zu relativieren, dass eine umfangreiche Sicherheitsstrategie das Risiko immer nur minimieren kann.
3. Verschlüsselter Datenverkehr
Die IT-Abteilung erhält durch die Verschlüsselung von Daten weniger Einblick und muss dementsprechend Abstriche hinsichtlich der Sicherheit machen. Da heute bereits 70 bis 80 Prozent des Internet-Datenaufkommens SSL-verschlüsselt ist, kann durch diese Datenströme ohne Inspektion Malware ins Unternehmen gelangen. Das Entschlüsseln von SSL-Daten zum Malware-Scan benötigt Zeit, Performanz und hat Auswirkungen auf die Kosten. Außerdem muss das Vorhaben im Vorfeld mit der Rechtsabteilung und dem Betriebsrat abgestimmt sein. Je nach Region gilt es dabei, die Rechtslage zu berücksichtigen und Datensicherheit gegen Datenschutz abzuwägen. Angesichts der Tatsache, dass zunehmend mehr Advanced Threats hinter SSL-verschlüsselten Datenströmen verborgen sind, sollte der CISO die Diskussion nicht scheuen und Maßnahmen ergreifen.
Die IT-Abteilung erhält durch die Verschlüsselung von Daten weniger Einblick und muss dementsprechend Abstriche hinsichtlich der Sicherheit machen. Da heute bereits 70 bis 80 Prozent des Internet-Datenaufkommens SSL-verschlüsselt ist, kann durch diese Datenströme ohne Inspektion Malware ins Unternehmen gelangen. Das Entschlüsseln von SSL-Daten zum Malware-Scan benötigt Zeit, Performanz und hat Auswirkungen auf die Kosten. Außerdem muss das Vorhaben im Vorfeld mit der Rechtsabteilung und dem Betriebsrat abgestimmt sein. Je nach Region gilt es dabei, die Rechtslage zu berücksichtigen und Datensicherheit gegen Datenschutz abzuwägen. Angesichts der Tatsache, dass zunehmend mehr Advanced Threats hinter SSL-verschlüsselten Datenströmen verborgen sind, sollte der CISO die Diskussion nicht scheuen und Maßnahmen ergreifen.
4. Ransomware
Sind Unternehmen mit Ransomware infiziert, merken sie das innerhalb kurzer Zeit durch die Bildschirmanzeige oder durch Dateiendungen, die den Zugriff auf kritische Daten verweigern. Unternehmen stehen im Falle einer Infektion vor der Entscheidung, ob sie den Lösegeldforderungen nachkommen oder nicht. Der CISO entscheidet, ob er die Moral höher stellt als das Fördern der Erpressung.
Sind Unternehmen mit Ransomware infiziert, merken sie das innerhalb kurzer Zeit durch die Bildschirmanzeige oder durch Dateiendungen, die den Zugriff auf kritische Daten verweigern. Unternehmen stehen im Falle einer Infektion vor der Entscheidung, ob sie den Lösegeldforderungen nachkommen oder nicht. Der CISO entscheidet, ob er die Moral höher stellt als das Fördern der Erpressung.
Letztendlich kostet Stillstand durch den verweigerten Datenzugang Geld und schlimmstenfalls sogar Leben. Da die Verbreitung von Ransomware angesichts der potenziellen, monetären Gewinne für kriminelle Hacker nicht zurückgehen wird, sollten CISOs vorbeugende Maßnahmen mit auf ihre Agenda setzen. Schon jetzt wird Ransomware 2.0 vorhergesagt, die als logische Evolution alle netzwerkfähigen Geräte des Internet of Things ins Auge fasst.
5. Internet of Things
Das Internet of Things (IoT) wird die nächste Generation von Cybercrime definieren. Laut Gartner soll es 20 Milliarden IoT-Geräte bis zum Jahr 2020 geben, die geschützt werden müssen. Dazu zählen klassische Bürogeräte wie Drucker, Kopierer, Beamer ebenso wie weniger offensichtliche Geräte wie Kühlschrank, Kaffeemaschine oder Überwachungskameras. Hinzu kommen Heizung, Belüftung und Klimaanlagen, sowie Bewegungsmelder oder Beleuchtungssysteme, die über das Internet oder die Cloud ansteuerbar sind.
Das Internet of Things (IoT) wird die nächste Generation von Cybercrime definieren. Laut Gartner soll es 20 Milliarden IoT-Geräte bis zum Jahr 2020 geben, die geschützt werden müssen. Dazu zählen klassische Bürogeräte wie Drucker, Kopierer, Beamer ebenso wie weniger offensichtliche Geräte wie Kühlschrank, Kaffeemaschine oder Überwachungskameras. Hinzu kommen Heizung, Belüftung und Klimaanlagen, sowie Bewegungsmelder oder Beleuchtungssysteme, die über das Internet oder die Cloud ansteuerbar sind.
Alle diese Geräte einer modernen Büro- oder Produktionsumgebung stellen einen potenziellen Angriffsvektor dar. Der CISO ist gefordert, diese Bandbreite an Geräten und Technologien in das Sicherheitskonzept einzubeziehen. Das wird umso beschwerlicher durch den Kontrollverlust, der hinsichtlich der Geräte, der Netzwerke und der Anwendungen besteht, die durch Mitarbeiter zum Einsatz kommen. Für den CISO bedeutet das ein konsistentes Niveau an Due Diligence für alle Geräte, die Daten speichern, verarbeiten oder übertragen können.
6. Remote Access
Die nächste Herausforderung für CISOs besteht darin, sicheren Fernzugriff auf ihr Netzwerk zu gewährleisten. Malware, die sich auf dem Gerät eines vertrauenswürdigen Anwenders festgesetzt hat, kann durch den unbeschränkten Zugriff via VPN großen Schaden an internen Anwendungen anrichten. Drittparteien haben durch VPNs oftmals nicht nur Zugang zu Anwendungen, die sie im Rahmen der Zusammenarbeit mit dem Unternehmen benötigen, sondern auf das gesamte Netzwerk. CISOs müssen sich Gedanken machen, wem sie Zugang zu ihrem Netzwerk gewähren und auf welche Weise. Denn der Zugang zu Anwendungen muss nicht mit dem Zugriff auf das gesamte Netzwerk gleichgesetzt werden.
Die nächste Herausforderung für CISOs besteht darin, sicheren Fernzugriff auf ihr Netzwerk zu gewährleisten. Malware, die sich auf dem Gerät eines vertrauenswürdigen Anwenders festgesetzt hat, kann durch den unbeschränkten Zugriff via VPN großen Schaden an internen Anwendungen anrichten. Drittparteien haben durch VPNs oftmals nicht nur Zugang zu Anwendungen, die sie im Rahmen der Zusammenarbeit mit dem Unternehmen benötigen, sondern auf das gesamte Netzwerk. CISOs müssen sich Gedanken machen, wem sie Zugang zu ihrem Netzwerk gewähren und auf welche Weise. Denn der Zugang zu Anwendungen muss nicht mit dem Zugriff auf das gesamte Netzwerk gleichgesetzt werden.
7. Hausgemachtes DDoS
Unternehmen benötigen zunehmend mehr Bandbreite durch Smartphones, Tablet-PCs und Laptops, die stärker als je zuvor mit externen Netzen verbunden sind. Cloud-Applikationen tragen zudem zu den Kapazitätsanforderungen an ein Netzwerk bei. Hinzu kommt die allgegenwärtige Verfügbarkeit von Streaming-Services wie Netflix und Amazon Video oder neue Live-Streaming Angebote von Facebook oder Periscope. Die meisten Leitungen von Unternehmen sind nicht für solche Datenvolumen ausgelegt.
Unternehmen benötigen zunehmend mehr Bandbreite durch Smartphones, Tablet-PCs und Laptops, die stärker als je zuvor mit externen Netzen verbunden sind. Cloud-Applikationen tragen zudem zu den Kapazitätsanforderungen an ein Netzwerk bei. Hinzu kommt die allgegenwärtige Verfügbarkeit von Streaming-Services wie Netflix und Amazon Video oder neue Live-Streaming Angebote von Facebook oder Periscope. Die meisten Leitungen von Unternehmen sind nicht für solche Datenvolumen ausgelegt.
Ohne Bandbreitenoptimierung und Packet-Shaping-Technologie läuft ein Unternehmen Gefahr, dass durch die Datenmassen die Leitungen verstopft werden und dadurch der Zugriff auf geschäftskritische Anwendungen leidet. Eine weitere Herausforderung besteht in der Verfügbarkeit der Sicherheit, die dem erhöhten ohne Abstriche in der Kontrollfunktion dem Durchsatz standhalten muss.
8. Schutz gegen Unbekanntes
Blacklists greifen heutzutage nicht mehr als Sicherheitsansatz für IT-Sicherheit. Signaturen für Virenschutz oder IPS funktionieren nur bei bekannten Gefahren. Da Malware sich rasant verändert, kann sich ein CISO zum Schutz nicht mehr auf bekannte Malware-Pattern verlassen. Heuristische Verfahren, wie Sandbox-Technologien und künstliche Intelligenz werden nun herangezogen, um das Risiko von Zero-Day-Angriffen zu minimieren. Auch für Web-Security müssen CISOs umdenken. Traditionellerweise wird auf URL-Filter gesetzt, um den Zugang zu einigen Ecken des Internets zu sperren. Allerdings werden diese dunklen Ecken im Zeitalter von Malvertising und Drive-by-Downloads immer weniger greifbar. Bislang vertrauenswürde Webseiten werden durch Malware kompromittiert und fallen damit durch das Raster von URL-Filter, die auf Blacklisting basieren. Dadurch entsteht die Herausforderung, alle Webseiten-Inhalte kontinuierlich inline zu scannen, womit die entsprechende Leistungsfähigkeit eines Sicherheitsansatzes gefordert ist.
Blacklists greifen heutzutage nicht mehr als Sicherheitsansatz für IT-Sicherheit. Signaturen für Virenschutz oder IPS funktionieren nur bei bekannten Gefahren. Da Malware sich rasant verändert, kann sich ein CISO zum Schutz nicht mehr auf bekannte Malware-Pattern verlassen. Heuristische Verfahren, wie Sandbox-Technologien und künstliche Intelligenz werden nun herangezogen, um das Risiko von Zero-Day-Angriffen zu minimieren. Auch für Web-Security müssen CISOs umdenken. Traditionellerweise wird auf URL-Filter gesetzt, um den Zugang zu einigen Ecken des Internets zu sperren. Allerdings werden diese dunklen Ecken im Zeitalter von Malvertising und Drive-by-Downloads immer weniger greifbar. Bislang vertrauenswürde Webseiten werden durch Malware kompromittiert und fallen damit durch das Raster von URL-Filter, die auf Blacklisting basieren. Dadurch entsteht die Herausforderung, alle Webseiten-Inhalte kontinuierlich inline zu scannen, womit die entsprechende Leistungsfähigkeit eines Sicherheitsansatzes gefordert ist.
9. Veröffentlichungspflicht von Cyberangriffen
Die Einführung der General-Data-Protection-Regulation wird sich auf die Bewertung eines Hackerangriffs und die Ursachenforschung auswirken. Das Zeitfenster von 72 Stunden für die Berichterstattung einer Datenschutzverletzung bedeutet, dass Unternehmen wenig Spielraum für die Schadensanalyse bleibt. Deshalb müssen sie ihren Datenfluss besser verstehen und umfassenden Einblick in die generelle Bedrohungslage haben. Die schnelle Veröffentlichungspflicht stellt CISOs vor große Herausforderungen: Sollte eine vorsichtige Einschätzung eines Verstoßes vorgenommen werden oder vom Worst-Case-Szenario ausgegangen werden? Unternehmen sind gefordert, strukturierte Ablaufpläne im Vorgriff auf potenzielle Sicherheitsvorfälle zu entwickeln. Diese Pläne sollten einen Angriff zur Folgenabschätzung nachvollziehbar machen, Verantwortlichkeiten festlegen und den schnellen Zugang zu den benötigen Informationen sicherstellen.
Die Einführung der General-Data-Protection-Regulation wird sich auf die Bewertung eines Hackerangriffs und die Ursachenforschung auswirken. Das Zeitfenster von 72 Stunden für die Berichterstattung einer Datenschutzverletzung bedeutet, dass Unternehmen wenig Spielraum für die Schadensanalyse bleibt. Deshalb müssen sie ihren Datenfluss besser verstehen und umfassenden Einblick in die generelle Bedrohungslage haben. Die schnelle Veröffentlichungspflicht stellt CISOs vor große Herausforderungen: Sollte eine vorsichtige Einschätzung eines Verstoßes vorgenommen werden oder vom Worst-Case-Szenario ausgegangen werden? Unternehmen sind gefordert, strukturierte Ablaufpläne im Vorgriff auf potenzielle Sicherheitsvorfälle zu entwickeln. Diese Pläne sollten einen Angriff zur Folgenabschätzung nachvollziehbar machen, Verantwortlichkeiten festlegen und den schnellen Zugang zu den benötigen Informationen sicherstellen.
10. Information Overkill
Vorbeugende Schutzmaßnahmen für sich alleine gesehen reichen nicht mehr aus, um den Schaden durch Cyberangriffe möglichst einzudämmen. Die Bedrohungslage macht es erforderlich, eine mehrstufige Sicherheitsstrategie zu implementieren, die neben der Prävention auch die Erkennung und die Schadensbeseitigung umfasst. Die Notwendigkeit Angriffe frühzeitig zu erkennen führt vielfach dazu, dass IT-Security-Teams jeglichen Vorgang loggen und damit eine unüberschaubare Masse an Daten generieren.
Vorbeugende Schutzmaßnahmen für sich alleine gesehen reichen nicht mehr aus, um den Schaden durch Cyberangriffe möglichst einzudämmen. Die Bedrohungslage macht es erforderlich, eine mehrstufige Sicherheitsstrategie zu implementieren, die neben der Prävention auch die Erkennung und die Schadensbeseitigung umfasst. Die Notwendigkeit Angriffe frühzeitig zu erkennen führt vielfach dazu, dass IT-Security-Teams jeglichen Vorgang loggen und damit eine unüberschaubare Masse an Daten generieren.
Durch die Cloud, Mobilität, IoT und SaaS wird eine Unmenge an Informationen generiert, die ein Aufspüren von Schadcode schwieriger gestaltet. Eine Korrelation von Log-Daten verschiedenster Systeme, die unter Umständen unterschiedliche nicht kompatible Standards benutzen, birgt Fallstricke in der Analyse und führt nicht zur Problemlösung. CISOs benötigen zuverlässige Indikatoren für die Erkennung einer Kompromittierung und Intelligenz zur Gefahrensituation, um die Nadel im Heuhaufen erkennen zu können.
* Mathias Widler verantwortet als Area Director CEE bei Zscaler die Geschäftsentwicklung in Zentral- und Osteuropa.
Be the first to comment