Technisches Know-how zum Schutz kritischer Daten und Infrastrukturen muss ein Chief Information Security Officer (CISO) ebenso mitbringen wie Führungsqualitäten, um die Strategien gegenüber der Geschäftsleitung zu verantworten. Mitarbeitermobilität, die digitale Transformation, zunehmend intelligentere Angriffsszenarien und gesetzliche Vorgaben an den Datenschutz müssen in Einklang mit der Schutzstrategie gebracht werden, um opportunistische Angriffe ebenso erfolgreich abzuwehren wie Industriespionage. In Kooperation mit Cloud-Security-Evangelist Chris Hodson haben wir die zehn wesentlichen Herausforderungen für den Chief Information Security Officer zusammengefasst.
Foto: alphaspirit - shutterstock.com
1. Überblick bewahren
CISOs laufen durch die digitale Transformation Gefahr, den Überblick über alle Daten zu verlieren. Vor einer Dekade oblagen Netzwerke und Anwendungen der Kontrolle der IT-Abteilung. Heute nutzen Anwender ihre eigenen Geräte und greifen über öffentliche Netze auf Cloud-Applikationen zu. Auch wenn Kosten, Elastizität und Produktivitätsvorteile für die Cloud sprechen, sind CISOs gefordert, in dieser mobilen, Cloud-orientierten Arbeitswelt den Einblick in diese Datenströme zurückzuerhalten, um sie auf mögliche Sicherheitsbedrohungen zu kontrollieren.
- Security-Verantwortlichkeiten
Ihr Cloud-Provider ist für die IT-Sicherheit seiner Infrastruktur verantwortlich. Ihr Unternehmen ist hingegen dafür verantwortlich, welche Nutzer Zugriff auf seine Ressourcen und Applikationen erhalten. Mit anderen Worten: Sie müssen sich um das Management der Zugriffsrechte kümmern und dafür sorgen, dass sich User und Devices, die Cloud-Zugriff benötigen, authentifizieren. <br><br /> Tipp für CISOs: Erstellen Sie Security-Protokolle wie Authentifizierungs-Richtlinien, Verschlüsselungs-Schemata und Datenzugriffs-Richtlinien. Benutzen Sie IAM (Identity & Access Management) um den Nutzerzugriff auf Services und Daten abzusichern und einzuschränken. Außerdem sollten Sie ein Audit durchführen, um Compliance-Verstöße oder unauthorisierten Zugriff sichtbar zu machen. - Unmanaged Traffic
Es gab eine Zeit, da war es in Unternehmen Gang und Gäbe, dass alle User Connections durch einen allgemeingültigen Security-Checkpoint müssen. In Zeiten von Netzwerk-Vielfalt und mobilen Devices ist das nicht mehr praktikabel. Unmanaged Traffic bezeichnet im Übrigen Bandbreitennutzung, über die Sie nichts wissen. Das kann von Usern verursachter Datenverkehr sein, oder Cloud-to-Cloud-Traffic, der in der Regel signifikant ausfällt. Datenverkehr, der Ihnen nicht bekannt ist, kann auch nicht durch den Security Checkpoint geleitet werden. <br><br /> Tipp für CISOs: Cloud Services mit einem Checkpoint - also Proxy - abzusichern, sorgt für zahlreiche Sicherheitslücken. Sie sollten deshalb Nutzer und Daten des Cloud Services über APIs absichern. Unauthorisierten Zugriff decken sie über Monitoring, privilegierte Administratoren und Apps von Drittanbietern auf. - Managed Traffic
Wenn Sie sich dafür entscheiden, den Datenverkehr, über den Sie Bescheid wissen - also den Managed Traffic - durch einen zentralen Checkpoint zu leiten, kann darunter die Performance leiden. Der Grund: große Datenmengen sorgen für Stau im Netzwerk. Fällt die Performance ab, führt das wiederum dazu, dass frustrierte User Wege suchen, den Stau zu umgehen. <br><br /> Tipp für CISOs: Bewerten Sie in Frage kommende Sicherheitslösungen nach Ihren Use Cases. Einige Drittanbieter haben Security Tools im Programm, die sämtliche Cloud Services - also SaaS, PaaS und IaaS - ohne zentralen Checkpoint absichert. - User-Eigenmacht
Eigenmächtige User können für die Entstehung neuer Sicherheitsrisiken sorgen, wenn sie unbemerkt Traffic verursachen. Eine weitere Folge kann ein Erstarken der sogenannten Schatten-IT sein. In diesem Fall könnten User ohne Wissen der IT-Abteilung Applikationen und andere Ressourcen nutzen, die nicht authorisiert sind. <br><br /> Tipp für CISOs: Schatten-IT sorgt für Compliance-Verstöße und kann für ineffiziente und inkonsistente Prozesse verantwortlich sein. Sie sollten deshalb gemeinsam mit Ihrem Team die Nutzung von Schatten-IT im Unternehmen identifizieren und auf dieser Grundlage Richtlinien entwerfen, die nicht nur der IT-Abteilung, sondern auch allen anderen Abteilungen helfen, im Sinne der IT-Sicherheit produktiv und effizient zusammenzuarbeiten. - Kein Mut zur Lücke
Die meisten Cloud-Security-Lösungen legen ihren Fokus auf den Schutz von SaaS-Applikationen - was wiederum für grobe Sicherheitslücken sorgen kann. Für eine ganzheitliche Security-Strategie sollten Sie den Schutz aller Daten, User und Devices über SaaS-, IaaS- und PaaS-Applikationen forcieren. <br><br /> Tipp für CISOs: Die Risiken und Schwachstellen von IaaS-, PaaS- und SaaS-Modellen unterscheiden sich grundlegend. Sie sollten deshalb nach einer ganzheitlichen Lösung Ausschau halten, die die Cloud in ihrer Gesamtheit abdeckt. - Wahl der richtigen Security-Lösung
Derzeit gibt es zwei grundlegende Ansätze für das Deployment einer Cloud-Security-Lösung: den Proxy- und den API-Ansatz. Beide haben ihre vOr- und Nachteile - aber woher weiß man, welcher Ansatz der richtige ist? <br><br /> Tipp für CISOs: Denken Sie an die Bedürfnisse Ihres Unternehmens. Suchen Sie nach einer Proxy-Lösung, die Überwachung in Echtzeit ermöglicht? Oder ist der ganzheitliche API-Ansatz besser geeignet, der eine serviceübergreifende Absicherung aller Daten, Nutzer und Devices ermöglicht?
2. Aussagekräftige Analysen
Unternehmen müssen sich nicht mehr die Frage stellen, ob sie zum Ziel von Angreifern werden, sondern wann. Die Geschäftsführung fordert vom CISO die Bestätigung, dass im Falle eines Sicherheitsverstoßes die Tools, Strategien und Ressourcen vorhanden sind, um die Situation zu bewältigen und eine Aussage zur Behebungsdauer der Gefahrenlage gemacht werden kann. Dementsprechend gilt es, Vorkehrungen zu treffen, um die Angriffe aufzuspüren. Dazu ist es nötig, die Anzeichen einer Kompromittierung zu erkennen, bevor potenzielle Malware Schaden anrichten kann. Das Board muss Worst-Case-Budgets für umfassende Cyber-Sicherheitsmaßnahmen bewilligen. Allerdings wird damit einhergehend die Anforderung an den CISO gestellt, für die Ausgaben einen Return-on-Invest zu liefern. Es gilt die Erwartungshaltung des Boards dahingehend zu relativieren, dass eine umfangreiche Sicherheitsstrategie das Risiko immer nur minimieren kann.
- US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst. - Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar. - Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen". - Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen. - NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland. - Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch. - Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
3. Verschlüsselter Datenverkehr
Die IT-Abteilung erhält durch die Verschlüsselung von Daten weniger Einblick und muss dementsprechend Abstriche hinsichtlich der Sicherheit machen. Da heute bereits 70 bis 80 Prozent des Internet-Datenaufkommens SSL-verschlüsselt ist, kann durch diese Datenströme ohne Inspektion Malware ins Unternehmen gelangen. Das Entschlüsseln von SSL-Daten zum Malware-Scan benötigt Zeit, Performanz und hat Auswirkungen auf die Kosten. Außerdem muss das Vorhaben im Vorfeld mit der Rechtsabteilung und dem Betriebsrat abgestimmt sein. Je nach Region gilt es dabei, die Rechtslage zu berücksichtigen und Datensicherheit gegen Datenschutz abzuwägen. Angesichts der Tatsache, dass zunehmend mehr Advanced Threats hinter SSL-verschlüsselten Datenströmen verborgen sind, sollte der CISO die Diskussion nicht scheuen und Maßnahmen ergreifen.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
4. Ransomware
Sind Unternehmen mit Ransomware infiziert, merken sie das innerhalb kurzer Zeit durch die Bildschirmanzeige oder durch Dateiendungen, die den Zugriff auf kritische Daten verweigern. Unternehmen stehen im Falle einer Infektion vor der Entscheidung, ob sie den Lösegeldforderungen nachkommen oder nicht. Der CISO entscheidet, ob er die Moral höher stellt als das Fördern der Erpressung.
Letztendlich kostet Stillstand durch den verweigerten Datenzugang Geld und schlimmstenfalls sogar Leben. Da die Verbreitung von Ransomware angesichts der potenziellen, monetären Gewinne für kriminelle Hacker nicht zurückgehen wird, sollten CISOs vorbeugende Maßnahmen mit auf ihre Agenda setzen. Schon jetzt wird Ransomware 2.0 vorhergesagt, die als logische Evolution alle netzwerkfähigen Geräte des Internet of Things ins Auge fasst.
5. Internet of Things
Das Internet of Things (IoT) wird die nächste Generation von Cybercrime definieren. Laut Gartner soll es 20 Milliarden IoT-Geräte bis zum Jahr 2020 geben, die geschützt werden müssen. Dazu zählen klassische Bürogeräte wie Drucker, Kopierer, Beamer ebenso wie weniger offensichtliche Geräte wie Kühlschrank, Kaffeemaschine oder Überwachungskameras. Hinzu kommen Heizung, Belüftung und Klimaanlagen, sowie Bewegungsmelder oder Beleuchtungssysteme, die über das Internet oder die Cloud ansteuerbar sind.
Foto: a-image - shutterstock.com
Alle diese Geräte einer modernen Büro- oder Produktionsumgebung stellen einen potenziellen Angriffsvektor dar. Der CISO ist gefordert, diese Bandbreite an Geräten und Technologien in das Sicherheitskonzept einzubeziehen. Das wird umso beschwerlicher durch den Kontrollverlust, der hinsichtlich der Geräte, der Netzwerke und der Anwendungen besteht, die durch Mitarbeiter zum Einsatz kommen. Für den CISO bedeutet das ein konsistentes Niveau an Due Diligence für alle Geräte, die Daten speichern, verarbeiten oder übertragen können.