Cyber Defence Maturity Assessment

Ist Ihre IT Security reif genug?

12.05.2020

Von

Sebastian Schmerl (Experte) IDG ExpertenNetzwerk

Dr. Sebastian Schmerl ist Director Security Services EMEA bei Arctic Wolf. Er hat mehr als 15 Jahre Erfahrung im Bereich Cybersecurity, unter anderem im Aufbau von Enterprise Security Operations Center für Unternehmen wie Daimler, Volkswagen, Bosch, Datev und Bayer.

Alle Posts des Autors Email: Connect:

IT Security effektiv zu planen ist kein leichtes Unterfangen. Eine systematische Bewertung Ihrer Cybersecurity-Reife kann Ihnen dabei helfen, an den richtigen Stellen zu investieren.

Viele Unternehmen sind unsicher, gegen welche Angriffsmethoden sie sich schützen müssen und ob ihre existierenden Maßnahmen ausreichen, um die Geschäftskontinuität aufrecht zu erhalten. Sie haben Schwierigkeiten, ihren Sicherheitsstatus einzuschätzen und die richtigen Maßnahmen umzusetzen, damit sich das Schutzniveau verbessert.

Unternehmen, die die Lücke zwischen Ist- und Soll-Zustand ihrer IT-Sicherheit messen, können Security-Investitionen zielgenau planen.
Foto: Falcona - shutterstock.com

Um mehr Klarheit über die Reife der eigenen Cybersicherheit (Cyber Defence Maturity Assessment) zu bekommen, gilt es zuerst, ein erforderliches Sicherheitslevel als Ziel-Zustand zu definieren. Anschließend kann das tatsächliche Schutzniveau - der Ist-Zustand - dazu ins Verhältnis gestellt und Lücken in der IT Security identifiziert werden. Das Schutzniveau hängt jedoch von vielen Faktoren ab, beispielsweise Mitarbeiteraktivitäten, dem Patch-Zustand oder aktuellen Angriffskampagnen. Es bedarf also einer Bewertungsmatrix, die diese komplexen Einflüsse abbilden kann.

Reifegrad der IT-Sicherheit - die Bewertung

Mit einem Cyber Defence Maturity Assessment wird die Widerstandsfähigkeit der gesamten IT-Infrastruktur auf Basis eines definierten Vorgehensmodells analysiert und daraus abgeleitet, wo weitere Maßnahmen notwendig sind.

Um den Ziel-Zustand zu definieren, bieten sich diese Schritte an:

Angreiferklassen selektieren, die die Organisation im Fokus haben
wahrscheinliche Angriffstechniken ableiten

Anschließend können der Ist-Zustand sowie Verbesserungen ermittelt werden:

Abdeckungsgrad bestehender Schutzmaßnahmen in Bezug auf die abgeleiteten Angriffstechniken definieren
Maßnahmen zum besseren Schutz budgetieren, auswählen und implementieren

Grundlage für die Bewertung von Angriffstechniken und Schutzmaßnahmen ist das aktuelle MITRE ATT&CK-Framework. Diese Wissensdatenbank führt in einem standardisierten Verfahren alle bekannten Angriffstechniken, Angriffsvektoren und typischen Angreiferklassen anhand der Phasen einer Cyberattacke zusammen. Dabei werden Maßnahmen für Prävention und Erkennung sowie die Response-Fähigkeiten des Unternehmens gegenüber den unterschiedlich motivierten und technisch versierten Angreiferklassen betrachtet.

Cyber Assessment - Ziel-Zustand definieren

Verschiedene Angreiferklassen attackieren mit unterschiedlicher Qualität und Quantität. Sich viral ausbreitende Malware wie Emotet und andere Ransomware wird zwar in hohen Mengen verschickt. Die verwendeten Angriffstechniken sind jedoch vergleichsweise einfach und werden nicht spezifisch auf Opfer zugeschnitten. Ähnlich verhält es sich bei Angriffen von so genannten Basic Attackern. Diese sind nicht so häufig, agieren aber spezifischer und mit höherer Qualität.

Die Qualität und der Zuschnitt der Angriffe nimmt bei den weiteren Angreiferklassen wie Crime Service Attackers, Persitent Attackers und Advanced Persitent Threat (APT) bis hin zu Nation State Attackers weiter zu. Auf Basis einer Visualisierung können Unternehmen nun entscheiden, bis zu welcher Angreiferklasse (rote Linie) sie geschützt sein wollen und in den nächsten Schritten das erforderliche Sicherheitsniveau ableiten.

Angreiferklassen unterschieden sich darin, wie häufig und gezielt sie agieren.
Foto: Computacenter

Die unterschiedlichen Angriffstechniken lassen sich dem MITRE ATT&CK-Framework entnehmen. Häufige verwendete Techniken stehen in den weiteren Schritten im Fokus. Werden sie für alle relevanten Angreiferklassen übereinandergelegt, erhalten Unternehmen eine Übersicht, gegen welche Techniken sie sich schützen sollten.

Auswahl der relevanten Angreiferklassen und ihrer Angriffstechniken.
Foto: Computacenter

IT Security - Ist-Zustand ermitteln

Um festzustellen, wie reif die Security des eigenen Unternehmens hinsichtlich dieser selektierten Angreiferklassen ist, müssen anschließend deren Angriffstechniken nacheinander bewertet werden. Im Rahmen von persönlichen Interviews mit den wichtigsten Stakeholder-Gruppen gilt es, die für das Unternehmen relevantesten Angriffstechniken zu analysieren. Dazu zählen etwa Fachabteilungen für Netzwerk, Client/Server, Active Directory, Firewall/Proxy oder Governance, Risk und Compliance. So lässt sich feststellen, wie gut das Unternehmen vor einzelnen Angriffstechniken geschützt ist. Zudem erhält es eine Übersicht über die Leistungsfähigkeit ihrer Cyber Defence gegenüber der Angreiferklassen.

Schließlich sollte für jede selektierte Angriffstechnik die Effektivität der relevanten Schutzmaßnahmen und deren Abdeckung bewertet werden. Dazu dienen entweder komplexe Metriken oder ein einfaches Produkt aus Effektivität (null bis 100 Prozent) und Abdeckungsgrad (null bis 100 Prozent) über alle IT-Assets. Ein Überblick über den Schutz gegen alle Angriffstechniken lässt sich dann einfach visualisieren: Kein Schutz gegen diese Angriffstechnik vorhanden (rot), teilweiser Schutz vorhanden (gelb) und guter Schutz vorhanden (grün).

Farbliche Visualisierung des Status Quo der Schutzmaßnahmen.
Foto: Computacenter

Sicherheitsverbesserungen budgetieren

Langfristig ist es das Ziel, möglichst selten in kritischen Bereich für Geschäftsunterbrechungen zu geraten. Alle dafür notwendigen Maßnahmen umzusetzen, scheitert aber oft am Budget. Umso wichtiger ist es, dass mit einem Lagebild das Fundament für Entscheidungen gelegt wird.

Das erforderte Sicherheitsniveau sollte nicht unterschritten werden. Befinden sich Unternehmen länger im kritischen Bereich, erhöht sich das Risiko, dass die Geschäftsprozesse unterbrochen werden.
Foto: Computacenter

Um die eigenen Schutzmaßnahmen bestmöglich auszurichten, sollten die individuellen Anforderungen möglichst gut abgedeckt sein. Meist zeigt sich bei der Bewertung allerdings, dass die aktuellen Sicherheitsmaßnahmen nicht den erforderlichen Schutz bieten. Für Unternehmen bedeutet dies, dass nicht nur große Teile ihrer IT-Infrastruktur ungeschützt sind, es wird auch Budget für eigentlich unnötige oder redundante Maßnahmen verschwendet. Eine 100-prozentige Abdeckung aller Angriffstechniken ist nicht realisierbar. Unternehmen müssen daher anhand ihres Security-Budgets sehr genau abschätzen, bis zu welcher Angreiferklasse sie sich schützen möchten. Letztendlich gibt es dazu unterschiedliche Möglichkeiten:

Sie orientieren sich am Ziel-Zustand, dem erforderlichen Sicherheitsniveau. Dann sind passende Security Controls auszuwählen, um möglichst effizient vom Ist- zum Ziel-Zustand zu gelangen. Das erforderliche Budget kann über die zusätzlichen selektierten Maßnahmen abgeschätzt werden.
Sie verfügen nur über ein festes limitiertes Budget. Dann wählen sie auf dieser Basis Security Controls in ihrem Budget-Rahmen aus, mit denen der größte Fortschritt in Richtung des erforderlichen Sicherheitsniveaus zu realisieren ist und implementieren diese.

Natürlich ist das zur Verfügung stehende Budget nie so üppig, wie es Security-Verantwortliche sich wünschen würden. Doch bietet diese Vorgehensweise eine fundierte Hilfestellung, wo der größte Handlungsbedarf besteht. Sind relevante Angreiferklassen, deren Techniken und die Wirksamkeit der bestehenden Security-Maßnahmen in Bezug auf diese herausgearbeitet, liegen die Schutzdefizite auf dem Tisch.

Ein Cyber Defense Maturity Assessment zeigt, ob die aktuellen Maßnahmen den erforderlichen Schutz bieten, oder nicht.
Foto: Computacenter

Das beschriebene Assessment liefert neben der technisch fundierten Einordnung des tatsächlichen Schutzniveaus auch konkrete Ansatzpunkte, wie Unternehmen ihren Sicherheitslevel wirtschaftlich und effizient erhöhen können. Denn auf Basis dieser realistischen Einschätzung von Ist- und Ziel-Zustand lässt sich strategisch entscheiden, mit welchen Security Controls Angreifer von der eigenen IT-Infrastruktur bestmöglich ferngehalten werden können. Zudem bietet diese Vorgehensweise eine fundierte und nachvollziehbare Entscheidungsgrundlage für Investitionen in die IT-Sicherheit. (jd)

Aktuelle IDG-Studien

An der Cloud Readiness und Bereitschaft zum Wandel der Unternehmen hierzulande gibt es keine Zweifel mehr. Die Transformation ist in vollem Gange.

Mehr zur Studie erfahren
Der Schutz vor Ransomware hat hohe Priorität, doch die ergriffenen Maßnahmen greifen zu kurz. Alles dazu in unserer Studie.

Mehr zur Studie erfahren
Das Gros der ERP-Anwender setzt mittlerweile auf SAP S/4HANA, um digital zu transformieren und Wettbewerbsvorteile zu erschließen. Mehr in der Studie.

Mehr zur Studie erfahren
Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren