Im Gespräch mit David Mayer von KPMG Österreich

David Mayer ist Senior Manager im Bereich IT-Advisory/Cyber Security bei der Unternehmens- und Managementberatung KPMG Österreich. Im Interview erklärt er, was Unternehmen bei der Entwicklung ihrer Security-Strategie beachten sollten und warum Sicherheits-Tools allein nicht ausreichen.

com! professional: Herr Mayer, wie beurteilen Sie die derzeitige Bedrohungslage und die Situation der IT-und Informationssicherheit in Unternehmen?

David Mayer: Die Hacker-Angriffe nehmen grundsätzlich weiter zu und werden immer raffinierter. Durch Digitalisierung und zunehmende Vernetzung etwa im Internet der Dinge bieten sich den Angreifern immer neue Angriffsflächen. Die Situation gilt für Unternehmen jeder Größe. Die Frage ist nicht mehr, ob etwas passiert, sondern wann. Firmen müssen daher ihre Security-Prozesse so modellieren, dass sie im Fall von Angriffen schnell reagieren können.

Einen Rahmen bilden hier die fünf Funktionen des Cyber-Security-Frameworks der US-Bundesbehörde NIST (National Institute of Standards and Technology): Identify, Protect, Detect, Respond und Recover. In der ersten Funktion geht es um die Identifikation von businesskritischen Systemen, Daten und Funktionen inklusive Risikoanalyse und -bewertung. Protect steht für den grundsätzlichen Schutz vor und die Blockade von Angriffen, Detect für die Entdeckung von Schädlingen und Angriffsversuchen und Respond für Handlungsempfehlungen und konkrete Maßnahmen, wie Firmen auf einen entdeckten Angriff reagieren, der bereits das Netzwerk infiltriert hat. Recover meint die Wiederherstellung der betroffenen Systeme.

com! professional: Wie kann eine durchdachte, ganzheitliche Security-Strategie aussehen?

Mayer: KPMG hat dazu mit der „Cyber Security Landkarte“ ein branchenübergreifendes Framework entwickelt, das in Anlehnung an die ISO 27001 in Domänen gegliedert ist. Die ISO 27001 regelt den Aufbau und den Betrieb eines Information-Security-Management-Systems und umfasst Richtlinien/Domänen wie IAM, Schwachstellenmanagement, Incident Management, Data Loss Prevention, Netzwerksicherheit oder Kryptografie. Wir prüfen zunächst in einer Status-Analyse den Ist-Zustand in den Domänen und das Ambitionsniveau: Wo will das Unternehmen hin? Was ist künftig wichtig? Beim Status-Assessment analysieren wir auch das Branchenumfeld mit Marktdaten oder regulatorischen Bedingungen. Wie bewegt sich die Branche? Es geht also auch um businessstrategische Fragen. Daraus leitet sich dann die Security-Strategie ab.

com! professional: Könnten Sie diese Ableitung der Security-Strategie aus den Businesszielen an Beispielen erläutern?

Mayer: Ein Beispiel ist etwa der Umgang mit der Cloud. Setzen Unternehmen auf eine Cloud-first-Strategie oder verlagern sie Anwendungen und Daten nur vereinzelt in die Cloud? Diese Entscheidung wirkt sich natürlich auf die Security-Strategie aus. Die in Unternehmen generierten Daten, zum Beispiel im Maschinenbau oder der Logistikbranche, könnten dazu dienen, eigene Geschäftsmodelle zu erweitern - Stichwort: Data Analytics.

Hier müssen Firmen etwa bei der Datenübertragung und beim Zugriffsmanagement das Thema Sicherheit berücksichtigen und auch das Know-how im Security-Team entsprechend ausrichten.

com! professional: Welcher Schritt folgt auf die Statusanalyse?

Mayer: Dann geht es an die Definition der Maßnahmenpakete pro Domäne. Grundlage dafür sind Interviews mit dem Management, den Bereichsleitern oder den Fachexperten. Das ist für jede Firma relevant, wobei das bei kleineren Unternehmen natürlich kompakter ausfällt. Bei Banken kommen beispielsweise noch weitere Domänenblöcke wie Anti-Fraud-Management dazu, bei der Zusammenarbeit mit externen Security-Providern sind die Service Level Agreements (SLAs) relevant. Meist priorisiert der CISO diese Maßnahmenblöcke, damit sich der Vorstand besser entscheiden kann. Dabei geht es auch um die Frage, wie viel Ressourcen für die Einzelmaßnahmen notwendig sind.

Wenn der Vorstand das Strategieprogramm freigegeben hat, geht es an die Umsetzung der Maßnahmen in einzelnen Projekten. Bei der Implementierung sollten Firmen immer wieder validieren, ob die Maßnahmen anhand der derzeitigen Geschäftsstrategie noch anwendbar sind und zu den vorgegebenen Zielen und zum Gesamtkonzept passen. Diese können sich im Lauf der Zeit auch ändern.

So kann es sein, dass nach ein paar Jahren von 20 vorgegebenen Maßnahmenblöcken nur 15 umgesetzt wurden, manche wegen Veränderungen unnötig wurden und neue Maßnahmen hinzukamen.

com! professional: Für die Umsetzung der Maßnahmen brauchen Firmen Konzepte und Lösungen. Welche Sicherheits-Tools benötigen Unternehmen unbedingt?

Mayer: Bevor ich diese Frage beantworte, noch eine grundsätzliche Anmerkung. Firmen müssen wegkommen vom Firefighting und dürfen nicht glauben, dass sie mit einem Tool alle Probleme und deren Ursachen beseitigen. Sie sollten genau prüfen, wa­rum und wie sie ein Tool einsetzen wollen, damit es den gewünschten Nutzen bringt und hier keine Fehlinvestition entsteht. Ein Tool kann sich sicherheitstechnisch auch als falsche Wahl erweisen. Oft werden Probleme etwa durch Prozesse, fehlende Security Awareness oder auch fehlerhafte Rollen im Security-Team verursacht.

Nehmen wir das Beispiel Antiviren-Tools: Brauchen wir mehrere Tools von unterschiedlichen Anbietern oder reicht eines aus? Wie kombinieren wir verschiedene Tools richtig, um deren Stärken voll auszuschöpfen? Die Analyse ist sehr aufwendig. Wir raten dazu, das Use-Case-basiert anzugehen. Wenn Daten etwa zum Großteil auf cloudbasierten Systemen abgelegt werden, könnte das Thema Endpoint Protection eine geringere Priorisierung erhalten.

com! professional: Kommen wir von den Tools zum Faktor Mensch, der als das größte Risiko bei Angriffen gilt. Welche Rolle spielen Trainings für Security Awareness im Rahmen einer Secu­rity-Strategie?

Mayer: Informationssicherheit steht und fällt mit dem wachsamen Anwender. ‍Security Awareness sollte daher ein wichtiges Thema in den Unternehmen darstellen. Ziel ist es, die Mitarbeiter über Richtlinien, aktuelle Bedrohungen und den Umgang mit diesen Bedrohungen aufzuklären. Es geht um Transparenz, damit niemand das Thema Sicherheit als Nachteil sieht. Jeder Mitarbeiter sollte die Maßnahmenblöcke rund um IT-Sicherheit kennen, die seinen eigenen Anwendungsbereich betreffen.

Firmen sollten ihre Security-Strategie immer gesamtheitlich betrachten und daran denken, alle relevanten Stakeholder einzubeziehen - vom Vorstand bis zum Fachexperten.