ISO-Zertifikate schützen nicht

ISO/IEC 27001:2013 spezifiziert die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems im Rahmen der Organisation. Sie enthält auch Anforderungen an die Bewertung und Behandlung von Informationssicherheitsrisiken, die auf die Bedürfnisse der Organisation zugeschnitten sind.

Es war schon unzählige Male zu beobachten. Ein Chief Information Security Officer (CISO) geht in eine Vorstandssitzung und brütet über Statistiken, die den Compliance-Status des Unternehmens zeigen. Das Unternehmen erfüllt zu 75 Prozent die Anforderungen der ISO 27001, aber was sagt das über das Risikoniveau aus? Die Wahrheit ist, dass CISOs Jahre damit verbringen können, alle 114 Kontrollen der ISO 27001 zu implementieren, und ein entschlossener Angreifer die Schutzmaßnahmen in wenigen Stunden umgehen könnte. Da die Angreifer ihre TTPs (Tactics, Techniques, and Procedures) laufend aktualisieren und leichtgläubige Mitarbeiter austricksen, kann keine noch so gute Compliance die gesamte Basis abdecken. Vectra AI fragt daher: Warum also klammern sich CISOs an Compliance-Zahlen?

Vorstände neigen dazu, auf klare Anzeichen von Fortschritt zu reagieren, die im Sicherheitsbereich bekanntermaßen schwer zu messen sind. Daher gilt es die Diskussion zu verändern. Bei der klassischen Risikomanagement-Gleichung Risiko = Bedrohung x Schwachstelle gibt es keine Kontrolle über die Motivation, die Fähigkeiten oder die Ressourcen des Angreifers. Ein CISO könnte all seine Ressourcen in eine umfassende Compliance-Strategie stecken und wäre trotzdem nicht erfolgreich.

Was bedeutet bedrohungsorientiert?

Stattdessen müssen die Ansätze „threat led“, also bedrohungsorientiert sein, meint Vectra AI. Das bedeutet, zunächst die wertvollsten Assets und die Gegner, die es wahrscheinlich auf das Unternehmen abgesehen haben, zu ermitteln, und Prioritäten zu setzen, um die ermittelten Risiken zu mindern. CISOs sollten die Sicherheit daran messen, ob sie in der Lage sind, ein Eindringen ins Netzwerk zu entdecken, indem sie bei Sicherheitstests aussagekräftige Kennzahlen wie die mittlere Zeit bis zum Eindringen oder die mittlere Zeit bis zur Entdeckung von Bedrohungen verwenden. Dann können die CISOs daran arbeiten, diese Zahlen auf ein vereinbartes Niveau zu senken.

Um diese Daten zu erhalten, sind nach Erfahrungen von Vectra AI umfassende Red-Team-Übungen unerlässlich. Red Teams testen Technologie, Menschen und Prozesse. Sie suchen nach blinden Flecken und finden unorthodoxe Wege, um in das Unternehmen einzudringen. Genau so würde ein versierter Angreifer vorgehen. Dies liefert wertvolle Daten darüber, was durch die Maschen gefallen ist, so dass CISOs entsprechende Prioritäten setzen und die durchschnittliche Zeit bis zur Entdeckung eines Verstoßes reduzieren können. Derzeit führen jedoch nur wenige Unternehmen Red-Team-Übungen durch, weil sie sich dazu noch nicht reif genug sehen. Das ist Musik in den Ohren der Angreifer, und sie werden CISOs nicht die nötige Zeit geben, diese Erkenntnisse zu gewinnen, bevor sie zuschlagen. Red-Team-Übungen sollten dann durchgeführt werden, wenn der Reifegrad keine bessere Priorisierung bei der Eindämmung realer Bedrohungen zulässt.

Es gibt keine andere Branche, die so viel investiert, ohne das Ergebnis objektiv zu messen. Autobesitzer würden kein Auto fahren, das nicht einem Crashtest unterzogen wurde, warum also eine Sicherheitsstrategie einsetzen, ohne zu prüfen, ob sie umgangen werden kann? Sogar die Aufsichtsbehörden sind sich dieser Tatsache bewusst – mit Programmen wie TIBER-EU, die von den Banken die Durchführung von Red-Team-Tests verlangen, um sicherzustellen, dass sie über eine einfache grundlegende Compliance hinausgehen.

Bewusstsein wecken in der nächsten Vorstandssitzung

In der nächsten Vorstandssitzung sollten die Compliance-Zahlen nur als Fußnote stehen. Stattdessen gilt es die Beteiligten zu ermuntern, über die geschäftlichen Auswirkungen einer Sicherheitsverletzung und die Wahrscheinlichkeit, dass Angreifer das Unternehmen ins Visier nehmen, nachzudenken. Ebenso empfiehlt es sich, die Wahrscheinlichkeit eines erfolgreichen Angriffs anzusprechen. Den CEO wird es interessieren, ob er auf der Titelseite der Tagespresse erscheint, wenn sein Unternehmen von Ransomware betroffen ist. Das Gleiche gilt für den CFO, wenn er nicht in der Lage ist, Geschäfte zu tätigen, während die Systeme ausgefallen sind.

Anstatt zu versuchen, aufzuzeigen, dass die Vorschriften eingehalten und dass Projekte planmäßig durchgeführt werden, sollten CISOs nach Meinung von Vectra AI in Meetings die Schwachstellen erörtern. Sie sollten dem Vorstand Optionen zur Abschwächung dieser Schwachstellen vorlegen – und das erforderliche Budget einfordern. In der heutigen dynamischen Bedrohungslage kann es vorkommen, dass Pläne zur Jahresmitte geändert werden müssen. Daher ist es entscheidend, dass der Vorstand die Risiken versteht, die er eingeht, wenn er sich entscheidet, nicht zu investieren.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

5 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

23 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago