Die Absicherung der IT-Infrastruktur und der Daten eines Unternehmens ist ein komplexes Unterfangen. Damit technische, organisatorische und personelle Lösungen perfekt ineinandergreifen und eine möglichst umfassende Abwehr von Cyberangriffen gewährleisten können, bedarf es der Konzipierung und Implementierung einer ausgefeilten und auf die Bedürfnisse und Charakteristika des jeweiligen Unternehmens zugeschnittenen Sicherheitsstrategie.
Für gewöhnlich fällt die Aufgabe der Konzipierung und Implementierung einer solchen Strategie dem Chief Information Security Officer (CISO) zu. Er spürt die Sicherheitslücken und Risikoherde des Unternehmens auf, ermittelt mögliche Angriffsvektoren von Cyberkriminellen und entwickelt dann – basierend auf seinen Erkenntnissen – eine auf das Unternehmen zugeschnittene Strategie. Eine komplizierte Aufgabe. Nicht selten kommt es vor, dass ein CISO die Übersicht verliert und für seine Arbeit durchaus relevante Aspekte gänzlich außer Acht lässt.
Dies sieht auch Jan van Vliet, VP und GM EMEA des US-amerikanischen Softwareunternehmens Digital Guardian, so. In einem Ende April auf der britischen Cybersicherheits-Webseite Teiss erschienenen Artikel listet er fünf Punkte auf, die von CISOs in ihrer täglichen Arbeit besonders häufig übersehen werden und gibt Hinweise, wie diese effektiv angegangen werden können:
Die eigenen Grenzen erkennen – Um eine effektive Sicherheitsstrategie entwickeln und erfolgreich implementieren zu können, benötigen CISOs stark ausgeprägte Kompetenzen in drei Bereichen: Technik, Management und Soziales. Für gewöhnlich sind jedoch nicht alle drei Kompetenzen ausreichend entwickelt. Nachschulungen und Weiterqualifizierungen sind hier ebenso zwingend erforderlich, wie der Aufbau eines Teams mit qualifizierten Mitarbeitern, welche die Schwachstellen des CISOs erfolgreich ausgleichen können. Da CISOs zudem dazu neigen, einen Tunnelblick für die Behebung der ‚temporär‘ drängendsten Schachstellen eines Unternehmens zu entwickeln, sollten sie sich immer wieder Zeit nehmen, die Unternehmenssicherheit als Ganzes in den Blick zu nehmen.
Denken wie ein Cyberkrimineller – Die Sicherheitsstrategie eines Unternehmens sollte stets auf die ermittelten Angriffsvektoren der Cyberkriminellen zugeschnitten sein. Cyberkriminelle bereiten sich umfassend auf ihre Angriffe vor. Im Vorfeld beobachten und analysieren sie die Sicherungsmaßnahmen ihrer Opfer genau. Eine effektive Verteidigung sollte dem in nichts nachstehen und ebenfalls stets die präferierten Angriffsmuster der Cyberkriminellen im Blick behalten.
Mobile Endgeräte im Fokus – Nach wie vor gestaltet es sich schwierig, über mobile Endgeräte zu ermitteln, ob Webseiten, Emails oder Anhänge mit Mal- oder Spyware infiziert sind. Nicht ohne Grund nimmt die Zahl der Cyberangriffe auf mobile Endgeräte schon seit Jahren kontinuierlich zu. Auch KnowBe4 hat hierüber bereits vor einiger Zeit in einem Blogbeitrag berichtet. CISOs müssen hier einen Schwerpunkt setzen. Nicht zuletzt, da die Belegschaft meist nicht ausreichend geschult ist, um verdächtige E-Mails und Webseiten von sich aus zu erkennen.
Partner und Zulieferer integrieren – Nicht selten nutzen Cyberkriminelle die Möglichkeit, sich über Partner und Zulieferer Zugang zum Netzwerk eines Unternehmens zu verschaffen. Laut einer kürzlich erschienen Studie des Sicherheitsdienstleisters eSentire sind ungesicherte Zulieferer mittlerweile für die Hälfte aller Dateneinbrüche in Unternehmen verantwortlich. Auch KnowBe4 hat hierüber schon vor einiger Zeit in einem Blogbeitrag zur Absicherung von Versorgungsketten, der sogenannten supply chain security, berichtet. Hier gilt es gegenzusteuern. CISOs muss es gelingen, Partner und Zulieferer effektiv in die eigene Sicherheitsstrategie einzubinden.
Mitarbeiter trainieren – Viele Risikoherde und Einfallstore im Unternehmen bestehen nur aus einem Grund: die Mitarbeiter sind nicht ausreichend für die Erkennung und Meldung eines Cyberangriffs qualifiziert. Für Cyberkriminelle ist es da ein Leichtes, Mal- und Spyware unbemerkt ins Unternehmensnetz einzuspeisen. Ein kontinuierliches Security Awareness Training mit integrierten Phishing-Tests und tiefgehender Mitarbeiteranalyse kann hier schnell nachhaltige Effekte erzielen. Die Belegschaft wird so zu einer zusätzlichen Abwehrlinie der betriebsinternen Sicherheitsarchitektur.
CISOs, denen es gelingt, diese fünf Punkte effektiv in ihre Sicherheitsstrategie einzubinden, werden künftig mit deutlich weniger Sicherheitslücken zu kämpfen haben.
