Cyber Defense

Der Weg zur starken Cyber-Defense − Teil 1

Der Weg zur starken Cyber-Defense − Teil 1

Der Trend: Von der Security zur Cyber-Defense.
Eine starke Cyber-Defense verankert sich weitaus stärker in der Firma als weithin angenommen. Oft werden darunter primär technische Massnahmen verstanden. Wer jedoch Mehrwert aus seinen Projekten erhalten will, ist gut beraten die Situation aus einem breiteren Blickwinkel heraus zu betrachten.

Der Schlüsselbegriff heisst Governance

Wer die Risiken im eigenen Unternehmen kontrollieren möchte, benötigt eine Form der Lenkung. Dazu gehören planmässige Werkzeuge und Prozesse welche die Steuerung erlauben. Um diese erfolgreich zu definieren und einsetzen zu können, muss eine umfassende Sicht erlangt werden.

Dies zeigt die folgende Grafik.

Cyber Defense Governance

Vereinfacht kann eine Organisation in die folgenden vier Bereiche unterteilt werden:

  1. Vision (bei der Geschäftsleitung angesiedelt)
  2. Strategie (im Umfeld des Managements angesiedelt)
  3. Architektur (beim technischen Fachpersonal angesiedelt)
  4. Betrieb (beim technischen Fachpersonal angesiedelt)

Die Bereiche bauen aufeinander auf. Mit einer funktionierenden Governance werden Vorgaben oben in der Pyramide erstellt und verfeinern sich, je tiefer sie weitergegeben werden. Andererseits bestätigt jede Ebene über ein Reporting der jeweils höheren Stelle, dass die Vorgaben umgesetzt werden konnten. Es entsteht ein laufender Prozess, bei dem Reporting und Vorgaben sich gegenseitig helfen, sich immer besser in die Umgebung einzufügen.

Verschiedene Fachthemen werden auf unterschiedlicher Ebene behandelt: Technische Standards, wie z. B. die Critical Security Controls oder das BSI Grundschutzhandbuch, gehören eher in das technische Umfeld. Organisatorische und regulatorische Themen, wie z. B. ein ISMS oder Compliance zu geltendem Recht, gehören in das Umfeld des Managements.

Statt Silos schützen, Cyber-Defense-Mission erfüllen

Damit eine Organisation ihre Mission erfüllen kann, muss sie die aktiven Bedrohungen sowie den Angreifer kennen, sein Wissen, seine Handlungsfähigkeit, seine Motivation und seine finanziellen Mittel. Eine Foreknowledge (sinngemäss die Fähigkeit, früh die zukünftigen Bedürfnisse und Gefahren zu erkennen) ist für die eigene Verteidigung unabdingbar. Deshalb wird der Begriff Cyber-Defense immer populärer: Während sich die unterschiedlichen Formen der Security generell eher isoliert in unterschiedlichen Bereichen (Abteilungs-Silos) bewegen und zumindest die Information-Security und die IT-Security oft zu wenig miteinander interagieren, geschieht über die Defense der Wechsel hin zu einer Mission Assurance.

Der methodische Wechsel

Wer auf den Zug der Cyber-Defense aufsteigt, macht also auch einen methodischen Wechsel: Das Ziel besteht nicht mehr darin, die Funktion von einzelnen Silos sicherzustellen, sondern sich an der Mission der eigenen Organisation zu orientieren und somit das Denken in Silos hinter sich zu lassen. Ein Beispiel: In Produktionsbetrieben sind die Qualitätssicherung des Produkts und die IT-Sicherheit oft voneinander separiert. Heute müssen sich der Quality Manager und der Security Officer jedoch bewusst sein, dass sie derselben Mission folgen und aufgrund der immer stärker vernetzten Technologie effizient Hand in Hand arbeiten müssen, um den Erfolg der Firma sicherzustellen.

Die Cyber-Defense ist mit mehreren Herausforderungen konfrontiert:

  1. sie muss das technische Umfeld verstehen,
  2. sie muss über die Strategie der Organisation Bescheid wissen
  3. und informiert sein, welche Mission erreicht werden soll.

Daraus leitet sich ab, dass mit unterschiedlichen Zielgruppen kommuniziert werden muss: In der gezeigten Pyramide ist das technische Know-how je nach Organisationsbereich unterschiedlich ausgeprägt. Die Cyber-Defense muss ihr Material (Berichte, Konzepte u.a.) so aufbereiten, dass unterschiedliche Zielgruppen sie verstehen. Dies ist wichtig, damit alle beteiligten Parteien den Mehrwert und die Legitimation einer Cyber-Defense nachvollziehen können.

Nicht das Produkt sondern die Partnerschaft ist wichtig 

Bei der Frage, ob sich eine Cyber-Defense als Produkt einkaufen lässt, gehen die Meinungen auseinander. Die Hersteller suggerieren dies zwar, vergessen dabei aber einen wichtigen Aspekt: Nicht nur die Technik lebt - sondern auch die Strategie. Die Cyber Defense bedeutet auch das Ende der Silos, entsprechend ist die Sache nicht nur durch den Kauf eines passenden Produkts für immer und ewig erledigt. Vielmehr sind das Fachwissen und die gegenseitige Kooperation wichtig:

  1. Ein Produkt betreut sich nicht von alleine. Was immer man aufbaut, die nachhaltige Wartung und Pflege muss sichergestellt sein.
  2. Ein externer Partner muss dazu bereit sein, die Mission der Firma zu verstehen und sich auch im Umgang mit allen Stakeholdern wohlfühlen.
  3. Das Management muss andererseits dazu bereit sein, dem Externen zuzuhören und seine Reports und Ratschläge auf strategischer Ebene zu berücksichtigen.

Nur eine langfristige Zusammenarbeit stellt zudem sicher, dass alle Beteiligten am Ball bleiben und die gemeinsame Sprache sprechen.

Fazit für alle Entscheidungsträger

Implizit ergibt sich durch diese neue Methodik, dass alle Stakeholder involviert sein müssen, sowie der Überblick über die organisatorischen, strategischen und technischen Aspekte der Organisation unabdingbar ist. Damit dies erreicht werden kann, ist ein entsprechendes Engagement vom Management notwendig.

Wer zur Cyber-Defense finden will, macht sich zudem nicht auf die Suche nach Produkten, sondern nach einem Partner, der nicht nur die Technik sondern auch alle Stakeholder versteht.

 

Dies war der erste Teil einer Blogserie zur Cyber-Defense. Es werden weitere Artikel folgen:

  • Aspekte, die auf dem Weg zu einer starken Cyber-Defense berücksichtigt werden müssen
  • Einbindung in die Organisation
  • Ideen für einen schnellen Start