WHITEPAPER: Der Cyber Resilience Blueprint: Eine neue Perspektive für die Sicherheit

Wh

ite PaPer

: D

er C

yber

resilien

Ce b

luePr

int: ein

e n

eue Per

sPektiv

e für

Die siC

her

heit

Der Cyber resilience blueprint: eine neue Perspektive für die sicherheitWer diese Publikation lesen sollte

für unternehmensleiter in diesem umfeld raffinierter bedrohungen versagen herkömmliche sicherheitstaktiken. symantec regt unternehmen an, ihre sicherheitspolitik zu überdenken, um eine höhere Widerstandsfähigkeit gegenüber Cyber-kriminalität aufzubauen. Widerstandsfähigkeit wird nicht durch eine reihe von Checklisten definiert, sondern durch auswertungen auf basis der aktuellen bedrohungslage und des akzeptierbaren risikoniveaus für das unternehmen. Dieses Whitepaper stellt best-Practice-ansätze vor, die zur Minimierung des Cyber-risikos empfohlen werden. Diese werden innerhalb von fünf säulen angeordnet und bieten spezifische Maßnahmen für jede säule, die von definierbaren it-stellen durchgeführt werden können.

Der Cyber Resilience Blueprint: Eine neue Perspektive für die Sicherheit

Inhalt

Die Sicherheitsnavigation am digitalen Arbeitsplatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Eine durchdachte Sicherheitsstrategie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Die fünf Säulen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Säule 1: Vorbereiten / Identifizieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Säule 2: Schützen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Säule 3: Aufdecken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Säule 4: Reagieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Säule 5: Beheben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Widerstandskraft gegen Cyber-Angriffe erreichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1


1- Agenda-Übersicht für Nexus of Forces, 20. Januar 2014 G002614992- Forrester Research, Inc., Introducing Forrester’s Targeted-Attack Hierarchy Of Needs, May 2014 Rick Holland blog: http://blogs.forrester.com/rick_holland/

14-05-20-introducing_forresters_targeted_attack_hierarchy_of_needs

Die Sicherheitsnavigation am digitalen Arbeitsplatz

aufgrund einer starken kombination von einflüssen verändern sich arbeitsplätze

in einem exponentiellen ausmaß. in seinem “Nexus of Forces” definiert Gartner

dieses Phänomen als “Zusammentreffen und gegenseitige verstärkung von vier

unabhängigen trends: soziale interaktion, Mobilität, Cloud und information”,

welche “sich verbinden, sodass sie einzelne Personen stärker machen,

während sie miteinander und mit ihren informationen durch allgegenwärtige,

gut konzipierte technologie interagieren.”1 Mit zunehmender abhängigkeit

von konnektivität nutzen wir das Web, um die arbeit in echtzeit zu erledigen,

indem wir uns mit internet und den Mobilgeräten anderer verbinden. Diese

konvergierenden trends, die sowohl stärkend als auch äußerst gefahrenträchtig

sind, machen ein unternehmen wettbewerbsfähiger und agiler – aber auch

verwundbarer durch Cyber-angriffe –, und so haben unternehmen große Mühe,

den dadurch entstehenden herausforderungen auf augenhöhe zu begegnen. in

diesem umfeld ist eine durchdachte sicherheitsstrategie für sicherheitsbewusste

unternehmen unerlässlich.

Eine durchdachte Sicherheitsstrategie

Cyber-risiken sind nichts neues, aber es steht täglich mehr auf dem spiel. ein Zwischenfall ist kein einzelnes vorkommnis mehr, sondern eine

andauernde und hartnäckige kampagne. Die meisten analysten, unternehmensleiter und visionäre sind zu demselben schluss gekommen:

es gibt keine Wunderwaffe, keine Patentlösung und in den meisten fällen auch keinen einzelnen ansatz, der schutz vor einem angriff bietet.

statt andauernd sicherheitsvorkehrungen zu treffen, müssen unternehmen ihre wichtigsten aktivposten definieren und feststellen, wie sich die

vorhandenen sicherheitsmaßnahmen dazu verhalten. es ist ein Paradigmenwechsel, der sicherheitserkenntnisse nutzt, um entscheidungen zu

steuern und agilität zu fördern.

forrester nennt das eine “Targeted-Attack Hierarchy of Needs”.2

basierend auf abraham Maslows berühmter “hierarchy of needs” für

die selbstverwirklichung konzentriert sich das rahmenkonzept auf

die wichtigsten voraussetzungen zur verteidigung der it-umgebung

gegen gezielte angriffe. Damit wird das fundament für eine robuste

sicherheitsstrategie gelegt. Die erfordernisse in der reihenfolge

ihrer Wichtigkeit: eine echte sicherheitsstrategie; ein engagement

zum rekrutieren und halten von Personal; eine konzentration auf

das Wesentliche; ein integriertes Portfolio, das ein Zusammenspiel

ermöglicht; Prävention; aufdeckung und reaktion.

Abbildung 1. Agenda-Übersicht für Nexus of Forces

Information

So

zial Mobil

Clo

ud

Quelle: Gartner (Januar 2014)

Aufdeckung und

Reaktion

Prävention

Ein integriertes Portfolio, das Zusammenspiel ermöglicht

Eine Konzentration auf das Wesentliche

Ein Engagement zum Rekrutuieren und Halten von Personal

Eine echte Sicherheitsstrategie

2


regierungen gehen Cyber-risiken und das verteidigen wichtiger infrastruktur durch schulungen sowie das bereitstellen formeller strategien

und rahmenpläne an. es gibt weltweit 35 von regierungen veröffentlichte sicherheitsstrategien, und ständig werden weitere entwickelt.3

Zum beispiel ermuntert die us-regierung den privaten sektor offiziell, robustere Cyber-sicherheitsstrategien zu schaffen (executive

Order 13636), und die europäische union hat 17 veröffentlichte strategien. rahmenpläne gibt es auch in russland, Japan, australien und

verschiedenen afrikanischen staaten. einige davon versuchen, einen Mindest-sicherheitsstandard festzulegen, wie das 2014 vom national

institute of standards and technology (nist) in den usa verfügte Cybersicherheits-rahmenkonzept, die enisa richtlinie in der european

union4 und Pas 55 in Großbritannien. Der bekannte sicherheitsstandard isO 27001 wurde außerdem kürzlich aktualisiert (ieC 27001:2013),

um sich den konzepten von Cyber-kriminalität besser anzupassen.5

Die fünf Säulen

in diesem umfeld raffinierter bedrohungen versagen herkömmliche sicherheitstaktiken. Das alte vorgehen, dem Mix ein weiteres

einzelprodukt hinzuzufügen oder abzuwarten, bis die it für die Geschäftsabteilungen des hauses gezielte technologielösungen ermittelt

und vorschlägt, ist weniger effektiv denn je. kein unternehmen kann gleichzeitig alarmmeldungen sichten, verwundbare stellen

aufspüren, sicherheitsrichtlinien für verschiedene systeme und endgeräte anwenden und genau abschätzen, welche Menge an globalen

bedrohungsdaten in echtzeit zum vorschein kommen. um diese miteinander konkurrierenden herausforderungen zu bewältigen, müssen

unternehmen ihre sicherheitspolitik ändern: weg von einer verteidungshaltung gegenüber Malware, hin zu einem realistischeren und

robusteren ansatz – einem ansatz, der “cyber resilient” ist, also widerstandsfähig gegen Cyber-kriminalität.

Dabei geht es um das Managen von sicherheit mit einem mehrschichtigen ansatz, der Menschen, Prozesse und technologien einschließt. Das

abgleichen von sicherheitserkenntnissen ist wichtig, aber genauso wichtig ist die steigerung des “sicherheits-iQ” ihrer Mitarbeiter, damit sie

bessere entscheidungen treffen und riskantes verhalten reduzieren können. Dieser erweiterte umfang hilft, die Cyber-kluft zwischen it und

Geschäft zu beseitigen. Dazu müssen sich beide seiten des hauses proaktiv zusammenschließen und eine vereinte front gegen bedrohungen

und übergriffe bilden.

Da bedrohungen ihre Gestalt ändern und zu neuen organisatorischen erfordernissen führen, geht es bei “Cyber resilience” per definitionem

um kontinuierliches verfeinern. Diesen Prozess kann man sich am besten als ein rahmenkonzept mit fünf säulen vorstellen: vorbereiten /

identifizieren, schützen, aufdecken, reagieren und beheben. Mithilfe dieses frameworks können sie jede säule der Cybersicherheits-

strategie ihres unternehmens bewerten. betrachtet man zum beispiel die säule “vorbereiten / identifizieren”, können beurteilungen der

verwundbarkeit vorhandene schwächen in der sicherheitspolitik eines unternehmens aufdecken. Durch bewerten des risikos, das jede

einzelne schwäche darstellt, und das bekämpfen der gefährlichsten schwächen sollten sie in der lage sein, ihre vorbereitung auf einen

angriff zu verbessern. Mit jedem geplanten beurteilungszyklus wird die sicherheitsstrategie verfeinert – und da jedes unternehmen

eigene systeme und unterschiedliche sicherheitsbedürfnisse hat, basiert das ergebnis jeder reihe von beurteilungen auf dem aktuellen

bedrohungsumfeld und dem akzeptierbaren risikoniveau für das unternehmen, weniger auf einer relativ generischen reihe von Checklisten.

für jede dieser säulen werden best-Practice-ansätze zur Minimierung des Cyber-risikos vorgeschlagen, und jeder verlangt spezifische

Maßnahmen, die von bestimmten it-stellen durchzuführen sind.

Vorbereiten / Identifizieren

Schützen Aufdecken Reagieren Beheben

3- ENISA http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world4- http://www.enisa.europa.eu/publications/articles/standards-for-cyber-security5- ISO27001 Update: http://en.wikipedia.org/wiki/ISO/IEC_27001:2013

3


Säule 1: Vorbereiten / Identifizieren

um einem angriff erfolgreich entgegenzutreten und ihn zu überstehen, müssen sie die sicherheits- und risikopolitik ihres unternehmens

genau kennen. beginnen sie mit der peniblen bestimmung der unternehmenswichtigen informationen. führen sie eine bewertung der

informationen und ihrer infrastruktur durch, die alle bekannten sicherheits-schwachstellen einschließt. setzen sie eine baseline fest und

vergleichen sie die ergebnisse mit denen ihrer fachkollegen. Wenn sie die dringendsten Probleme herausfinden und sie abstellen, wird ihr

unternehmen für angreifer zu einem weniger attraktiven Ziel.

Dazu brauchen sie echte leadership, nicht nur Orientierungshilfen. echtes engagement von Geschäfts- und Datenverantwortlichen ist

während dieser Phase von entscheidender Wichtigkeit. bewerten sie die informationen gemeinsam nach ihrem Wert für das unternehmen

und priorisieren sie, was geschützt werden muss. fragen sie: Wo befinden sich die Daten? Wer benutzt sie? Welchen Wert haben sie? Wie sind

sie derzeit geschützt? sind sie angreifbar? Wenn ja, woran liegt das? Diese Maßnahme spornt außerdem die Mitarbeiter zu einem besseren

Gefahrenbewusstsein an – ihnen wird klarer, was bei sorglosem umgang mit Daten passieren kann. sie hilft, Geschäft und it im hinblick auf

Cyber-risiken und Management zu koordinieren, und zugleich bewirkt sie einen kulturwandel beim Mitarbeiterverhalten.

konzentrieren sie sich vor allem auf:

• das Verbessern der Sichtbarkeit und Verständlichkeit Ihrer Informationen und Systeme durch Offenlegen und Darstellen der Vemögenswerte

und der netzwerks;

• das Verständnis Ihrer Cyberrisiko-Politik durch Bewertungen und Simulationen;

• das Ermitteln und Beseitigen von Schwachstellen in Ihrer IT-Organisation, einschließlich Ihrer Lieferkette, wo viele Cyber-Kriminelle Angriffe

aushecken;

• das Darstellen der Unternehmenswerte für Lieferantenbeziehungen;

• das Schaffen von Bewusstsein für die externe Bedrohungslandschaft und die fähigkeit zu erkennen, ob sie ins visier genommen werden –

durch umfassende globale Mittel zur feststellung, Zuordnung und analyse von bedrohungen;

• die Schaffung eines “Cyber-Bewusstseins” bei den Nutzern – durch regelmäßige und fortlaufende Schulungen zu Best Practices und

risikoverhalten; und

• das Gewährleisten von angemessenen Strategien für Backup und Wiederherstellung.

regelmäßigem training kommt eine schlüsselrolle zu. Zur vorbereitung gehört es, ihre Mitarbeiter auf vorhandene richtlinien und Prozesse

zur Cybersicherheit aufmerksam zu machen und ihnen zu helfen, deren Wichtigkeit zu verstehen. Wenn einzelne nicht sicherheitsbewusst

sind oder den Wert bestimmter informationen nicht kennen, sind sie anfällig für unfreiwillige ausnutzung oder das begehen kostspieliger

fehler. allen muss klar sein, wie mit den sensiblen informationen des unternehmens angemessen umzugehen ist, und ebenso, was einen

Diebstahl geistigen eigentums durch Mitarbeiter begründet.

nachdem ein unternehmen eine richtlinie, ein Programm zur sensibilisierung sowie Zugriffskontrollen eingeführt hat, muss es strategien zur

aufdeckung und reaktionspläne implemenieren. es gibt eine reihe verschiedener lösungen, um bei der entwicklung dieser Pläne zu helfen,

darunter services zur bedrohungserkennung und tools zur Datenermittlung. bedrohungserkennung spielt eine entscheidende rolle dabei,

unternehmen die vorbereitung auf vorhandene und kommende bedrohungen zu erleichtern.

sicherheitserkenntnisse geben unternehmen ein besseres verständnis der gesamten bedrohungslandschaft, einschließlich tätern

und trends. Durch hinterfragen ihrer eigenen internen infrastuktur und abwägen der möglichen folgen bestimmter bedrohungen für

ihr unternehmen können sicherheitsmanager bedrohungen und straftaten proaktiv vorhersagen. Damit ermöglichen es services zur

bedrohungserkennung den sicherheitsverantwortlichen, ihre umgebung besser zu schützen und zu sichern und risiken zu managen.

Säule 2: Schützen

Wenn sie erst einmal unter kontrolle haben, was da draußen ist, wo es sich befindet, wie sensibel und wie verwundbar es ist und wie viel

risikotoleranz es aufweist, können sie anfangen, die nötigen schritte zu unternehmen, um es zu schützen. Die zweite säule besteht darin,

schutzmaßnahmen für kritische indrastrukturen und services zu entwickeln und zu implementieren, um die folgen eines angriffs zu

begrenzen oder einzudämmen.

4


Ziel ist es, die infrastruktur und die Daten ihres unternehmens vor böswilligen angriffen bestmöglich zu schützen. Zwar kann kein aufwand

an Zeit, Geld oder bemühungen ihrerseits den erfolg garantieren, aber sie sollten die Chance eines erfolgreichen fremdzugriffs minimieren

können, und – falls es doch dazu kommt – zu einer schnellen reaktion fähig sein, um den schaden zu verringern.

Die von ihnen durchgeführte bewertung von infrastruktur und informationen sollte jedwede lücke in ihren bestehenden abwehrmaßnahmen

aufgedeckt haben. fragen sie sich nun: Wie gut erhalten und wie aktuell sind ihre vorhandenen Präventionslösungen? ist ihre abwehr darauf

vorbereitet, um vor den neuesten fortschritllichen bedrohungen oder innovativen straftaten zu schützen? verlassen sie sich auf zusammenhanglose

einzelprodukte? verfolgen sie einen integrierten ansatz, der ihnen ein effektives bewusstsein der situation und die fähigkeit zu einer besseren

reaktion auf Cyber-risiken vermittelt? haben sie richtlinien und automatisierte überwachung, um den menschlichen faktor oder prozessbezogene

sicherheitslücken zu minimieren? Wie wäre es mit einer feedback-schleife, um die ergebnisse zu verbessern?

konzentrieren sie sich vor allem auf:

• den Schutz Ihrer Website und Online-Nutzer vor Cyber-Bedrohungen;

• das Sichern geschäftskritischer Systeme gegen Cyber-Bedrohungen (Ihr Rechenzentrum ist normalerweise der beste Ort, um damit

anzufangen);

• den Schutz von Endgeräten und Gateways Ihres Unternehmens vor gezielten Angriffen und modernen Bedrohungen;

• den Schutz Ihrer mobilen Arbeitskräfte und Kunden und

• das Schützen und Steuern wertvoller Information während ihres gesamten Lebenszyklus, einschließlich Schutz vor Datenverlust oder

illegalem Zugriff – prüfen sie die Möglichkeit einer verschlüsselung oder eines Datentresors.

alle drei bereiche – Menschen, Prozesse und technologie – sind wichtig für die säule “schutz”. sie müssen über die notwendige technologie

verfügen, um ihre kritische infrastruktur oder unternehmenswerte abzusichern. Die von ihnen angewandte technologielösung muss

außerdem schutz für die immer mobilere arbeitnehmerschaft bieten. Die absicherung des mobilen Zugangs zu netzwerk und Daten wird

immer wichtiger, da die Möglichkeiten der Mitarbeiter zum Zugriff auf sensible unternehmensinfomationen zunehmen. Zusätzlich muss die

technologie integriert sein, um die notwendigen erkenntnisse zu liefern, die ihnen das schnelle entdecken eines angriffs ermöglichen.

Dem Management von Menschen und Prozessen kommt eine schlüsselrolle zu. eine aktuelle studie des Ponemon institute ergab,

dass 35 Prozent der kernursachen für Daten-sicherheitslecks mit menschlichen faktoren zu tun hatten, wie nachlässige Mitarbeiter

oder vertragspartner. Derselbe bericht ordnete 20 Prozent der sicherheitslecks systempannen zu, was auch störungen von it- und

Geschäftsprozessen einschließt. sicherheitslecks, die mit menschlichen faktoren zu tun haben, werden oft durch mangelndes verständnis

der Mitarbeiter für Cyber-sicherheit vurursacht, sowohl auf der geschäftlichen als auch auf der it-seite des unternehmens. unsachgemäße

nutzung, speicherung oder verteilung von sensiblen informationen des unternehmens sowie ein laxer umgang mit betrieblichen und

geschäftlichen richtlinien sind oft die Wurzel menschlichen versagens.

ergänzend zu schulung und aufmerksamkeit müssen unternehmen die beachtung von richtlinien überwachen und forcieren. Dadurch

verbessert sich nicht nur das risikomanagement eines unternehmens, sondern der gesamten belegschaft wird auch die bedeutung bewusst

gemacht, die es seinen vertraulichen informationen und seinem geistigen eigentum beimisst. nachlässigkeit beim überwachen und

forcieren von richtlinien schafft eine kultur mit dem gegenteiligen effekt – wenn die it digitale informationen nicht wertschätzt und schützt,

warum sollten es die Mitarbeiter tun?

Säule 3: Aufdecken

Die säule “aufdecken” konzentriert sich auf das entwickeln und implementieren geeigneter aktivitäten, um einen angriff unverzüglich zu

erkennen, eventuell betroffene systeme zu ermitteln und eine zeitnahe reaktion sicherzustellen. Zusätzlich geht es in dieser Phase darum,

das netzwerk ständig auf andere angriffsindikatoren zu überwachen, die mit diesem angriff zu tun haben, und zu gewährleisten, dass die von

ihnen durchgeführten schutzmaßnahmen wirksam sind. ein entscheidender nachteil eines unternehmens, das so viel Zeit und bemühungen

zum schutz vor angriffen aufwendet, besteht darin, dass es oft nicht darauf vorbereitet ist, was es bei einem erfolgreichen angriff tun soll.

5


eine der wichtigsten folgen dieses Mangels an vorbereitung: er legt die fähigkeit des unternehmens lahm, auf den vorfall wirkungsvoll

zu reagieren. im gleichen ausmaß, wie die reaktionszeit und der Zeitbedarf zur lösung steigen, haben Cyber-kriminelle mehr Zeit, um

das unternehmen auszubeuten und zu schädigen. Die Gesamtkosten pro Datensicherheits-verletzung in den usa betragen inzwischen

durchschnittlich 5,4 Millionen usD, es handelt sich also um kein geringes Problem.6 Die schäden umfassen nicht nur die behebung

der einbruchsfolgen, sondern auch strafgelder für non-Compliance, reputationsverlust und/oder den verlust von kunden. Wenn ein

unternehmen nicht über die notwendigen lösungen zum sofortigen entdecken des sicherheitslecks verfügt, kann der Cyberkriminelle

natürlich grenzenlos weitere schäden anrichten. laut verizon Data breach investigations report von 2014 dauerte es bei 85 Prozent der

Point-of-sale-eingriffe wochenlang bis zu deren entdeckung, bei 43 Prozent der angriffe auf Web-anwendungen sogar monatelang.

Wenn sich eine sicherheitsverletzung ereignet, besteht der einzige Weg zur proaktiven und effektiven Minimierung des schadens darin,

die notwendigen richtlinien, Prozesse und technologien zur aufdeckung und reaktion zu haben. auch wenn viele unternehmen bereits

strategien zur aufdeckung und reaktion haben, müssen sie regelmäßig beurteilen, ob diese noch angemessen sind, und entscheiden, ob

sie sicherheitsverletzungen schneller eingrenzen und beheben können. big Data und damit verbundene analyse-tools – gepaart mit dem

aufkommen der Cloud, mobilem und sozialem Computing – bieten Chancen, strukturierte und unstrukturierte Daten, die für die Cyber-

sicherheit relevant sind, zu verarbeiten und zu analysieren, um bei diesem Prozess zu helfen.

überlegen sie, wie sich interne sicherheitsvorkommnisse überwachen und auf externe bedrohungen beziehen lassen und – wie sich

gewährleisten lässt, dass schnell Daten verfügbar sind, um festzustellen, ob und wann sie von einem einbruch betroffen wurden. in einem

rege genutzten netzwerk potenziell hunderte von endgeräten, logins und Datenzugriffs-versuche zu überwachen, ist keine einfache

aufgabe. Wenn sie das noch mit dem versuch verbinden, ein bewusstsein der globalen bedrohungslandschaft aufrechtzuerhalten, ist es

unmöglich. hier kann ein gemanagter sicherheitsservice hilfreich sein. Gemanagte sicherhheitsangebote reichen von der überwachung und

Priorisierung von sicherheit bis zum schutz vor modernen bedrohungen und dem reaktionsmanagement bei Zwischenfällen. sie können

beim aufbau einer robusten sicherheitsstrategie helfen, die es ihnen ermöglicht, sich schnell auf komplexe Cyber-angriffe vorzubereiten,

sich davor zu schützen und darauf zu reagieren.

Das derart gewappnete unternehmen schafft eine proaktive it-abteilung mit sichtbarkeit über die gesamte umgebung – eine mit

tiefgehenden integrationen auf Datenebene, die einblicke gewähren, sich stetig weiterentwickeln und auf die immer fortschrittlicheren

angreifer reagieren. Durch abgleich von sicherheitserkenntnissen kann die it ein mögliches Problem schnell entdecken und beheben, bevor

es sich ausbreitet und somit schaden und kosten verursacht.

Säule 4: Reagieren

Die säule “reaktion” liefert eine Orientierungshilfe zu den arten von aktivitäten, welche die Zeit zur behebung verkürzen und die folgen

eines einmal entdeckten angriffs eindämmen können. Wenn der aufdeckungsprozess irgendeinen Wert haben soll, muss eine rechtzeitige

reaktion erfolgen. Zwar sind viele hilfreiche lösungen und services verfügbar, aber bei vielem von dem, was für eine reaktion erforderlich

ist, spielen Menschen und Prozesse im unternehmen selbst eine rolle.

unternehmen brauchen einen reaktionsplan, der den Mitarbeitern eindeutig klarmacht, was sie zu tun haben, wenn es zu einem

Zwischenfall kommt. ein Computer security incident response team (Csirt) mit genau festgelegten funktionen und verantwortlichkeiten

sollte eingesetzt werden. Mit diesen funktionen sollten kompetente Mitarbeiter des unternehmens betraut werden. ein teamleiter/-manager

sollte ernannt und mit der verantwortlichkeit betraut werden, einen Zwischenfall festzustellen, die aktivitäten des Csirt zu koordinieren und

statusberichte an die obere führungsebene zu liefern.

ein vordefinierter aktionsplan, den jeder versteht, hilft ihnen, ihre reaktionsbemühungen zeitnäher und effektiver zu koordinieren, als wenn

sie überhaupt keinen Plan haben. Das Csirt sollte von geeigneten Management-ebenen festgeschrieben und bestätigt werden. außerdem

sollte es unterschiedliche arten von vorkommnissen eindeutig priorisieren, und es braucht einen Grad an benachrichtigung und/oder

reaktion, der dem schweregrad des vorkommnisses / der bedrohung gerecht wird.

6- Studie zu Kosten von Datensicherheitslecks 2013: USA, durchgeführt vom Ponemon Institute LLC Mai 2013

6


Vorbereitung

auf angriffe vorbereitet sein

einen reaktionsplan implementieren

Den reaktionsplan verfeinern

Aufdeckung Reaktion Behebung Überprüfung

eindrin

gen des

angreife

rs

angreife

r

entd

eckt

syste

me

gesich

ert

normaler

betrieb

wied

er

aufge

nommen

Zeit

ein reaktionsplan ermöglicht es ihnen, das ausmaß des risikos für die umgebung schnell zu bestimmen und darauf zu reagieren. um die

schnellste reaktion zu erzielen, ist eine automatisierung der behebungsschritte ideal, ergänzend zu versuchsläufen, bei denen Mitarbeiter

das ausführen von richtlinien und Prozeduren einüben. konzentrieren sie sich beim erstellen ihres Plans auf:

• das Management des Risikos, indem Sie Ihre “Cyper Resilience” messen und nachverfolgen – ebenso, wie gut die Systeme während eines

angriffs geschützt waren (gibt es eine infektion oder wurde der angriff abgewehrt?);

• das Erstellen eines Plans – umreißen Sie, wie Sie auf Cyber-Zwischenfälle zu reagieren beabsichtigen

• die Festlegung, wie Reaktionsprozesse und -verfahren aufrechterhalten und getestet werden sollen;

• das Koordinieren und Kommunizieren von Reaktionsmaßnahmen und das Verständnis, wie Maßnahmen zur Analyse und

schadensminderung durchgeführt werden sowie

• das Entwickeln eines Systems, bei dem Lektionen gelernt und in künftige Reaktionsmaßnahmen integriert werden.

es kann schwierig sein, die folgen eines angriffs zu beheben. unternehmen werden praktisch – und in manchen fällen buchstäblich – als

Geiseln gehalten, wenn ein angreifer die kontrolle über ihre systeme gewinnt. im März 2014 wurde das Onlineprojekt-Managementtool

basecamp von einem “Distributed denial-of-service (DDos)”-angriff getroffen. bis das unternehmen ein lösegeld bezahlte, überfluteten

die angreifer die Website mit traffic, sodass berechtigte nutzer nicht darauf zugreifen konnten. in solchen fällen können services zur

reaktion auf einen vorfall unternehmen helfen, einen klar definierten reaktionsplan zu implementieren, um sie bei der Wiederherstellung

zu unterstützen.

Säule 5: Beheben

Die letzte säule, die angesprochen werden muss – unerlässlich für jede robuste sicherheitsstrategie – ist die schadensbehebung. Zu dieser

Phase gehört die entwicklung und implementierung geeigneter systeme und Pläne, um jegliche Daten und services wiederherzustellen, die

von dem Cyber-angriff eventuell betroffen waren. Wie sehr wir unsere unternehmen auch vorbereiten und schützen, wir können bestimmte

arten von angriffen nicht vermeiden. selbst wenn sie auf einen einen Cyber-einbruch schnell reagieren, kann ein angriff folgen haben. Was

immer daraus resultiert – unternehmen müssen in der lage sein, ihre Mitarbeiter, Prozesse und systeme so schnell wie möglich wieder

arbeitsfähig zu machen. eine effektive schadensbehebung erfordert einen klaren und sorgfältig ausgearbeiteten Plan.

viele unternehmen haben bereits business Continuity- und Disaster recovery-Pläne, mit elementen wie backup und Wiederherstellung,

Cloudspeicherung, externe archive, redundante und geografisch getrennte rechenzentrum und andere Maßnahmen zur sicherung der

Geschäftsvorgänge. allerdings gelingt es diesen Plänen oft nicht, grundlegende best Practices und szenarien zur Wiederherstellung

abzudecken.

Während zum beispiel die meisten unternehmen regelmäßige backups durchführen, wissen nur sehr wenige, was diese backups eigentlich

beinhalten. es ist wichtig, zu wissen, wie viele der backup-informationen tatsächlich geschäftskritisch sind. Wenn sich eine katastrophe

ereignet, welche informationen und systeme braucht das unternehmen als erstes, um den normalen betrieb wieder aufzunehmen?

unternehmen müssen sicherstellen, dass ihre recovery-Pläne diese fragen beantworten.

7


redundante rechenzentren sind wichtig, aber denken sie auch an logistische und geografische erwägungen, die die verfügbarkeit der

ausfallsicherung beeinträchtigen könnten. Dicht benachbarte rechenzentren nützen zum beispiel nichts, wenn eine größere katastrophe

eine ganze stadt oder region trifft. abgesehen von geografische erwägungen – was passiert, wenn ein ernstfall die kommunikation mit den

rechenzentren auslöscht?

viele unternehmen sprechen solche Möglichkeiten in ihren Wiederherstellungsplänen an, aber die meisten konzentrieren sich auf das

beheben von Geschäftsunterbrechungen durch systemfehler und naturkatastrophen. viele haben keinen vollständigen Plan, was sie im fall

einer ernsten Cyber-katastrophe tun sollen.

Wenn eine massive Cyber-katastophe auftritt, brauchen unternehmen einen Maßnahmenplan, um den normalen betrieb wieder

aufzunehmen. es gibt viele Geschichten von unternehmen mit umfassenden herkömmlichen business Continuity-Plänen und regelmäßigen

übungen zur Wiederherstellung und ausfallsicherung von rechenzentren, die aber leider unvorbereitet waren, als sie tatsächlich von einem

unternehmensweiten Cyber-angriff getroffen wurden.

Denken sie daran, wie sich ein Cyber-angriff auf ihre systeme, Mitarbeiter und Prozesse auswirken würde. Was ist nötig, wenn der schaden

die smartphones oder tablets ihrer Mitarbeiter betrifft? Wenn ein aggressiver Malware-angriff eine beträchtliche Zahl von festplatten in

den laptops ihres unternehmens unbrauchbar macht? Wie schnell können sie wieder neue festplatten aufbauen? Gibt es Prozesse, um für

wichtige Mitarbeiter schnell neue systeme bereitzustellen, falls nötig? Denken sie an alle arten, auf die ein Cyber-angriff ihrem unternehmen

schaden könnte. Welche Prozesse und verfahren sind nötig, um die folgen zu beheben?

Grundsätzlich müssen sie gewährleisten, dass ihre kritischen systeme während eines Zwischenfalls verfügbar bleiben, und entscheiden,

wie sie anschließend andere systeme und Daten wiederherstellen wollen. so wie reaktionspläne müssen auch Wiederherstellungspläne

regelmäßig neu bewertet und aktualisiert werden, um allen risiko-aspekten einer katastrophe begegnen zu können, denen ein unternehmen

ausgesetzt sein kann.

Widerstandskraft gegen Cyber-Angriffe erreichen

Die auswirkungen eines größeren Cyber-angriffs können für jedes unternehmen verheerend sein. leider gibt es keine Geheimwaffe, um

angriffen zuvorzukommen, und Datenlecks werden trotz aller bemühungen eines unternehmens um vorbereitung und schutz vorkommen.

vielen kunden fehlen die technischen kniffe und die erfahrung, die sie zur abwehr dieser neuen, fortschrittlicheren angriffe brauchen.

um die möglichen verheerungen durch einen Cyber-angriff zu minimieren, müssen sie über die sicherheit neu nachdenken. Denken sie in

begriffen, das Cyberrisiko nicht auszuschalten, sondern eine robuste abwehr dagegen zu schaffen.

um “Cyber resilience” zu erreichen, müssen unternehmen erst einmal die art ändern, wie sie über Cyberrisiken reden. es ist entscheidend,

it und Geschäftsbereiche zu koordinieren und zu regelmäßigen, produktiven Diskussionen anzuregen, um die vorteile und risiken einer

robusten abwehrstrategie zu bestimmen. finden und benutzen sie eine alltägliche redeweise. it-sicherheit muss hinnehmen, dass

unternehmen versucht sind, risiken einzugehen, um erfolg zu haben, und muss das unternehmen zu fundierten entscheidungen bezüglich

des Managements von Cyberrisiken befähigen.

Die Geschäftsleitung muss beim einrichten und überwachen eines Cybersicherheitsprogramms eine aktivere rolle übernehmen. in

einem abwehrbereiten unternehmen trifft die Geschäftsleitung die entscheidungen und ist letzten endes für die einhaltung der regeln

verantwortlich. infolgedessen müssen diese führungskräfte zu den Optionen geschult werden, die ihr unternehmen hat, und verantwortung

für das angehen der risiken übernehmen.

schlussendlich muss die it die Wende von einer richtlinien-orientierten Geisteshaltung hin zu einer solchen vollziehen, die eine integrierte,

umfassende Cyberstrategie fördert – angetrieben von Menschen, Prozessen und technologien. eine Änderung der kultur rund um digitale

informationen und das schaffen einer Wertschätzung für eine strategie, die vorbereitung, Prävention, aufdeckung und behebung

einschließt: Damit gewinnen unternehmen echte abwehrbereitschaft gegen Cyberrisiken und die fähigkeit, auf einen angriff schnell zu

reagieren und die folgen zu beheben.

Wenden Sie sich noch heute an Ihren Symantec-Berater oder Vertriebspartner und besprechen Sie, wie Sie mit dem Einbau von

Cyber Resilience in Ihre Sicherheitsstrategie beginnen können . Verschaffen Sie sich mehr Informationen über Cyber Resilience und

halten Sie sich auf dem Laufenden: Besuchen Sie die Symantec Cyber Resilience Microsite . go .symantec .com/cyber-resilience .


Über Symantec

Die symantec Corporation (nasDaQ: syMC) ist ein

auf den schutz von informationen spezialisiertes

unternehmen. sie unterstützt Menschen,

unternehmen und öffentliche verwaltungen

dabei, technologische Potenziale zu erschließen –

jederzeit und überall. symantec wurde im april

1982 gegründet und ist heute ein fortune-500-

unternehmen, betreiber eines der weltweit größten

Data intelligence netzwerks sowie anbieter führender

sicherheits-, backup- und verfügbarkeitslösungen für

alle kunden, die wichtige informationen speichern,

nutzen und austauschen. Das unternehmen

beschäftigt mehr als 20.000 Mitarbeiter in über

50 ländern. 99 % der fortune 500-unternehmen

sind kunden von symantec. im steuerjahr 2013

wurde ein umsatz von 6,9 Mrd. us-Dollar erzielt.

Weitere informationen finden sie auf der Website

www.symantec.com. sie können auch über folgende

Website mit symantec in verbindung treten:

go.symantec.com/socialmedia.

unsere Geschäftsstellen und

kontaktnummern in den

jeweiligen ländern finden sie

auf unserer Website.

symantec World headquarters

350 ellis st.

Mountain view, Ca 94043 usa

+1 (650) 527 8000

1 (800) 721 3934

www.symantec.com

Copyright © 2014 Symantec Corporation. Alle Rechte vorbehalten. Symantec, das Symantec-Logo und das Häkchen-Logo sind Marken oder eingetragene Marken der Symantec Corporation oder ihrer verbundenen Unternehmen in den USA und anderen Ländern. Andere Bezeichnungen können Marken anderer Rechteinhaber sein. 8/2014 21335929GE

WHITEPAPER: Der Cyber Resilience Blueprint: Eine neue Perspektive für die Sicherheit

Software

Transcript of WHITEPAPER: Der Cyber Resilience Blueprint: Eine neue Perspektive für die Sicherheit