Chaos in der Cyber Security-Prozesswelt?
Cyber Security als integraler Geschäftsprozess
„Bis selbst die Mitarbeiterinnen und Mitarbeiter nichts mehr merken, gehe ich mal davon aus, dass wir noch gut und gerne zwei Monate zu tun haben“, sagte Landrat Andy Grabner der Deutschen Presse-Agentur ein Jahr nach der Ransomware Attacke auf den Landkreis Anhalt-Bitterfeld. Über eine Sicherheitslücke im Netzsystem, vermutlich an einer Druckerschnittstelle, war es den Tätern gelungen, Daten der Verwaltung zu verschlüsseln und damit vorerst unbrauchbar zu machen. Um weitere Schäden zu verhindern, wurde das gesamte System heruntergefahren und musste mühsam neu aufgebaut werden. Alle modernen Unternehmen basieren auf der Notwendigkeit eines orchestrierten Zusammenspiels von IT-unterstützten Prozessen. Eine gut funktionierende Cyber Security ist eine wesentliche Grundvoraussetzung für die Business Continuity moderner, digitaler Geschäftsprozesse. Um die besondere Komplexität des gesamten Handlungsfelds zu beherrschen, braucht es adäquate Management-Systeme, Methoden und geeignete Technik. Cyber Security in die bestehenden IT- und Businessprozesse zu integrieren, ist jedoch einer der wichtigsten Schritte auf dem Weg zu einem angemessenen Sicherheitsniveau.
Haben Unternehmen die ausreichende Awareness, um Cyber Security als integralen Prozess zu verstehen?
In den vergangenen Jahren hat die Awareness auf C-Level bezüglich der Verantwortung für die Cyber Security in Unternehmen deutlich zugenommen – auch aufgrund starker Präsenz von schwerwiegenden Vorfällen in der allgemeinen Presse sowie gestiegener Anforderungen von Cyber-Versicherungen. Der CISO (Chief Information Security Officer) spielt eine immer größere Rolle. Man sollte also davon ausgehen können, dass Standards und Best Practices existieren und etabliert sind, an denen sich Unternehmen ausrichten können. Aber bieten diese den Unternehmen tatsächlich geeignete Blaupausen bei der Implementierung relevanter Prozesse?
Der „Missing Link“ der Cyber Security-Prozesswelt
Die IT folgt dem prozessgesteuerten Business – seit geraumer Zeit sogar mit prozessorientierten Modellen wie dem IT Service Management Framework (ITIL). Dagegen funktioniert Cyber Security aktuell maßgeblich auf Basis von Informationssicherheits- Management-Systemen, die unter anderem zur Implementierung von Policies, technischen Maßnahmen und Awareness-Kampagnen führen. Prinzipiell lassen sich aus den entsprechenden Standards (z. B. ISO / IEC 27002) auch Anforderungen an Prozesse und deren Integration ableiten. Eine „einfache“ Ableitung von Best Practices wie im IT Service Management Framework (ITIL) findet sich jedoch weder hier, noch im Governance Framework COBIT.
Ein kleiner Lichtblick in der Definition von Best Practices für die Cyber Security?
Die ITIL Information Security Practice stellt einen groben Überblick über servicebasierte IT-Prozesse mit Bezug zur Cyber Security dar, nicht jedoch fachspezifische Cyber Security-Prozesse und deren Integration in weitere IT- und Fachprozesse. Genauer gesagt, fordert ITIL für Informationssicherheits-Management Policies, Prozesse, Verhaltensweisen, Risiko-management und Controls ein. Bei spezifischen Cyber Security-Prozessen bleibt jedoch auch ITIL unspezifisch und führt diese lediglich beispielhaft an:
• Information Security Incident Management Process
• Risk Management Process
• Control Review and Audit Process
• Identity and Access Management Process
• Event Management Procedures for Penetration Testing, Vulnerability Scanning, etc.
• Procedures for managing Information Security related changes, such as Firewall Configuration Changes.
Was also tun?
Warum sind Security Prozesse nur unzureichend in Standardwerken beschrieben und wenig mit IT- und Businessprozessen verknüpft? Sollen wir einfach das funktionale Chaos regieren lassen und Techniker und Risikomanager ihren Job auf Basis der bestehenden Management-Systeme machen lassen? Natürlich ist die Integration von Cyber Security-Prozessen in die bestehenden IT- und Geschäftsprozesse komplex. Cyber Security jedoch ausschließlich über Controls zu managen, wird den aktuellen Anforderungen nicht mehr gerecht. Die Integration der Cyber Security-Prozesse in die IT- und Geschäftsprozesse bedarf, neben der Ausgestaltung spezifischer Cyber Security-Prozesse, eines Unternehmensindividuellen Ansatzes, der auf Expertise und Erfahrung aufbauen muss. Mittel- und langfristig ist ein Ansatz zur Schaffung entsprechender Best Practices
wünschenswert, die in spezifischen Bereichen bereits geschaffen werden oder wurden (z. B. durch FIRST im Bereich Incident Response). Bis solche Best Practices in der Gesamtheit bereitstehen, werden jedoch voraussichtlich noch Jahre vergehen.
Höchste Zeit zu handeln!
Was also können Unternehmen in Zukunft besser machen? Als ein Beispiel kann ein ausdefiniertes Schwachstellenmanagement, welches über einen Security Incident-Prozess in die Patchmanagement-Prozesse des Unternehmens integriert ist, helfen, zumindest bekannte Sicherheitslücken zeitnah zu erkennen und zu beheben. Wie wichtig dies auch für andere Unternehmen ist, zeigt das BSI im Bericht „Die Lage der IT-Sicherheit in Deutschland 2022“3 auf: Im Jahr 2021 wurden mit insgesamt 20.174 Schwachstellen in Software-Produkten 10 Prozent mehr verzeichnet als 2020. Mehr als die Hälfte dieser Schwachstellen wurden dabei als hoch oder kritisch bewertet (CVSS-Score).
Es ist höchste Zeit zu handeln!