IDG Cyber Security Studie 2020 – Enemy Inside

In einer aktuellen Studie der IDG wurden aktuelle Aspekte zum Thema „Cyber Sicherheit“ veröffentlicht.

Die Studie selbst wird über die Partnerunternehmen aufgegriffen und veröffentlicht. So findet sich dazu zum Beispiel ein Artikel bei der Computerwoche (https://www.computerwoche.de/a/die-it-sicherheit-braucht-eine-neuorientierung)

Es liegt in der Natur einer Studie die von einem „Marketingunternehmen“ aufbereitet wurde, dass man daraus diverse Dinge ableiten kann.

Auf eine Aussage, die ich gefunden habe, möchte ich in diesem Blogbeitrag Bezug nehmen:

Für die Ausrichtung der Cyber Security kann dies bedeuten, dass viele Unternehmen sich verstärkt gegen externe Cyber-Bedrohungen schützen wollen, die internen Bedrohungen aber dabei nicht ausreichend im Blick behalten. Ebenso scheint der Zusammenhang zwischen Cyber-Attacken und Betriebsunterbrechungen nicht deutlich genug zu sein. So gehören die Betriebsunterbrechungen zu den schwerwiegenden Folgen von Cyber-Attacken und sind oftmals das ausgewiesene Ziel der Angreifer. Eine genauere Risikobetrachtung und -bewertung ist deshalb zu empfehlen.

Das Thema „interne Bedrohungen“ wird oft unterschätzt. Dabei gibt es eine große Bandbreite von „offenen Flanken“, beginnend bei unzureichend qualifizerten Nutzern bis hin zu den „Cracks“, die einfach so ein Firmenhandy „rooten“ und sich darüber dann Schadprogramme einfangen.

Man darf nicht davon ausgehen, dass in jedem Fall Absicht dahinter steckt, wenn ein Angriff „von Innen“ erfolgt. Es geht mir hier mehr um die Richtung und nicht um den Verursacher.

Als Beispiel nutze ich bei Kunden oft den Vergleich, dass man zwar sein Haus sehr teuer und mit viel Technik gegen Einbrecher geschützt hat, aber dann einfach jemand vergisst ein Fenster zu schliessen.

So ist das mit dem Mitarbeiter, der sich beim Surfen einen Verschlüsselungstrojaner einfängt oder unbedarft ein Word Dokument mit „Schad-Beilage“ öffnet.

Im Abschnitt „7 Unterstützung“ der Norm ISO 27001 wird darauf gezielt eingegangen.

Dabei geht es nicht nur um Schulungen sondern auch um das „Messen“ der Schulungserfolge. Die Wirksamkeit der erlangten Kompetenzen sollte im Unternehmen überprüft werden wie z.B. durch Abfragen von Wissen mittels Checkliste oder Fragenkatalog.

Jetzt wird es etwas komplexer, denn viele Unternehmen haben für den Bereich „Weiterbildung“ und „Qualifikation“ keine eigenen Stellen besetzt. Schulungen kauft man viel billiger bei einem „Externen“ und für das Genehmigen von Massnahmen sind in der Regel die Vorgesetzten oder Personalabteilungen zuständig.

Dabei sind die Anforderungen bei hochwertigen Themen (wie IT-Sicherheit) um ein Vielfaches höher als bei einem Grundkurs in der Textverarbeitung Word.

Ich gehe noch einen Schritt weiter und fordere eine kontinuierliche Betreuung aller Mitarbeiter im Rahmen der „internen Kommunikation“. Auch eine Abteilung, die man in dieser Form eher selten findet.

Die Geschwindigkeit, mit der sich die Lage im IT-Sicherheitsumfeld stündlich verändern kann, fordert mehr als Schulungen oder Leistungskontrollen.

Es sollten Systeme eingeführt werden, die möglichst schnell die aktuellen Informationen aus dem IT-Monitoring oder konkreten Angriffen mit Hinweisen zum richtigen Verhalten kombinieren.

In meinem Kopf ist das Bild vom guten alten Raumschiff Enterprise. Eine Sache haben alle Serien-Varianten gemeinsam,

Alarmsufe Rot!

Der Captain schätzt die Lage ein und gibt in einem einfachen Ampelsystem eine Weisung zur aktuelle Lage.

Damit verbunden sind klare Verhaltensrichtlinien die jeder einzuhalten hat.

So stelle ich es mir auch in einem gut organisierten Unternehmen vor.

Die „IT“ schätzt täglich oder bei Bedarf noch aktueller, die Gefahrenlage ein und kann diese schnell und einfach allen Nutzern im Unternehmen kommunizieren.

Abhängig vom Alarmzustand ist jeder informiert darüber wie er sich zu verhalten hat oder es werden gleich konkrete Verhaltensrichtlinien mit kommuniziert.

Schulungen und Leistunskontrollen sind nicht genug, um auf die Angriffe der heutigen Zeit angemessen reagieren zu können.

IT-Sicherheit muss zu einem permanenten Prozeß werden, an dem alle beteiligt sind.