Von Cyber-Angriffen betroffene Kunden wie Finanzinstitute zu angemessener Reaktion aufgefordert

[datensicherheit.de, 28.07.2023] Sascha Plathen, „Country Director Germany“ bei Trellix, nimmt aktuelle Cyber-Angriffe auf den deutschen Bankensektor zum Anlass für eine Stellungnahme: Er betont darin die Ernsthaftigkeit der Bedrohung durch Datenlecks für die Cyber-Sicherheit der gesamten „Financial Services & Insurance“-Branche (FSI) und fordert betroffene Kunden wie Finanzinstitute zu einer angemessenen Reaktion auf.

Foto: Trellix

Sascha Plathen: Möglichst viele Menschen über Phishing-Prävention informieren!

Daten können von Cyber-Kriminellen auch zum Verfassen sehr überzeugender Phishing-E-Mails missbraucht werden

„Datenlecks stellen eine ernstzunehmende Bedrohung der Cyber-Sicherheit für die gesamte FSI-Branche dar, auf die sowohl die betroffenen Kunden als auch die Finanzinstitute angemessen reagieren müssen.“ Bei den jüngsten Cyber-Angriffen auf namhafte Bankinstitute in Deutschland hätten die gehackten Daten zwar nicht ausgereicht, um direkt auf Kundenkonten zuzugreifen oder Überweisungen zu tätigen, aber Kriminelle könnten sie zum Beispiel nutzen, um Abbuchungsaufträge zu erteilen. Er warnt: „Die Daten könnten von Kriminellen auch dazu verwendet werden, überzeugendere Phishing-E-Mails zu verfassen, um die Opfer zur Angabe weiterer Informationen zu verleiten.“ Diese würden es den Hackern ermöglichen, Geld direkt von den Konten abzuheben.

Cyber-Angriffe klares Signal, in Funktionen und Rolle des CISO und der SOC-Teams zu investieren

Für Finanzunternehmen sollten diese Cyber-Angriffe „ein klares Signal“ sein, wie wichtig es sei, in die Funktionen und Rolle des CISO und der SOC-Teams zu investieren. „Wie die aktuelle Trellix-Studie ,Mind of the CISO 2023‘ zeigt, sind Cyber-Sicherheitsvorfälle für Unternehmen eine Realität, dennoch haben 98 Prozent der CISOs in Deutschland Schwierigkeiten, ausreichende Unterstützung vom Management zu erhalten.“

Unterbesetzte Teams kämpfen gegen Cyber-Bedrohungen

SecOps stehen laut Plathen „täglich vor Herausforderungen wie einer Fülle vernetzter Tools, mangelnder Transparenz, einer Flut von Warnmeldungen und langsamen Reaktionszyklen“ – und das alles bei unterbesetzten Teams. Mit ihrer neuen internationalen Initiative „Mind of the CISO“ konzentrierten sie sich deshalb gezielt auf die Bedürfnisse der CISO-Community.

Wissen verbreiten und Austausch über Methoden und Technologien zur Cyber-Sicherheit fördern

Der „CISO Council“ werde durch wichtige Funktionen wie Forschungsaktivitäten und Bildungsinhalten gestärkt. Ziel sei es, Wissen zu verbreiten und den Austausch über Methoden und Technologien zu fördern, die Unternehmen dabei helfen, widerstandsfähig und geschützt zu bleiben. Dabei seien Technologien zur erweiterten Erkennung und Reaktion (Extended Detection and Response, XDR) ideal, um volle Transparenz und Kontrolle zu erlangen, die Erkennungsgeschwindigkeit und -genauigkeit zu erhöhen und die Sicherheitsmaßnahmen zu beschleunigen.

XDR: Schlüsselrolle bei effektiver Prävention, Erkennung und Reaktion auf Cyber-Bedrohungen

Plathen abschließend: „Es ist daher wichtig, dass möglichst viele Menschen über Phishing-Prävention informiert sind und Organisationen ihre Sicherheitssysteme optimieren, um E-Mail- und Endpoint-Schutz zu gewährleisten.“ Zu diesem Zweck spiele der XDR-Einsatz eine Schlüsselrolle bei der effektiven Prävention, Erkennung und Reaktion auf Cyber-Bedrohungen – „und das nicht nur im FSI-Bereich“.

Weitere Informationen zum Thema:

Trellix
Bericht von 2023: The Mind of the CISO / Mehr als 500 Sicherheitsverantwortliche berichten, was SOC-Teams bremst – und wie Sie am besten vorankommen

Trellix, Harold Rivas, 12.07.2023
Introducing Trellix’s Mind of the CISO Initiative

Neue Studie zeigt die dringlichsten Sicherheitsicherheitsprobleme großer Unternehmen in Europa und Nordamerika auf

[datensicherheit.de, 11.08.2022] Laut einer aktuellen Studie von Tata Consultancy Services (tcs) – nach eigenen Angaben unter mehr als 600 Cyber-Verantwortlichen – gehört zu den dringlichsten Sicherheitsproblemen großer Unternehmen in Europa und Nordamerika die Unterschätzung der Risiken durch Partner und Lieferanten. Die Unternehmen stufen demnach Sicherheitsrisiken ihrer Partner in „digitalen Ökosystemen“ und Lieferketten als „wenig besorgniserregend“ ein, so dass nur vier von zehn Führungskräften die Risiko- und Cyber-Sicherheit aktiv angingen. tcs sieht das Gewinnen und Halten von IT-Sicherheitexperten als „größte Herausforderung für Cyber-Verantwortliche“.

tcs-Umfrage: Unternehmen unterschätzen Gefährdung durch ihre Partner

Weltweit kooperieren Unternehmen geschäftlich – bei der Sicherheit indes kaum

Weltweit arbeiteten Unternehmen zunehmend mit Partnern oder sogar mit Konkurrenten in „digitalen Ökosystemen“ zusammen, um neue Geschäftsideen umzusetzen und weiter zu wachsen. „Geht es aber um die Vorbeugung und Bekämpfung von Cyber-Risiken, so ist der Fokus vor allem auf das eigene Unternehmen gerichtet.“

Von den Partnern der Unternehmen ausgehende Cyber-Gefahren fänden wenig Beachtung. Auch IT-Sicherheitsrisiken bei Lieferanten stünden nicht im Fokus. Befragt worden seien „mehr als 600 Führungskräfte im Bereich Cyber-Sicherheit in Europa, Großbritannien und Nordamerika“.

Trotz der aktuell hohen Aufmerksamkeit für „digitale Ökosysteme“ und Lieferketten räumten die befragten „Chief Risk Officers“ (CROs) und „Chief Information Security Officers“ (CISOs) der Gefahr von Cyber-Attacken auf ihre Partner nur eine nachrangige Priorität ein. Mit Blick auf das angenommene Risiko eines Cyber-Angriffs würden Lieferketten erst an neunter Stelle genannt, „digitale Ökosysteme“ gar erst auf Platz 10. Die höchste Gefahr für Cyber-Attacken sähen die Befragten bei der Finanzabteilung, den Kundendatenbanken sowie im Bereich Forschung und Entwicklung.

Angriffe auf Unternehmen mittels Schnittstellen

Um Daten auszutauschen, nutzten Unternehmen beispielsweise „Application Programming Interfaces“ (APIs). Diese Schnittstellen dienten als wichtige Zugangspunkte, um Unternehmen mit Partnern, Kunden und Auftragnehmern zu verbinden. Sie könnten jedoch auch von Unbefugten genutzt werden, „wenn bei der Entwicklung Sicherheitsaspekte ignoriert wurden“. So nutzten Angreifer in zunehmendem Maße Schlüpflöcher, „die durch eben solche ungesicherten Systeme von Auftragnehmern, Händlern und Lieferanten geboten werden“.

Santha Subramoni, „Global Head, Cybersecurity“ bei tcs kommentiert: „Das Ignorieren der Gefahren, die von diesen Ökosystemen ausgehen, stellt eine Schwachstelle dar, die dringend behoben werden muss.“ Seine Empfehlung: „Eine Möglichkeit, Angriffen innerhalb digitaler Lieferketten vorzubeugen, ist die Umsetzung eines ,Zero Trust‘-Modells“ – bei diesem Ansatz werde niemandem automatisch vertraut, sondern jeder Zugriff auf ein Unternehmensnetzwerk geprüft, gleich ob von Mensch oder Maschine.

Nur vier von zehn Führungskräften widmen sich aktiv der Cyber-Sicherheit im Unternehmen

Von den befragten CROs und CISOs gäben 42 Prozent an, dass in ihrem Unternehmen Cyber-Risiken und Sicherheitsthemen aktiv und regelmäßig auf oberster Ebene angesprochen würden. Ein Drittel (33%) gebe an, dass Vorstände oder Geschäftsleitung sich nur mit diesen Themen beschäftigten, wenn sie darauf aufmerksam gemacht werden. In 18 Prozent der Unternehmen fänden Diskussionen erst statt, wenn das eigene Geschäft von einer Cyber-Attacke betroffen ist.

Bei 40 Prozent der Unternehmen sei Cyber-Sicherheit ein Thema in praktisch jeder Vorstand- oder Geschäftsleitungssitzung, bei weiteren 43 Prozent in jedem zweiten oder dritten Meeting. In jedem sechsten Führungsgremium (17%) werde das Thema entweder nie, gelegentlich oder nur wenn nötig diskutiert.

Darüber hinaus seien mehr als ein Drittel (37%) der Befragten unsicher oder immer weniger zuversichtlich, „ob sie in den kommenden drei Jahren schwerwiegende finanzielle oder rufschädigende Folgen eines größeren Cyber-Vorfalls vermeiden können“.

Cloud: Sicherheitsbedenken der Unternehmen schwinden

Eine deutliche Mehrheit der befragten Cyber-Experten erachte „Cloud“-Lösungen inzwischen als „sicherer“ (34%) als bzw. zumindest „gleich sicher“ (28 Prozent) wie On-Premise-Lösungen oder traditionelle Rechenzentren.

Nur knapp ein Drittel (32%) glaube, dass Cyber-Risiken bei der Nutzung von „Cloud“-Plattformen grundsätzlich höher seien.

Cyber-Sicherheit in Unternehmen: Mangel an Fachkräften größte Herausforderung

Der Studie zufolge sehen Unternehmen die größte Herausforderung an die Cyber-Sicherheit im Mangel an Fachkräften mit einschlägiger Expertise. CROs und CISOs berichteten, dass es ihnen bereits im vergangenen Jahr schwergefallen sei, Talente mit Kenntnissen in den Bereichen Cyber-Risiken und -sicherheit für sich zu gewinnen (44%) und zu halten (42%).

Laut Studie plane die Hälfte (49%) der Unternehmen aus der EU und Großbritannien, künftig Fachkräfte mit Cybersecurity-Skills einzustellen. In Nordamerika beabsichtigten sogar zwei Drittel (65%), sich in Zukunft auf die Talentsuche zu begeben.

„Mit den fortschrittlichsten Taktiken der Cyber-Kriminellen Schritt zu halten, ist weniger eine Frage der finanziellen Mittel. Die Herausforderung liegt vielmehr darin, die richtigen Fachkräfte mit dem benötigten Know-how zu finden und zu halten“, betont Subramoni abschließend.

Weitere Informationen zum Thema:

tcs TATA CONSULTANCY SERVICES
Master Report – Cyber confidence / Skill sets, cloud platforms, and leadership alignment matter more than budget in this battle

Rückblick und Ausblick von Vectra AI

[datensicherheit.de, 30.12.2020] Bereits im Januar 2004 wurde ein loser Zusammenschluss von CISOs namens Jericho Forum offiziell gegründet, um das Konzept der De-Perimeterization zu definieren und zu fördern. Das Forum vertrat die Position, dass der traditionelle Netzwerkperimeter erodiert und Unternehmen die Sicherheitsauswirkungen eines solchen Abdriftens nicht verinnerlicht hatten. Seither ist in Sachen Cybersicherheit viel passiert.

Foto: Vectra

Andreas Müller, Regional Sales Director für die Region Zentraleuropa bei Vectra AI blickt auf 2020 zurück und wagt eine Prognose für das kommende Jahr:

„Zu Beginn des Jahres 2020 waren viele der Konzepte, die in den vom Forum veröffentlichten Dokumenten zum Ausdruck kamen, weitgehend akzeptiert. Dennoch hielten viele Unternehmen an einem losen Konzept eines sicheren Netzwerkperimeters fest, während sie langsam eine Architektur namens Zero Trust einführten, um besser mit der zunehmenden Verbreitung von SaaS-Anwendungen umgehen zu können.

Dann schlug die Pandemie zu. Dies beschleunigte mehrere Trends, die bereits im Gange waren:

(a) den Wechsel zu Software-as-a-Service (SaaS)-Anwendungen anstelle ihrer On-Premises-Gegenstücke,

(b) den Wechsel zu Cloudserviceprovidern anstelle des Hinzufügens weiterer Racks in eigenen oder gemieteten Rechenzentren und

(c) die Möglichkeit für Remote-Benutzer, sich direkt mit cloudbasierten Anwendungen zu verbinden, ohne ein VPN zu verwenden, oft als Mobile-to-Cloud bezeichnet.

Die Trends (a) und (b) wurden durch den Wunsch angetrieben, keine Geräte in Racks und Stacks unterzubringen (was während einer Pandemie schwer zu bewerkstelligen ist). Trend (c) resultierte aus der Notwendigkeit, alle Mitarbeiter nach Hause zu schicken und gleichzeitig festzustellen, dass die vorhandene VPN-Kapazität nicht ausreichte, um allen eine sichere und performante Verbindung zu bieten.

Die Beschleunigung dieser Trends kam in Form von bestimmten Plänen für die nächsten zwölf Monate, die in den ersten Wochen der Work-from-Home-Phase ausgeführt wurden. 5-Jahres-Pläne für den Wechsel zu SaaS und die Migration in die Cloud wurden plötzlich zu 24-Monats-Plänen.

Die Sicherheitsimplikationen solcher Umstellungen sind tiefgreifend. Unternehmen haben in letzter Zeit die Bedrohungslage für ihre Netzwerke nicht gerade entschärft. So haben sie den Zugriff auf das nicht ganz so vertrauenswürdige Internet der Dinge (IoT) innerhalb des Perimeters zugelassen. Sie haben ihre Architekturen auf den Kopf gestellt, indem sie die meisten Endanwender aus dem Unternehmensnetzwerk herausgeholt und die meisten Anwendungen in die Cloud verlagert haben. Dies erfolgte entweder in Form von SaaS oder durch Nutzung von Infrastructure as a Service (IaaS) und Platform as a Service (PaaS), bereitgestellt von Anbietern wie Amazon, Microsoft und Google.

Ausblick auf das Jahr 2021

Mit Blick auf das Jahr 2021 ist klar, dass die Pandemie die Arbeitsorte der Beschäftigten weiter einschränken wird und wie schwierig es sein wird, auf die eigenen physischen Rechenzentren zuzugreifen. Selbst wenn diese Beschränkungen – hoffentlich – in der zweiten Hälfte des Jahres 2021 aufgehoben werden, dürften die durch die Pandemie verursachten Veränderungen bestehen bleiben: Nur, weil Mitarbeiter ins Büro zurückkehren können, heißt das nicht, dass sie jeden Arbeitstag dorthin gehen wollen. Fernarbeit, wenn auch nur in hybrider Form, wird also bleiben.

Daraus folgt, dass die Sicherheitsarchitektur mit Mitarbeitern umgehen muss, die von unbekannten Standorten aus arbeiten, mit zweifelhafter Netzwerksicherheit, da dies ein primärer Anwendungsfall ist. Es gilt also sicherzustellen, dass die Laptops der Mitarbeiter soweit gehärtet sind, dass sich Unternehmen einigermaßen sicher sein können, dass sie sich selbst schützen können. Tatsächlich ist es Geldverschwendung, in eine Sicherheitslösung zu investieren, die Endbenutzer nur dann schützt, wenn sie sich im Büro aufhalten. Dies bedeutet im Allgemeinen, dass Unternehmen in eine moderne Endpoint-Detection-and-Response (EDR)-Lösung investieren sollten. Wenn sie eine Web-Proxy, von Gartner offiziell als Secure Web Gateway bezeichnet, zwischen den Rechnern der Endbenutzer und dem Internet zwischenschalten wollen, sollten sie in eine Lösung investieren, die in SaaS-Form bereitgestellt wird.

Viele Unternehmen bieten ihren Endbenutzern Zugang zu SaaS-Anwendungen (Office 365, G Suite, Salesforce usw.) und zu internen Anwendungen bieten, die über ihre Cloud-Präsenz auf AWS, Azure, GCP etc. bereitgestellt werden. Sie sollten daher in Betracht ziehen, ihre Identitätsinfrastruktur in die Cloud zu verlagern. Anstatt also das Active Directory (AD) vor Ort als Zentrum ihres Identitätsuniversums zu haben und einige der Inhalte mit Azure AD oder Okta oder einem anderen Cloud-Identitätsanbieter (IdP) zu synchronisieren, sollten sie einen anderen Ansatz in Erwägung ziehen: den Schwerpunkt in die Cloud zu verlagern und ihre Anwendungsfälle vor Ort so umzugestalten, dass sie in diese Architektur passen. Es empfiehlt sich außerdem der Wechsel von älteren VPNs, die Zugriff auf das gesamte Netzwerk bieten, zu Zero Trust Network Access (ZTNA), um nur Zugriff auf die Anwendungen zu gewähren, auf die der Endbenutzer zugreifen soll.

Schließlich müssen Unternehmen, nachdem sie alle Anwendungen aus dem Netzwerk geworfen haben, wieder den Überblick darüber gewinnen, wer was mit ihren kritischen Daten macht. Würden sie es merken, wenn ein hartnäckiger Fuchs in ihren SaaS-basierten Hühnerstall eingedrungen wäre? Network Detection and Response (NDR) ist eine kürzlich standardisierte Kategorie einer Lösung, die Angriffe erkennt und auf sie reagiert, ohne Agenten, die auf den Endpunkten laufen (EDR). Während sich frühe Versionen von NDR auf traditionelle Netzwerke konzentrierten und nur Pakete verarbeiteten, bietet moderne NDR die Erkennung und Reaktion auf Bedrohungen in diesem neuen hybriden Netzwerk, das IaaS, PaaS und SaaS umfasst, und vereinheitlicht die Sichtbarkeit des Angriffsverlaufs in, über und durch dieses neue Netzwerk.

Die guten Nachrichten

Die Änderungen, die Sicherheitsteams als Ergebnis dieser Trends implementieren, werden Unternehmen widerstandsfähiger gegen Angriffe machen und agiler, um mit den unvermeidlichen Veränderungen umzugehen. Dies wird nicht der letzte Ausnahmezustand sein, mit dem wir in unserem Leben konfrontiert werden, auch wenn andere hoffentlich von viel geringerem Ausmaß sein werden. Wir werden viel besser darauf vorbereitet sein, beim nächsten Mal mit einer solchen Situation umzugehen.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.12.2020
Sailpoint: Drei IT-Trends für 2021

Mehr als Hälfte der Befragten bereitet sich während der Corona-Krise auf unvermeidlichen Cyber-Angriff vor

[datensicherheit.de, 11.08.2020] hackerone hat am 11. August 2020 Forschungsergebnisse einer neuen Studie veröffentlicht, die im Juli 2020 von Opinion Matters im Auftrag durchgeführt worden sei. Der vierte hackerone-Jahresbericht mit dem Titel „Hacker Powered Security“ werde noch im August 2020 in voller Länge veröffentlicht. Er befasst sich laut hackerone unter anderem mit den Erfahrungen von Kunden und Hackern während der „Pandemie“ und zeigt neueste Trends auf.

Abbildung: hackerone

hackerone-Umfrage zu den Folgen der Corona-Pandemie

Umfrage, wie CISOs Corona-Herausforderungen gemeistert

Insgesamt seien im Rahmen dieser Studie 1.400 Sicherheitsexperten von Unternehmen mit mehr als 1.000 Beschäftigten in Großbritannien, Frankreich, Deutschland, Australien, Singapur, den USA und Kanada befragt worden – Ziel war demnach herauszufinden, wie „,CISOs‘ die Herausforderungen im Zuge der ,COVID-19‘-Pandemie gemeistert haben“. Dabei habe sich gezeigt, dass rund ein Drittel der „CISOs“ vor „erheblichen Herausforderungen standen und immer noch stehen“.

Jeder Dritte Befragte hat in der Corona-Krise verstärkt IT-Angriffe erlebt

Jeder Dritte befragte deutsche CISO, CTO oder CIO habe angegeben, dass sie in Folge der „Pandemie“ verstärkt Angriffe auf ihre IT-Systeme erlebt hätten. Parallel dazu sagten 41 Prozent der Befragten, dass sie die Sicherheit der Home-Office-Arbeitsplätze und der genutzten Collaboration-Tools gegenüber anderen Applikationen hätten priorisieren müssen. Infolgedessen seien 70 Prozent der Befragten in Deutschland der Ansicht, dass sich aufgrund von „COVID-19“ die Wahrscheinlichkeit eines Datenlecks für ihre Organisation vergrößert habe.

Corona hat das Leben ins Web verlagert – mit Chancen und Risiken

„Die ,COVID-19-Pandemie‘ hat das Leben ins Web verlagert“, so Marten Mickos, CEO von hackerone. Da Unternehmen bestrebt seien, den speziellen Erfordernissen des Home-Offices und gleichzeitig den Kundenbedürfnissen nach digitalen Diensten Rechnung zu tragen, habe sich ihre Angriffsfläche drastisch vergrößert. Die Folge sei, dass die Sicherheitsteams nicht in ausreichendem Maß und der nötigen personellen Besetzung zur Verfügung stünden. Mickos: „Genau hier kommen ,White Hat Hacker‘ ins Spiel, indem man ihre Kreativität und Erfahrung nutzt, um Software sicherer zu machen und bedrohliche Aktivitäten zu verhindern.“

Corona-Folge: Gegenüber Schwachstellen-Berichten von Dritten offener

Seit März 2020 verzeichne hackerone im Vergleich zum Vorjahreszeitraum einen Anstieg von 56 Prozent neuer Anmeldungen von Hackern auf seiner Plattform. Angesichts der Tatsache, dass die Budgets und Teams bei einem Viertel der Befragten gekürzt worden sei, „ist es nicht überraschend, dass 34 Prozent der deutschen ,CISOs‘ äußern, dass sie nun Schwachstellen-Berichten von Dritten offener gegenüberstehen als vor der ,Pandemie‘.“

Digitale Initiativen in Corona-Krise bei 37% deutscher Sicherheitsverantwortlicher beschleunigt

Die Unternehmen würden erkennen, dass sie mit ihrer Digitalen Transformation und der Cloud-Migration zu langsam gewesen seien, so Mickos weiter. „Untersuchungen von hackerone ergaben, dass sich die digitalen Initiativen in Folge von „COVID-19“ bei 37 Prozent der deutschen Sicherheitsverantwortlichen beschleunigt haben. Fast ein Drittel war gezwungen, dies umzusetzen, bevor sie bereit dazu waren. Die Belastung, die die Sicherheitsteams derzeit erleben, ist immens. Mit Hilfe von Hackern durchgeführte Crowdsourcing-Sicherheitstests sind ein schneller und kosteneffizienter Weg, um das Risiko von Schwachstellen zu minimieren.“

Weitere Informationen zum Thema:

hackerone, 11.08.2020
COVID Confessions of a CISO / Hacker Powered Security Report

datensicherheit.de, 13.05.2020
CISO – Empfehlungen zur Einstellung, Bindung und Weiterentwicklung künftiger Sicherheitsexperten

Ausgeglichenes Verhältnis an technischen Kompetenzen und Soft Skills bei CISOs gefragt

[datensicherheit.de, 13.05.2020] Das Unternehmen Kudelski Security, die Cybersicherheitsabteilung der Kudelski-Gruppe, veröffentlicht ihr neues Forschungspapier zum Cybergeschäft „Building the Future of Security Leadership“ (Aufbau künftiger Sicherheitsexperten). Dieser Bericht enthält exklusive Erkenntnisse und umsetzbare Empfehlungen für Unternehmen, damit diese ihre größte Herausforderung meistern können – die Einstellung, Bindung und Weiterentwicklung der nächsten Generation von Sicherheitsexperten. Entwickelt wurde der Bericht in Zusammenarbeit mit dem Client Advisory Council von Kudelski Security, einer Expertenkommission für Cybersicherheit bestehend aus Informationssicherheitsexperten von internationalen Unternehmen.

Gefragte Eigenschaften von CISOs

Im Bericht werden verschiedene Trends aufgezeigt, welche die Suche und Bindung qualifizierter Chief Information Security Officer (CISOs) und deren Mitarbeiter zu einer Herausforderung machen – eine Herausforderung, die durch die neuen standortunabhängigen Arbeitsumgebungen noch verschärft wird. Erfolgreiche CISOs sollten zum Beispiel über ein ausgeglichenes Verhältnis an technischen Kompetenzen und Soft Skills wie Kommunikationsfähigkeit, Aufbau von Beziehungen sowie die sogenannte Executive Presence verfügen. Der Bericht zeigt jedoch, dass eine solche Mischung nur extrem selten anzutreffen ist. CISOs benötigen diese Soft Skills, um neue Geschäftsmodelle effektiv umsetzen zu können, die wahrscheinlich auch nach Abklingen der aktuellen Krise auf standortunabhängiges Arbeiten setzen werden.

„Internationale Unternehmen müssen die neue Rolle des CISO jetzt mehr denn je verstehen, um Bedrohungen einen Schritt voraus zu sein und wettbewerbsfähig zu bleiben“, so Andrew Howard, CEO von Kudelski Security. „Wir sind fest davon überzeugt, dass die Cybersicherheitsbranche vom Austausch zwischen erfahrenen Experten profitieren kann. Die Mitglieder unseres Kundenbeirats haben unseren Kunden wertvolle Erkenntnisse geliefert und wir freuen uns, dass wir diese der breiten Sicherheits-Community zur Verfügung stellen können.“

Führungskräfte in der IT-Sicherheit gefragt, © Kudelski Security

Der Bericht enthält praktische Hinweise und Erkenntnisse für drei Hauptakteure: CISOs, angehende Sicherheitsexperten und Recruiter für Führungskräfte. Für die einzelnen Gruppen ergeben sich die folgenden wichtigen Erkenntnisse:

• CISOs: Angesichts der wachsenden Verantwortlichkeiten in ihrem Zuständigkeitsbereich sollten CISOs die Cybersicherheit in Rollen einbetten, die sie normalerweise nicht einschließen, sodass die Aufrechterhaltung und der Ausbau der Cyber-Resilienz zu einer organisationsweiten Verantwortung werden. Auf die Frage nach wichtigen Fähigkeiten von CISOs sahen 82 Prozent der Befragten die Kommunikationsfähigkeiten als kritisch an, während nur 52 Prozent der Meinung sind, dass praktische Erfahrungen in Technologien entscheidend sind.
• Angehende Sicherheitsexperten: Alle Experten, die die Position eines CISOs anstreben, sollten sich in der Branche einen Namen machen. Zudem sollten sie sich dauerhaft und bewusst um den Aufbau einer Reputation sowie mehr Präsenz in sozialen Medien bemühen. Auch wenn die meisten Befragten (29 Prozent) angaben, dass Positionen im Bereich Governance, Risk und Compliance die besten Vorstufen auf dem Weg zur Rolle des CISO sind, gibt es verschiedenste Rollen, die ebenfalls zu diesem Karriereziel führen. Im Bericht werden diese Rollen ausführlich untersucht.
• Recruiter für Führungskräfte: Durchweg alle befragten CISOs rieten Personaler, sich bei ihrer Suche nicht nur auf ihre eigene Branche zu beschränken. Das gilt besonders, wenn diese beim Thema Cybersicherheit im Rückstand ist. Fast die Hälfte der Befragten in den USA und 92 Prozent der Befragten in Europa gab an, dass die Einstellung eines CISO durchschnittlich sechs bis zwölf Monate dauert. Angesichts dieser beträchtlichen Zeitspanne sollten Recruiter für Führungskräfte in der Zwischenzeit einen Virtual CISO (vCISO) anstellen. Um die Risiken im Zusammenhang mit hoher CISO-Fluktuation und Entschädigungszahlungen zu minimieren, sollten sie bei Einstellungen weiterdenken und einen Talentpool fördern, der an Orten wie Universitäten, Technikschulen und dem Militär ansetzt.

Zusätzlich zu den Beiträgen der Mitglieder des Kundenbeirats von Kudelski Security stützt sich der Bericht auf Interviews und Umfragen, die im vorigen Jahr in den USA und Europa mit mehr als 110 CISOs von weltweit führenden Unternehmen geführt wurden. Der Kundenbeirat liefert Erkenntnisse und Anleitungen zu Lösungen, die Kudelski Security seinen Kunden bereitstellt. Zu den Mitgliedern des Beirats zählen Sicherheitsexperten der obersten Management- und VP-Ebene aus Unternehmen wie Aaron‘s, Inc., AES Corporation, BKW, Blue Cross Blue Shield, BNP Paribas, Capital One, Technicolor, Urenco und Zebra Technologies.

In zwei Webinaren von Kudelski Security am 14. Mai und 28. Mai sprechen die Advisory CISOs von Kudelski Security Joe Bennett (früher CISO bei Hertz) und Jason Hicks (früher CISO bei Ares Management) sowie der Digital Security CISO-as-a-Service Youssef Mahraoui über die wichtigsten Erkenntnisse im Bericht und beantworten Fragen zu den verschiedenen Karrieremöglichkeiten, mit denen die Position des CISO erreicht werden kann.

Weitere Informationen zum Thema:

Kudelski Security
Webinar: The Path to Becoming a CISO: 5 Things to Consider; 5 Mistakes to Avoid (14. Mai 2020)

Kudelski Security
Webinar: The Path to Becoming a CISO: 5 Things to Consider; 5 Mistakes to Avoid (28. Mai 2020)

Kudelski Security
Addressing the Security Leadership Talent Gap (Vollständiger Bericht)

[datensicherheit.de, 09.10.2019] Eine neue Symantec-Studie empfiehlt Unternehmen Cyber-Security-Experten einzustellen, die bereits eigene Erfahrungen mit vermeidbaren Sicherheitsvorfällen gemacht haben. Die Studie zeigt, dass nachdem die Spezialisten solche Vorfälle bereits erlebt haben, sich das Verhalten dieser Mitarbeiter positiv verändert. Sie werden selbstbewusster und insgesamt aufmerksamer.

Die Studie basiert auf einer Befragung von 3.045 Cyber-Security-Entscheidern aus Frankreich, Deutschland und Großbritannien. Durchgeführt wurde sie von Dr. Chris Brauer, Director of Innovation bei Goldsmiths, University of London, und seinem Team im Auftrag von Symantec. Die Ergebnisse zeigen nach Angaben von Symantec deutlich: Ein überstandener Sicherheitsvorfall reduziert die künftige – gefühlte – Belastung am Arbeitsplatz der Security-Experten erheblich und erhöht gleichzeitig die Wahrscheinlichkeit, dass sie ihre Erfahrungen mit erfolgreichen Angriffen teilen, um dem gesamten Team diesen Erfahrungsschatz zugänglich zu machen.

„Es mag zunächst widersprüchlich klingen“, kommentiert Darren Thomson, CTO, Symantec EMEA, „aber wenn ich Ihnen zwei CISO-Kandidaten mit identischen Fähigkeiten anbieten würde, aber einer von ihnen den Umgang mit Regulierung weniger stressig findet, weniger wahrscheinlich an Burnout leidet und eher bereit ist, das selbst Gelernte – und dazu zählen auch Misserfolge – zu teilen, wen werden Sie wählen?“

Bei Cyber-Security-Experten, die bereits einen vermeidbaren Sicherheitsvorfall erlebt haben, ist es:

• 24% weniger wahrscheinlich, dass sie das Gefühl haben, „ausgebrannt“ zu sein.
• 20% weniger wahrscheinlich, dass sie gegenüber ihrer Arbeit Gleichgültigkeit empfinden.
• 15% weniger wahrscheinlich, dass sie sich persönlich für einen Vorfall verantwortlich fühlen, der hätte vermieden werden können.
• 14% weniger wahrscheinlich, dass sie sich ständig „zum Scheitern verurteilt“ fühlen.
• 14% eher wahrscheinlich, dass sie ihre Lernerfolge teilen.
• 14% weniger wahrscheinlich, dass sie darüber nachdenken, ihren Job zu kündigen.

Aus Fehlern lernen

Ein Ergebnis ist für Cyber-Security-Teams besonders positiv: Experten, die bereits einen Sicherheitsvorfall erlebt haben, teilen ihre Erfahrung zu 14 Prozent häufiger mit ihren Kollegen. Dies ist enorm wichtig, da die Studie gleichzeitig einen Mangel an strategischem und operativem Informationsaustausch innerhalb der Branche zeigt.

Schwerwiegende Sicherheitsvorfälle sind entscheidende Momente der Laufbahn von Cyber-Security-Experten. Aufgrund des fehlenden Informationsaustauschs, den die Studie aufdeckte, ist es schwierig, aus den Erfahrungen anderer zu lernen.

• 54 Prozent diskutieren bewusst nicht über Vorfälle oder Angriffe mit Kollegen innerhalb der Branche
• 50 Prozent berichten von einem deutlichen Mangel eines branchenübergreifenden Informationsaustausches hinsichtlich des Umgangs mit Sicherheitsvorfällen. Dies ist ein deutlicher Kontrast zu ihren Gegnern – den Cyber-Kriminellen – die Malware austauschen und auch anderweitig zusammenarbeiten.

Ein Grund für den mangelnden Informations- und Wissensaustausch scheint die Sorge um den eigenen Ruf zu sein. Dies ist allerdings nicht der einzige Faktor. 36 Prozent der Befragten geben an, dass sie besorgt sind, dass ein Angriff unter ihre Aufsicht sich negativ auf ihre Karriere auswirken kann. Daher tauschen sie sich nicht mit Kollegen oder potenziellen Arbeitgebern dazu aus.

In jeder Krise steckt auch eine Chance

Fast die Hälfte der Befragten sieht eine Krise als unvermeidlich an – es ist nur eine Frage der Zeit, bis sie stattfindet. Cyber-Security-Experten, die einen Sicherheitsvorfall erlebt haben, sind jedoch aufmerksamer. Gleichzeitig priorisiert die Geschäftsleitung in solchen Unternehmen die Implementierung von Security-Maßnahmen.

Darren Thomson empfiehlt: „Mein Rat an CEOs ist: Sie sollen bei Cyber-Security-Experten die Tatsache, dass sie bereits einen Sicherheitsvorfall erlebt haben, als Vorteil ansehen und nicht als Schwäche. Die aus dem Sicherheitsvorfall resultierende Erfahrung wirkt sich positiv auf die Eignung eines Kandidaten aus: Sie sind weniger emotional, können besser mit Druck umgehen und unterstützen ihre Kollegen besser.“ 

Ben King, Chief Security Officer, Symantec EMEA, ergänzt, „Mein Rat an CISOs ist, aus jeder „Krise in der IT-Sicherheit“ etwas zu lernen. Ein Sicherheitsvorfall bietet Unternehmen die Möglichkeit, neue und verbesserte Abläufe und Services einzuführen. Cyber-Security-Teams erhalten durch einen Vorfall die seltene Chance, Kollegen die Security-Herausforderungen und sich wandelnden Angriffsmethoden zu verdeutlichen. Weiterhin ist es eine Chance, höhere Budgets und meist dringend benötigte Team-Mitglieder einzufordern. Cyber-Security-Experten erhalten so die Möglichkeit, Veränderungen voranzutreiben, die im normalen Tagesgeschäft nur schwer durchzusetzen sind.“

Aus der qualitativen Forschung, die aus intensiven Gesprächen mit Sicherheitsverantwortlichen im Rahmen der High-Alert-Studie gewonnen wurde, ergaben sich fünf wichtige Empfehlungen, um den Umdenkungsprozess im Unternehmen voranzutreiben und um nach einem Breach, die Katastrophe in eine Chance zu entwickeln.

Über die Studie

Die High Alert-Studie wurde von Symantec in Zusammenarbeit mit Dr Chris Brauer, Director of Innovation, Goldsmiths, University of London, und der Forschungs-Beratung Thread durchgeführt. Die Forschungsarbeit wurde von Dr Chris Brauer und Dr Jennifer Barth begleitet und von Sean Duggan geleitet. Die deutschen und französischen Zahlen für die quantitative Studie stammen von Censuswide; die britischen Zahlen von YouGov.

Die Feldarbeit wurde im Winter 2018 durchgeführt. Die Forschung verwendete quantitative Methoden, um die Einschätzungen von Cyber-Security-Experten in Führungspositionen in den drei Ländern Frankreich, Deutschland und Großbritannien zu messen, auszuwerten und zu differenzieren.
Die Befragungen wurde an 3.045 Personen in Frankreich (1.002 Teilnehmer), Deutschland (1.003 Teilnehmer) und in Großbritannien (1.040 Teilnehmer) in mittleren oder oberen Führungspositionen mit einer Entscheider-Rolle im Cyber-Security-Bereich verteilt.

Die Ergebnisse basieren auf einer Sekundärerhebung, der erfahrenen Cyber-Security-Experten einen persönlichen Einblick gaben. Die Umfrage bestand aus 43 Punkten, die in neun Fragegruppen organisiert waren, mit einer fünf-stufigen Antwortskala, die es den Befragten ermöglicht, im Rahmen dieser spezifischen Untersuchung selbst zu berichten. Die Umfrage enthielt auch Fragen zur Erhebung demographischer Daten.

Weitere Informationen zum Thema:

Symantec
NACH DEM ANGRIFF – Wie man aus einer Katastrophe einen Erfolg macht

datensicherheit.de, 28.04.2019
Symantec-Studie: Wachsender Druck auf Security-Experten

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 16.01.2017
Erster CISO-Ratgeber zur Analyse des Benutzerverhaltens vorgestellt

Free Trade Commission fordert fünf Milliarden US-Dollar

[datensicherheit.de, 25.07.2019] facebook wird vorgeworfen, gegen ein gemeinsames Abkommen mit der Free Trade Commission zum Datenschutz verstoßen zu haben. Mit fünf Milliarden US-Dollar sei dies das höchste Bußgeld, das jemals von der Free Trade Commission verhängt worden sei. Link11-Geschäftsführer Marc Wilczek kommentiert in seiner aktuellen Stellungnahme den Fall.

Foto: Link11

Marc Wilczek: Zukünftig wird Position des CISO eine wichtige Rolle erlangen

Vermeintlich kostenlose Anwendung letztendlich mittels Daten erkauft

Wilczek: „Über mehr als ein Jahrzehnt wurde eine ganze Generation konditioniert, dass Datenschutz verpönt sei und das Leben nur aus dem unbekümmerten Teilen höchst privater Momente, Vorlieben, Erlebnissen, Geschichten und Fotos bestünde. Je mehr, desto besser – rund um die Uhr, Tag für Tag.“
Natürlich gehe es aber um kommerzielle Interessen. Die vermeintlich „kostenlose“ Anwendung seitens der Nutzer sei letztendlich mittels ihrer Daten und zielgerichteter Werbung – dank messerscharfer Segmentierung – erkauft worden.

Daten als Vermögenswert treiben Digitalwirtschaft an

Daten seien schon längst „der Motor der Digitalwirtschaft“, das neue Kapital vieler Unternehmen. Kaum jemand wolle das Daten-Gold, „das aus Informationen aus dem privaten Leben der User oder dem Verhalten von Kunden gewonnen wird“, liegenlassen. Die tägliche Praxis zeige, dass die Aufklärung der Internet-Nutzer über die Auswertung und Weiterverarbeitung der eigenen Daten dabei schnell ins Hintertreffen gerate.
Wenn im Umgang mit teils sehr intimen und damit hochsensiblen Daten zudem wiederholt und offensichtliche Fehler gemacht würden, stelle das einen „herben Vertrauensverlust“ dar und hinterlasse einen „bitteren Nachgeschmack“. Dass dies für die verursachenden Unternehmen bislang weitgehend ohne Folgen geblieben sei, könnte sich jetzt weitreichend ändern. „Die von den US-Aufsichtsbehörden verhängte Milliarden-Strafe stärkt eindeutig den Schutz der Persönlichkeitsrechte von Internet-Nutzern“, so Wilczek.

facebook-Bußgeld mit enormer Signalwirkung

Wilczek ist sich sicher, dass dieses Bußgeld eine „enorme Signalwirkung“ haben wird. „Wenn die EU bei der Sicherstellung von Datenschutz und Datensicherheit auf Augenhöhe mit den USA stehen will, dann muss sie handeln. Eine 50-Millionen-Euro-Strafe, wie sie im Januar 2019 von der französischen Datenschutzbehörde CNIL gegen Google wegen Verstößen gegen die neue EU-Datenschutzverordnung verhängt wurde, kann mit dem konsequenten Vorgehen in den USA nicht mithalten.“
Aus Sicht der EU seien daher zwei Szenarien zu erwarten. Entweder würden die Vorgaben der DSGVO weiter verschärft – oder der Rahmen für Bußgelder, wie in den Regularien vorgesehen, werde konsequent angewendet, „so dass es wirklich weh tut“. Schließlich sehe die DSGVO ein Strafmaß von bis zu vier Prozent des Jahresumsatzes vor. Im Fall von Google mit über 130 Milliarden US-Dollar entspräche dies einem Bußgeld von über fünf Milliarden US-Dollar bzw. fast 4,5 Milliarden Euro.

Unternehmenskultur: Umdenken erforderlich

Auch für die Wirtschaft in den USA und in Europa werde diese Rekordsumme ihre Signalwirkung nicht verfehlen. „Die datenzentrischen Geschäftsaktivitäten der Unternehmen werden perspektivisch noch umfassenderen und strenger kontrollierten Regularien ausgesetzt sein.“ Das erfordere ein Umdenken in der Unternehmenskultur. Schutz und Sicherheit von Daten müssten „als DNA der Unternehmenskultur fest verankert“ sein.
IT, Digital und Data dürften nicht länger in Silos betrachtet, sondern müssten ganzheitlich gedacht werden. So werde zukünftig die Position des CISO („Chief Information Security Officer“) eine wichtige Rolle erlangen. Mit ihm würden IT-Sicherheit und Datenschutz zur Management-Disziplin, „indem er die Vorstände berät, die Umsetzung von Digitalisierung und Transformation vorantreibt und natürlich die Einhaltung von Regeln sicherstellt“, erläutert Wilczek.

Weitere Informationen zum Thema:

datensicherheit.de, 06.06.2019
Messenger-Nachrichten missbraucht, um Facebook-Profile zu kapern

datensicherheit.de, 04.04.2019
Neuer Datenskandal bei facebook beängstigend

Koordination der Anliegen von Sicherheitsexperten und Betriebsräten

[datensicherheit.de, 11.03.2019] Mit Rainer Rehm hat sich der Cloud Security Anbieter Zscaler einen erfahrenen Chief Information Security Officer (CISO) an Bord geholt, der gleichzeitig die Rolle des Datenschutzbeauftragten für EMEA übernimmt. In dieser Funktion tritt er in der Vertriebsphase für den Kunden als Berater auf, um die Anliegen von Sicherheitsexperten mit den Aufgaben der Betriebsräte in Einklang zu bringen. Im Gespräch mit Carsten J. Pinnow für datensicherheit.de (ds) erläutert Rehm warum diese Aufgabe als Vermittler der digitalen Transformation zunehmend gefragter wird.

Foto: Zscaler

Rainer Rehm, Data Privacy Officer EMEA, Zscaler

ds: Warum brauchen wir heute eine Funktion, die den Kunden das Zusammenwirken von Datenschutz und Informationssicherheit erklärt?

Rehm: Wenn es um Datenschutz und Datensicherheit geht prallen in einem Unternehmen zwei Lager aufeinander, die nicht die gleiche Sprache sprechen. Die Betriebsräte (BR) leiten ihre Aufgabe aus dem Betriebsverfassungsgesetz ab. Der Sinn dieses Gesetzes ist der Schutz der Mitarbeiter vor allmächtiger Überwachung und Ausnutzung der schwächeren Position der Mitarbeiter. Die BR befassen sich mit abstrakten Themen und deren juristischen Definitionen und mit dieser Begrifflichkeit tut sich die IT-Abteilung schwer. Darüber hinaus sind auch die tatsächlichen Bestimmungen im täglichen Miteinander von Belang im Sinne dessen, was durchgeführt werden darf und was nicht.

Die Sicherheitsverantwortlichen brauchen für die technische Umsetzung von Datensicherheit klare Anweisungen und entsprechende Prüfverfahren, wie Hardening-Guides, welche die Systemkonfigurationen und Services definieren oder Checklisten, die belegen, dass alle notwendigen Maßnahmen für das Sicherstellen der Datensicherheit ergriffen wurden. Mit ihren Checklisten liefern sie Nachweise, die den Datenschützern und Auditoren den Beleg für die Sicherheit bieten. Was in dieser Gleichung der Security-Compliance fehlt, ist der Bogen zum Geschäftsrisiko eines Unternehmens. Zieht man das Business Risk in die Überlegungen von Datenschutz und Datensicherheit mit ein, bekommt man es mit entgegengesetzten Polen der gleichen Diskussion zu tun.

ds: Wie kann man diese entgegengesetzten Lager vereinen? Denn letztlich geht die Sicherheit des Unternehmens ja alle Parteien etwas an.

Die Datenschützer müssen mit den Security-Verantwortlichen ins Gespräch kommen. Dazu ist oftmals eine vermittelnde Funktion erforderlich, welche die Sprachen beider Pole spricht – eine Art Übersetzer. Jedes Lager hat seine eigene Fachterminologie und oftmals fehlendes Verständnis für die Gegenseite. Die IT-Abteilung kommuniziert mit der Sprache der Techniker und deren spezifischen Komponenten, dagegen die BR und Juristen reden in Begrifflichkeiten, die der IT Security-Spezialist nicht versteht.

Ein Beispiel: Privacy by Design trifft im Unternehmensalltag auf AES 265 Verschlüsselung. Genau an dieser Stelle kommt ein externer Vermittler ins Spiel, der als CISO in Personalunion mit dem Datenschutzbeauftragten beide Lager versteht. Als Mittelsmann springt er in die Bresche und sorgt dafür, dass Technik-, Juristenterminologie und auch die darunter liegenden Ansätze in Einklang gebracht werden können. Er sorgt zudem dafür, dass die Nachweise vorhanden sind, sei es als Betriebsvereinbarung oder als technischer Nachweis.

ds: Ist es die Cloudifizierung oder die DSGVO, die beide Pole zur Kooperation zwingt?

Beide Strömungen geben hier die entscheidenden Impulse. Ursprünglich war die IT-Abteilung in der Pflicht, inhouse die geforderte Sicherheitsinfrastruktur bereitzustellen und durch die getroffenen Maßnahmen die Compliance mit den Datenschutzanforderungen zu gewährleisten. Durch die Verlagerung der Sicherheitsfunktion aus dem Rechenzentrum in die Cloud – also den Bezug von Security as a Service – muss die IT-Abteilung den Cloud-Anbieter mit den Fragenstellungen der Sicherheit konfrontieren. Auch hier spielt der Compliance-Beauftragte/Auditor eine wichtige Rolle, denn er muss wiederrum überprüfen, ob alle rechtlichen Anforderungen durch den Service-Provider abgedeckt werden. Die Verantwortung wird in einem solchen Szenario an den Service-Anbieter delegiert, wobei sichergestellt werden muss, dass die nötige Sicherheitsfunktion bereitgestellt wird.

ds: Oft will in Puncto Sicherheit auch der Betriebsrat mit in die Diskussion einbezogen werden, wobei dieser dann wiederum andere Interessen vertritt. Wie kann ein CISO hier vermitteln?

Im Gespräch mit dem Betriebsrat kommt tatsächlich das Abwägen zwischen den Interessen des Unternehmens hinsichtlich Cybersecurity-Maßnahmen und den Interessen der BR auf den Tisch. Eine der Kernaufgaben des Betriebsrats besteht im Schutz der Mitarbeiter vor Leistungsüberwachung. Abgeleitet aus dem Betriebsverfassungsgesetz fordert der Betriebsrat ein Mitspracherecht und thematisiert Ängste der Mitarbeiterüberwachung durch den Einsatz technischer Lösungsansätze. Ein solcher Lösungsansatz ist beispielsweise das Aufbrechen von SSL-verschlüsseltem Datenverkehr zur Untersuchung auf Malware. Das Unternehmen rechtfertigt diese Maßnahme durch die Zunahme von Schadcode, der hinter der Verschlüsselung verborgen in Unternehmensnetzwerke eingeschleust wird, wie der jüngste Cloud Security Insights Report von Zscaler belegt.

Das Aufbrechen der verschlüsselten Datenströme zum Malware-Scan ist aus Sicht der Unternehmer erforderlich, um langfristig einen sicheren Betrieb zu garantieren. Denn wird durch eingeschleuste Malware die Kernkompetenz des Unternehmens ausgespäht, Baupläne oder Prozessbeschreibungen abgezogen, kann der Fortbestand eines Unternehmens gefährdet sein. Eine solche Kompromittierung muss die Unternehmensführung aus wirtschaftlichen Gründen verhindern um Arbeitsplätze zu erhalten. Auch der Betriebsrat möchte die Sicherheit des Arbeitsplatzes für den Mitarbeiter gewährleisten. So gesehen verfolgen der Unternehmer und der Betriebsrat den gleichen Zweck. Um beide Pole zusammenzubringen ist wiederum ein (externer) Berater hilfreich, der die Anliegen beider Seiten kennt und vermitteln kann. Ein CISO und Datenschutzbeauftragter kann dem Betriebsrat verdeutlichen, welche Maßnahmen, wie beispielsweise ein Vier-Augen-Prinzip in Bezug auf das SSL-Scanning, getroffen wurden, um die Funktion der Datensicherheit zu gewährleisten und zeitgleich den gläsernen Mitarbeiter zu verhindern.

ds: Und durch die DSGVO wird die Aufgabe zusätzlich um weitere Komponenten angereichert?

Durch die Grundverordnung sind Unternehmen in der Pflicht, zusätzlich zu Datensicherheit und Datenschutz noch eine weitere Ebene der Compliance abzudecken. Sie betrifft die Datenerhebung und -verarbeitung. Privacy by Design trifft also auf Privacy by Default! Aufbauend auf dem Datenschutzgesetz gilt es bei ersterem zu überlegen, welche Maßnahmen ergriffen werden müssen, dass nichts Unerwünschtes mit den Daten passieren kann – also die Absicherung des Datenverkehrs und der Datenverarbeitung gegen unbeabsichtigte Zugriffe. Andererseits muss bei Privacy by Default ein Kontakt im ersten Schritt explizit einwilligen, dass seine Daten überhaupt erhoben werden dürfen. In der Praxis bereitet dieser Teil der Umsetzung den Unternehmen das größere Kopfzerbrechen. Um nur ein Beispiel zu nennen befinden sich Cookies in aller Regel bereits auf der ersten Webseite eines Unternehmens und werden dort abgegriffen, bevor die Anfrage eingeblendet wird zum Einholen der Erlaubnis. Es gibt also durch die DSGVO zusätzlichen Aufklärungsbedarf, der die Datenschützer und CISOs weiterhin beschäftigen wird.

Weitere Informationen zum Thema:

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 28.01.2019
Zscaler: Statement zum Data Privacy Day 2019

[datensicherheit.de, 08.09.2018] Eine weltweite Umfrage von Trend Micro zeigt, dass CISO und Sicherheitsexperten nur für 38 Prozent der IoT-Projekte in Unternehmen konsultiert werden. Fast 33 Prozent der Befragten geben an, dass ihnen nicht bekannt ist, wer in ihrem Unternehmen für IoT-Sicherheit verantwortlich ist. Befragte Unternehmen berichten von durchschnittlich drei Angriffen auf vernetzte Industrieanlagen im vergangenen Jahr.

Die Umfrageergebnisse zeigen, dass sich Unternehmen auf der ganzen Welt unnötigen Cyberrisiken aussetzen, weil sie versäumen, IT-Sicherheitsteams bei ihrer Planung von Internet-of-Things-Projekten (IoT-Projekten) mit einzubinden.

Eine Umfrage des japanischen IT-Sicherheitsunternehmens unter 1150 IT- und Sicherheitsentscheidungsträgern in Deutschland, Frankreich, Japan, Großbritannien und den USA ergab, dass 79 Prozent zwar ihre IT-Abteilung bei der Auswahl industrieller IoT-Lösungen miteinbeziehen, aber nur 38 Prozent ihre Sicherheitsteams.

„Es ist erstaunlich, wie IT-Sicherheitsteams aus IoT-Projekten ausgeschlossen werden, obwohl dies die Unternehmen eindeutig unnötigen Cyberrisiken aussetzt“, sagt Udo Schneider, Security Evangelist bei Trend Micro. „Unsere Studie zeigt, dass zu viele Unternehmen weltweit Sicherheit nicht als Teil ihrer IoT-Strategie priorisieren, was sie anfällig für Angriffe macht. Wenn Sicherheit nicht im Rahmen der Implementierung berücksichtigt wird, bleiben diese Geräte oftmals gefährdet und anfällig, da sie größtenteils nicht für Updates oder Patches ausgelegt sind.“

Die Untersuchung ergab, dass die befragten Unternehmen im vergangenen Jahr mehr als 2,5 Millionen Dollar für IoT-Initiativen ausgegeben haben und planen, in den nächsten 12 Monaten erneut so viel zu investieren. Angesichts solch hoher finanzieller Investitionen sollte auch in Sicherheit investiert werden, um die Risiken für vernetzte Industrieanlagen zu minimieren. Doch nur 56 Prozent der neuen IoT-Projekte beziehen einen Chief Information Security Officer (CISO) als einen der Entscheidungsträger bei der Auswahl von Sicherheitslösungen mit ein.

Laut IDC kann die IoT-Befähigung, die womöglich eine erstmalige Anbindung von industriellen Kontrollsystemen an das Internet beinhaltet, Software-Schwachstellen offen legen, die Unternehmensdaten gefährden. Obendrein ermöglichen sie Angreifern, softwarebasierte Sicherheitsmechanismen gezielt anzugreifen und potenziell zu manipulieren, um der Öffentlichkeit absichtlich oder unbeabsichtigt physische Schäden zuzufügen. [1]

Die Studie bestätigt diese Befürchtungen insofern, dass sie ergab, dass Unternehmen im vergangenen Jahr durchschnittlich drei Angriffe auf ihre vernetzten Anlagen erlitten. Dies zeigt, dass das Risiko, das von ungesicherten IoT-Anlagen ausgeht, Auswirkungen auf Unternehmen weltweit hat.

Darüber hinaus gaben 93 Prozent der Befragten an, dass IoT-Anwendungen schon mindestens eine Bedrohung für kritische Infrastrukturen in ihrem Unternehmen verursacht haben. Die häufigsten Gefahren durch zusätzliche Verbindungen entstehen durch komplexe Infrastrukturen, eine erhöhte Anzahl von Endpunkten und einem Mangel an angemessenen Sicherheitsmaßnahmen.

[1] IDC, IDC FutureScape: Worldwide IoT 2018 Predictions, Oktober 2017

Weitere Informationen zum Thema:

datensicherheit.de, 07.09.2018
Kooperation beim Schutz des Industrial Internet of Things

datensicherheit.de, 31.08.2018
CAST-Workshop: IoT – Anforderungen und Herausforderungen an die IT-Sicherheit

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 09.12.2016
CISO Security Studie: Über 80 Prozent der Unternehmen mit IT-Sicherheits-Strategie

[datensicherheit.de, 16.01.2017] Da Hacker die Schutzmechanismen von Unternehmensnetzwerken häufig mühelos umgehen und Insiderbedrohungen ständig zunehmen, setzen „Chief Information Security Officers“ (CISOs) nun verstärkt auf Erkennungsmechanismen, die auf der Analyse des Benutzerverhaltens beruhen. Diese Erkenntnis beruht auf einem ersten Bericht, in dem CISOs ihre Erfahrungen schildern – im neuen Ratgeber von Security Current.

Bedrohungen erkennen und entschärfen!

„CISOs Investigate: User Behavior Analytics“ heißt die erste Publikation einer neuen Reihe, in der CISOs Themen aus ihrem Arbeitsalltag kritisch beleuchten.
So richtet sich James Beeson, CISO und „IT Risk Leader“ bei GE Capital Americas, mit folgenden Empfehlungen an seine Fachkollegen: „Investitionen in Sicherheitslösungen sind bislang hauptsächlich in Präventivmaßnahmen geflossen. Theoretisch ist das auch sinnvoll. Doch in der Praxis sind diese Lösungen nicht mehr in der Lage, Unternehmen zuverlässig vor Angreifern zu schützen. Der viel diskutierte Perimeter ist von der Bildfläche verschwunden; stattdessen haben Benutzerkonten seinen Platz eingenommen. Das bedeutet nicht, dass Perimeterschutz überflüssig wäre. Es heißt lediglich, dass Sicherheitsexperten erkannt haben, dass sie nicht alle Angriffe verhindern können und daher nicht nur in die Prävention investieren, sondern auch Geld in die Erkennung stecken sollten. Im Endeffekt muss es einen wohldurchdachten Prozess geben, um Konten, Rechner und vertrauliche Daten zu überwachen sowie Bedrohungen zu erkennen und zu entschärfen.“

Reale Anwendungsfälle aus verschiedenen Branchen erörtert

Die Analyse des Nutzerverhaltens sei eine immer beliebtere Methode, um verdächtige Aktivitäten, Insiderbedrohungen und externe Angreifer zu erkennen, die mit herkömmlichen Technologien wie SIEM häufig unentdeckt blieben, erläutert Greg Schaffer, CISO bei FirstBank und Hauptautor des Berichts.
Im Rahmen des Berichts „CISOs Investigate: User Behavior Analytics“ würden reale Anwendungsfälle aus verschiedenen Branchen erörtert, die Sicherheitsexperten bei der Auswahl eines Anbieters Hilfestellung geben sollten.
Außerdem würden Unternehmen wie Varonis vorgestellt, die Informationsanfragen von Sicherheitsexperten beantwortet hätten, die Lösungen zur Analyse des Nutzerverhaltens in ihrem Berufsalltag einsetzten.

Bedrohungen effektiver vorhersagen, erkennen und entschärfen!

In der Zusammenfassung schreibt Beeson: „Die Analyse des Nutzerverhaltens gehört zu den Methoden, die sich künftig wohl als recht hilfreich erweisen werden. Sicherheitsexperten können eine Menge daraus lernen und möglicherweise Tools und Prozesse aus anderen Funktionsbereichen integrieren. Es ist an der Zeit, dass die Analyse des Nutzerverhaltens verstärkt eingesetzt wird, um Bedrohungen effektiver vorherzusagen, zu erkennen und zu entschärfen.“
Am besten sei es klein anzufangen und einen Geschäftsprozess auszuarbeiten, der dann auf die Hochrisikobereiche des jeweiligen Unternehmens angewandt wird, empfiehlt der CISO und „IT Risk Leader“ bei GE Capital Americas.

Inside-Out-Ansatz empfohlen!

„Wir freuen uns, dass der Markt dem Erkennen von Bedrohungen und der Analyse des Nutzerverhaltens allmählich die Aufmerksamkeit schenkt, die sie verdienen“, betont David Gibson, „Vice President of Strategy and Market Development“ bei Varonis.
Immer mehr schwerwiegende Sicherheitsvorfälle und Bedrohungen nähmen ihren Anfang im Inneren eines Unternehmensnetzwerks. Sie würden entweder von Hackern verursacht, die Konten oder Systeme von Mitarbeitern missbrauchten, oder von internen Nutzern mit unredlichen Absichten. Daher sei es für Unternehmen wichtiger denn je, einen Inside-Out-Ansatz zu verfolgen, zunächst Analysen durchzuführen und dann auf dieser Basis Abwehrmechanismen zu entwickeln.

Weitere Informationen zum Thema:

securitycurrent
CISOs investigate: USER BEHAVIOR ANALYTICS / Peer-authored Research

datensicherheit.de, 30.11.2016
CATS-Event 2016: HTW-Studenten simulieren Hackerangriffe

datensicherheit.de, 27.07.2016
Ransomware als profitabelste Malware der IT-Geschichte