Q&A: Zeit für einen "technologischen und kulturellen Wandel" in der Cybersicherheit

Die "neue Normalität" der Fernarbeit hat einen neuen Fokus auf das Bewusstsein für Cybersicherheit und das Verhalten der Mitarbeiter eingeführt, sagt Thomas Parenty, Mitbegründer der Cybersicherheitsberatung Archefact Group.

Natürlich waren Schulungen zum Bewusstsein für die Cybersicherheit , die Verantwortung für die Sicherheit und die Zustimmung des Managements schon vor der COVID-19-Pandemie wichtig, sagt Parenty, der mit der Nationalen Sicherheitsbehörde und dem Weißen Haus von Clinton an Fragen der Cybersicherheit gearbeitet hat. Doch wie das vergangene Jahr gezeigt hat, sind die Unternehmen durch Veränderungen in ihrer Arbeitsweise neuen Risiken im Bereich der Cybersicherheit ausgesetzt.

Mimecast sprach mit Parenty, der zusammen mit dem Archefact-Mitbegründer Jack Domet A Leader's Guide to Cybersecurity verfasst hat: Why Boards Need to Lead - and How to Do It [1] - über den menschlichen Faktor bei der Sicherheit, die zunehmende Verantwortung von Unternehmensleitern für die Cybersicherheit und die Förderung bewährter Verfahren in ihren Unternehmen.

Mimecast: Wie waren Organisationen in der ganzen Welt darauf vorbereitet, während der COVID-19-Pandemie die Fernarbeit zu sichern?

Thomas Parenty: Dies war ein interessanter Weckruf, wenn man so will, an zwei Fronten. Zum einen war es die Abhängigkeit der Unternehmen von den Sicherheitsmerkmalen der von ihnen verwendeten Produkte und zum anderen die interne Herausforderung, die Art und Weise der Nutzung von Computersystemen zu ändern, um eine neue Art der Geschäftsabwicklung zu unterstützen.

Sicherheitslücken in kommerzieller Software sind eine Konstante. Aber wenn man das beiseite lässt, ist der Hauptfaktor, der ein Cyber-Risiko mit sich bringt, die Verwendung von Technologie auf neue, andere Art und Weise als Ergebnis der Änderung der Art und Weise, wie Sie Ihre Geschäfte tätigen. Nach dieser Erfahrung mit der radikalen Umstellung von Geschäftsfunktionen auf Fernzugriff sollten Sie daran denken, dass Sie bei jeder Änderung der Art und Weise, wie Sie Ihre Geschäfte abwickeln, auch prüfen müssen, inwieweit die damit verbundenen technologischen Auswirkungen neue Risiken mit sich bringen.

Mimecast: Gibt es eine neue Schwelle für die Vorbereitung auf Cyberangriffe? Liegt jetzt mehr Verantwortung bei den einzelnen Nutzern?

Parenty: Die Pandemie und die mit der Telearbeit verbundenen Risiken haben das Bewusstsein geschärft, aber sie haben nicht grundlegend geändert, was wir jetzt tun müssen. Die Unternehmen müssen sich von der allgemeinen Sensibilisierung für die Cybersicherheit lösen, sei es "wähle ein sicheres Passwort" oder "klicke nicht auf den Link". Sie müssen sich genauer ansehen, welche individuellen Handlungen ein Benutzer vornehmen könnte, die einen Angriff wahrscheinlicher oder unwahrscheinlicher machen könnten. Das hängt sehr, sehr stark von den spezifischen Aktivitäten und der Umgebung ab, in der sie tätig sind.

Ein Beispiel ist, dass jemand aufgrund seiner Arbeitsumstände ein öffentliches WLAN nutzt. Das ist ein klarer Hinweis darauf, dass sie ein VPN verwenden müssen, um die Wahrscheinlichkeit auszuschließen, dass ihr Datenverkehr abgefangen wird. Wenn Sie zu Hause arbeiten, sollten Sie geschult werden oder wissen, dass Sie Ihr Kind nicht auf Ihrem Arbeitscomputer spielen oder Spiele installieren lassen dürfen, da dies selbst eine Sicherheitslücke darstellt. Wenn man darüber nachdenkt, wie man eine sinnvolle Schulung für Einzelpersonen durchführen kann, muss diese speziell auf die Handlungen abgestimmt sein, die sie im Rahmen ihrer Arbeit ausführen.

Mimecast: In Ihrem Buch A Leader's Guide to Cybersecurity betonen Sie, dass viele nicht-technische Faktoren, wie z. B. die Art und Weise, wie die Mitarbeiter an der Front ihre Arbeit erledigen, in die Cyberabwehr einfließen. Wenn man die Aufsicht den Technikern überlässt, erhält man dann nur einen unvollständigen Überblick darüber, was die Benutzer in Ihrem System tun und welche potenziellen Risiken bestehen?

Parenty: Es ist wichtig, darüber nachzudenken, was Menschen motiviert und welche Anreize sie haben, um ein Verständnis für ihre Handlungen zu bekommen, die möglicherweise sicherheitsrelevant sind. Schauen wir uns zwei gängige Motivationen an: Erstens wollen die Menschen im Allgemeinen ihre Arbeit machen, und zweitens wollen sie Stress bei der Arbeit vermeiden. Im Buch gebe ich das Beispiel eines Automobilunternehmens, in dem eine Gruppe, um ihre Arbeit zu erledigen, ein gefälschtes Mitarbeiterkonto für Geschäftspartner einrichten musste, damit diese auf die Systeme zugreifen und zusammenarbeiten konnten. Ihre Arbeit zu erledigen war viel wichtiger als die Sicherheit des Unternehmens zu wahren.

Das ist eine Botschaft für Cybersicherheitsexperten: Wenn Sie nicht verstehen, wie Menschen arbeiten, werden Sie Kontrollen schaffen, die eines von zwei Dingen bewirken: Sie verhindern, dass Arbeit erledigt wird, oder sie schützen das Unternehmen nicht wirklich.

In einem anderen Beispiel aus der Praxis betrachte ich die Perspektive eines einzelnen Mitarbeiters im Bereich der Cybersicherheit. Wenn man sicherstellt, dass die Firewall richtig konfiguriert ist und vor Angriffen von außen schützt, besteht die Gefahr, dass legitime Anwendungen nicht mehr funktionieren. Wenn das passieren würde, stünde jemand vor ihrem Schreibtisch und würde sie anschreien, dass sie das Problem sofort beheben sollen. Aus einer natürlichen menschlichen Perspektive heraus denken sie also: "OK, ich mache die Firewall weniger sicher, damit ich weniger Stress bei der Arbeit habe."

Dies sind Beispiele für Faktoren, bei denen man die beste Technologie haben kann, die aber nichts nützt, wenn man die menschliche Natur und die Anreize des Einzelnen nicht berücksichtigt.

IT-Mitarbeiter konzentrieren sich aufgrund der Art ihrer Arbeit auf Computer, Netzwerke und technische Geräte. Damit sind sicherlich Risiken verbunden, aber erst wenn man einen Blick über die IT-Abteilung hinaus wirft und die Organisation, das Unternehmen als Ganzes betrachtet, bekommt man wirklich eine Vorstellung von den wesentlichen Risiken für das Unternehmen. Es ist von entscheidender Bedeutung, dass die Unternehmensleitung die für das Unternehmen wichtigsten Risiken identifiziert, damit die Mitarbeiter der Cybersicherheits- und IT-Abteilung sagen können: "Nun, dies sind die Möglichkeiten, wie sich diese Risiken für das Unternehmen als Folge eines Cyberangriffs verwirklichen könnten. Jetzt müssen wir wissen, worauf wir uns aus technischer Sicht konzentrieren müssen."

Mimecast: Erkennen wir ein stärkeres Bewusstsein bei den Führungskräften der Geschäftsbereiche, dass Cybersicherheit Teil ihrer Verantwortung sein muss?

Parenty: Je nach CEO, je nach Branche ist die Bereitschaft, diese neue Verantwortung für die Cybersicherheit zu übernehmen, sehr unterschiedlich. Aber so gut wie jeder weiß, dass er verantwortlich ist. Wir sind noch nicht an dem Punkt angelangt, an dem es um die Haftung geht, wie es bei der Finanzberichterstattung und Sarbanes-Oxley der Fall ist. Und da die Cybersicherheit ein viel breiterer Bereich mit vielen externen Abhängigkeiten ist, glaube ich nicht, dass wir die gleiche Art von Haftung wie bei der Finanzberichterstattung haben sollten. Aber sowohl CEOs als auch Vorstände sind sich darüber im Klaren, dass sie, auch wenn sie rechtlich nicht dazu verpflichtet sind, auf jeden Fall in der Pflicht sind, wenn es zu einer größeren Verletzung ihrer Unternehmen kommt. Das sind alles Dinge, derer sich CEOs durchaus bewusst sind, und sie versuchen zunehmend, ihre Rolle bei der Sicherstellung eines angemessenen Schutzes ihrer Unternehmen zu klären.

Mimecast: Wie können Führungskräfte die Cybersicherheit zu einer Priorität machen, während sie gleichzeitig in so viele andere Richtungen gezogen werden?

Parenty: Aus der Sicht eines Geschäftsführers gibt es eine kleine Anzahl von Dingen, die er tun muss. In erster Linie müssen sie sicherstellen, dass das Unternehmen organisatorisch so aufgestellt ist, dass es in der Lage ist, die Cybersicherheit zu verwalten, und dass es über eine personell und finanziell ausreichend ausgestattete Cybersicherheitsorganisation verfügt. Außerdem muss sichergestellt werden, dass die Organisation innerhalb des Unternehmens so angesiedelt ist, dass sie tatsächlich effektiv arbeiten kann. Man möchte zum Beispiel keine Cybersicherheitsorganisation haben, die so tief in der [größeren] Organisation verankert ist, dass niemand auf sie hört.

Was [die Cybersicherheitsorganisation] kontinuierlich tun muss, ist sicherzustellen, dass der Rest des Unternehmens versteht, dass Cybersicherheit eine Priorität ist und dass der CEO über den Status auf dem Laufenden sein muss. Ein einfacher Schritt besteht darin, sicherzustellen, dass dem CEO und dem Führungsteam regelmäßig über die Cybersicherheit berichtet wird.

Vor ein paar Wochen sprach ich mit dem CEO eines sehr großen europäischen Transportunternehmens. Als sie einen neuen CISO einstellten, stellten sie unter anderem fest, dass viele der leitenden Angestellten sich weigerten, sich mit dem CISO zu treffen, es an jemand anderen delegierten oder die Sitzung verkürzten. Der CEO ging zu jeder dieser Führungskräfte und sagte: "Sie nehmen an der Besprechung teil, und zwar für die gesamte Zeit." Damit wurde die Botschaft vermittelt, dass dies tatsächlich wichtig ist und nicht etwas, das man einfach ignorieren kann.

Mimecast: Einige Ihrer Empfehlungen berühren das Problem des Mangels an Cyber-Talenten. Künstliche Intelligenz und Automatisierung werden als Option angeboten, aber verlassen sich Fachleute zu sehr auf Warnmeldungen und übersehen das Gesamtbild der Bedrohung?

Parenty: Technologie zu haben und einen Sicherheitsnutzen daraus zu ziehen, sind zwei völlig unterschiedliche Konzepte. Um einen wirklichen Nutzen aus der Cybersicherheitstechnologie ziehen zu können, muss viel Arbeit in ihre Verwaltung und Administration gesteckt werden. Ich habe mit vielen großen Unternehmen zu tun gehabt, deren Budgets für Cybersicherheit in die Hunderte von Millionen Dollar gehen und die absolut jedes Sicherheitsprodukt haben, von denen keines wirklich richtig genutzt wird. Die Abhängigkeit von der Technologie ist ein Punkt, bei dem viele Unternehmen versagen, weil es wiederum nicht ausreicht, die Technologie zu haben. Je mehr Technologie man hat, desto mehr Alarme kann man sehen. Die Situation ist eine Kombination aus Peter, der den Wolf ruft, und dem Heuhaufen, der immer größer wird.

Zwar kann eine ausgefeiltere automatisierte Analyse - KI, maschinelles Lernen oder einfach nur bessere Algorithmen - durchaus von Vorteil sein, doch bleibt das Problem bestehen, dass man nicht sieht, wonach man sucht, wenn man sich nicht genügend darauf konzentriert. Um Prioritäten für Cybersecurity-Aktivitäten setzen zu können, müssen Sie zunächst damit beginnen: Was sind die wichtigsten Geschäftsrisiken für das Unternehmen, die durch einen Cyberangriff entstehen könnten? Und dann konzentrieren Sie Ihre technischen Aktivitäten auf die Eindämmung dieser Cyberangriffe auf die unterstützenden Systeme.

Mimecast: So viele Technologien sind heute in die täglichen Abläufe eingebunden, nicht nur in die Information, sondern auch in das Betriebsmanagement. Ist es an der Zeit, den Stellenwert der Cybersicherheit in der Geschäftskontinuität und der Betriebssicherheit zu überdenken?

Parenty: Eine Verlagerung des Schwerpunkts auf die Cybersicherheitsprobleme im Zusammenhang mit kritischen Infrastrukturen und Betriebstechnologien ist absolut notwendig. Es steht viel mehr auf dem Spiel als nur der Verlust von Kreditkartendaten. Kein sauberes Trinkwasser, kein Strom - das hat weitaus größere Auswirkungen als der Verlust von persönlichen Daten. Ich möchte die Auswirkungen des Verlusts bestimmter personenbezogener Daten nicht schmälern, aber im Vergleich zu "Wir haben keinen Strom" spielt das wirklich keine Rolle.

Eines der Dinge, die man bei der Verlagerung des Schwerpunkts im Auge behalten muss, ist, dass die Prioritäten der Cybersicherheit, mit denen wir uns traditionell befasst haben, nämlich die Vertraulichkeit von Informationen, in diesen Betriebs- und IoT-Umgebungen, in denen die Verfügbarkeit von Systemen und die Integrität von Informationen viel, viel wichtiger sind, auf den Kopf gestellt werden. Es findet ein kultureller und technologischer Wandel von der traditionellen Behandlung der Cybersicherheit in einer Büroumgebung zu dieser eher betrieblichen Umgebung statt. Sie müssen sicherstellen, dass die Cybersicherheitsexperten erkennen, dass die Prioritäten und Gleichgewichte anders sind.

Mimecast: Ist die Weitergabe von Informationen die größte Herausforderung, die wir im Moment haben - Organisationen dazu zu bringen, Informationen über Angriffe und deren Verlauf auszutauschen, damit jeder seine Abwehrmaßnahmen verbessern kann?

Parenty: In einem Unternehmen gibt es vielleicht technische Mitarbeiter, die bereit sind, informell Informationen mit Kollegen auszutauschen. Wenn man sich jedoch mit den formellen, offiziellen Strukturen für den Austausch von Informationen über Schwachstellen befasst, stößt man auf eine Reihe von rechtlichen Problemen. Die Rechtsabteilungen vieler Unternehmen sind nicht gerade begeistert von der Aussicht, dass ihre Unternehmen Informationen über Schwachstellen weitergeben, da dies haftungsrechtliche Konsequenzen hat. Da haben Sie ein Problem.

Es gibt auch Probleme mit dem Informationsaustausch mit Regierungen. Es gibt einige Branchen, wie z. B. die Elektrizitätswirtschaft in den USA, in denen ein sehr effektiver Austausch von Bedrohungsinformationen zwischen der Regierung und diesen Unternehmen in einem geheimen Umfeld stattfindet. Das ist etwas, das sehr gut funktioniert, aber es ist keine Lösung, die sich allgemein skalieren lässt. Der Informationsaustausch zwischen Regierungen und Unternehmen ist insofern problematisch, als er in der Regel nur in eine Richtung erfolgt: vom Unternehmen an die Regierung. Man hört nie etwas zurück. Es gibt, wenn Sie so wollen, mehr organisatorische und rechtliche Hindernisse für den Informationsaustausch als einfach nur technische Hindernisse.

Mimecast: Sehen Sie interessante neue Trends oder Bedrohungen, die wir im Auge behalten sollten?

Parenty: Das, was uns in Zukunft am meisten Sorgen bereiten sollte, ist die engere Verzahnung zwischen der digitalen und der physischen Welt. In der Vergangenheit betrafen die meisten Auswirkungen von Cyberangriffen im Wesentlichen Bits und Bytes, egal ob Geld oder Informationen gestohlen wurden. Aber jetzt sehen wir Auswirkungen, die in der physischen Welt real sind und das Potenzial für viel größeren Schaden haben. Das ist der Bereich, dem Fachleute für Cybersicherheit und Unternehmensleiter die größte Aufmerksamkeit widmen sollten. Dabei muss es sich nicht nur um kritische Infrastrukturen handeln, denn dies gilt auch für das Internet der Dinge.

[1] A Leader's Guide to Cybersecurity: Why Boards Need to Lead-and How to Do It , von Thomas J. Parenty undJack J. Domet (Harvard Business Review Press, 2019)