Ausrichtung der Cyber-Security-Strategie auf eine veränderte digitale Welt

25. May 2022
Banken
0 Kommentare

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) liegt die Bedrohungslage der IT-Sicherheit in Deutschland zwischen „angespannt und kritisch“. Allein 2021 verzeichnete die Behörde vier Sicherheitsvorfälle mit „Alarmstufe rot“ — also besonders schwerwiegende Fälle. Christian Nern, Partner im Bereich Financial Services bei KPMG, erläutert in diesem Beitrag, wie Unternehmen sich in der sich stetig verändernden digitalen Welt optimal aufstellen und sich mit einer strategisch ausgerichteten Cyber-Security-Strategie effizient gegen Cyberrisiken schützen können.

Christian Nern

Partner, Financial Services | KPMG AG WPG

Zum Profil

Eine strategische Cyber-Securitiy-Strategie schützt vor Cyberrisiken

Die Digitalisierung der Arbeitswelt hat Prozesse verändert, neue Produkte und Services ermöglicht sowie Remote Work und ortsunabhängiges Zusammenarbeiten zum Standard gemacht. Neben den zahlreichen Chancen stellt die digitale Welt Unternehmen jedoch auch vor große Herausforderungen: Sie müssen Ihre gesamte IT-Umgebung vor vielseitigen Schäden wie missbräuchlicher Nutzung, Systemausfällen, Angriffen von außen etc. schützen. So nehmen in den vergangenen Jahren, vor allem seit der Corona-Pandemie und durch den Russland-Ukraine-Konflikt, Cyberattacken stetig zu. Besonders „im Trend“ ist derzeit Phishing, wie das BSI Anfang März bestätigte.

Durch die digitale Arbeitswelt entstehen darüber hinaus immer neue Angriffsmuster. In diesem schnelllebigen und sich wandelnden Umfeld brauchen Unternehmen eine strategisch ausgerichtete Cyber-Security-Strategie sowie zentral gesteuerte und flexibel aufeinander abgestimmte Schutzmechanismen, die sich den gesammelten Erfahrungswerten anpassen können. In der Realität sind die IT-Systeme und -Prozesse vieler Unternehmen jedoch vielfach historisch gewachsen und entsprechen aus dem Sicherheitsblickwinkel eher einem Flickenteppich, der fehleranfällig und angreifbar ist.

Handlungsmöglichkeiten in der digitalen Welt

Um diesen Flickenteppich durch effiziente Cyber Security zu ersetzen, gibt es verschiedene Ansatzpunkte, die alle ineinandergreifen:

 

1. Haltung bzw. Denkmuster verändern

Vor allem bei Finanzdienstleistern waren Maßnahmen und Investitionen in der Vergangenheit vielfach von regulatorischen Anforderungen geprägt, auch eine Vielzahl von Unternehmen aus anderen Branchen hat bislang verstärkt reaktiv gehandelt. Wer in der schnelllebigen und komplexen Welt von heute nachhaltig mithalten und mitgestalten will, sollte seine Haltung ändern und proaktiv denken und handeln. Mit Blick auf Cyberrisiken, die schnell sehr teuer werden sowie vor allem Vertrauen und Image nachhaltig schädigen können, kann bereits ein Schadensfall enorme Auswirkungen haben oder sogar existenzbedrohend werden. Deswegen ist ein unternehmensweiter Security-Ansatz inklusive einer Security-Architektur notwendig, die auch beispielsweise hybride Cloud-Systeme und anzubindende Kundenplattformen einschließt.

 

2. Cyberrisiken zentral steuern

Zeitgemäß aufgestellt sind Unternehmen mit einem Security Operations Center (kurz: SOC). Dies ist ein zentrales „Kontrollzentrum“, worüber Sicherheitsexperten Alarme für verdächtige Aktionen und Prozesse definieren sowie entsprechende Benachrichtigungen oder Handlungsmaßnahmen auslösen können. Dazu sammeln sie Informationen aus Disziplinen wie zum Beispiel Security Information and Event Management (SIEM), Identity- and Access Management (IAM), Identity- und Schwachstellenmanagement, Threat Intelligence Systemen oder Firewalls.

Um ein solches SOC für das eigene Unternehmen einzurichten, müssen Verantwortliche zunächst ein gemeinsames Vorgehen mit der Unternehmensleitung schaffen und verbindliche sowie strategisch ausgerichtete Ziele für das SOC festlegen. Im Anschluss folgen drei weitere Schritte:

​​​​​Anforderungen definieren:
Welche funktionalen und nicht-funktionalen Anforderungen aus Risk & Compliance, Governance oder anderen Bereichen muss das SOC erfüllen, um die Ziele des SOCs zu erreichen? Welche Software und Tools werden benötigt — und welche sind ggf. schon vorhanden?

​​​​​​SOC planen:
Dazu gehören Fragestellungen wie zum Beispiel: Welche Aufgaben und welche Use Cases braucht das SOC? Welche Bedrohungsszenarien sind relevant? Wie sieht das Reporting aus? Wie erfolgt der Betrieb: Intern, über einen Provider oder hybrid?

​​​​​​SOC umsetzen:
Die Umsetzung oder Transition des SOCs sollte Ausgangspunkt für einen kontinuierlichen Verbesserungsprozess (KVP) sein. Denn durch die im operativen Betrieb gesammelten Erfahrungen kann das Unternehmen lernen und die Rahmenbedingungen sowie Prozesse des SOCs immer wieder neu an die Bedrohungslage anpassen.

3. Schutzmechanismen regelmäßig testen

Da ständig neue Angriffsmuster entstehen und weitere, neue Risiken hinzukommen, sollten Unternehmen zahlreiche Maßnahmen ergreifen, um kritische Infrastrukturen regelmäßig und zielgerichtet zu testen. So können Unternehmen zum Beispiel mit dem Tiber-EU Framework, ggf. moderiert von der BaFin, Cyber-Angriffe simulieren. Darüber hinaus stehen auch „Red Team – Blue Team“- oder „C-Level Cyber Range“-Trainings zur Verfügung.

 

4. Mitarbeitende sensibilisieren und schulen

Oft unterschätzt ist außerdem eine Sensibilisierung und Schulung der Belegschaft. Denn Mitarbeitende haben in diesem Zusammenhang zwei „Funktionen“: Wenn sie verdächtige Prozesse oder Aktionen erkennen können, sind sie in der Lage, diese frühzeitig zu melden und entsprechende Maßnahmen zu initiieren. Darüber hinaus aber sind sie auch eine potenzielle Fehlerquelle. Denn leider sind Angestellte nach wie vor für die Hälfte aller Sicherheitslücken verantwortlich, so beispielsweise durch Fishing-Attacken via E-Mail.

 

5. Cloud-Lösungen nutzen

Cloud-Lösungen sind aus der Praxis vieler Unternehmen nicht mehr wegzudenken: So nutzen lediglich zwei Prozent der Befragten aus der Studie „IT im Wandel“ von Lünendonk und KPMG keinerlei Cloud-Lösungen. Von den übrigen 98 Prozent verfolgen 14 Prozent eine Cloud-only-Strategie, 48 Prozent verlagern große Teile ihrer IT in die Cloud und 36 Prozent lediglich einen kleinen Teil. Dass Cloud-Lösungen so gefragt sind, liegt unter anderem daran, dass Cloud-Anbieter umfangreiche Maßnahmen zum Schutz ihrer Infrastruktur ergreifen. So haben sie in der Regel eigene SOCs, mit denen sie ihre Daten in Echtzeit überwachen. Zudem investieren sie viel Geld in neue Technologien wie Künstliche Intelligenz oder Machine Learning, um ihre Strukturen bestmöglichen gegen Cyberangriffe zu schützen — zum Beispiel, indem sie Datenströme auswerten, um Auffälligkeiten zu entdecken, bevor es zum Sicherheitsvorfall kommt. Grundsätzlich jedoch gilt, dass auch bei hybriden oder Cloud-only-Lösungen die Unternehmen aus Sicht der BaFin wie bei einer Drittveranlagung für die Sicherheit zuständig sind und sie deshalb klar definieren sollten, wie das Zusammenspiel mit Cloud Anbietern und die Integration in die Unternehmens-Security Architektur und -Maßnahmen aussieht.

Cyber Resilience durch eine strategisch ausgerichtete Cyber-Security-Strategie

Cyber Security ist heutzutage kein „Nice to have“. Unternehmen, die sich im zunehmend schwierigen Umfeld zukunftsfähig aufstellen wollen, brauchen eine strategische Cyber-Security-Strategie und zeitgemäße sowie effiziente Lösungen, um ihre Systeme, Prozesse und Daten zu schützen — und so eine hohe Cyber Resilience aufzubauen. Gerade für Financial-Services-Kunden ist es wichtig, dass die jeweilige Bank oder Versicherung Security als Wettbewerbsvorteil versteht. Technisch gesehen ist ein SOC dabei eine One-Stop-Shop-Lösung, die auch das Vulnerability Management oder die Threat Intelligence miteinschließt. Mit weiteren Maßnahmen wie regelmäßigen Penetrations-Tests, einer veränderten Haltung, Schulung der Mitarbeitenden sowie Nutzung von Cloud-Lösungen schaffen Unternehmen optimale Voraussetzungen auf sämtlichen Ebenen, um den Gefahren der digitalen Welt die Stirn zu bieten.

TIME TO BE THE BEST: Seminarprogramm 2022

Holen Sie sich neue Impulse für Ihren Alltag! Wir geben in diesem Seminarprogramm zum Thema Führung & Management praktische Tipps und passende Seminarempfehlungen, mit denen Sie Ihre größten Herausforderungen im Daily Business erfolgreich meistern.

Diese Veranstaltungen könnten Sie auch interessieren

Gefällt Ihnen, was Sie lesen? Teilen Sie diesen Beitrag oder hinterlassen Sie uns einen Kommentar!

Kommentare

Keine Kommentare

Kommentar schreiben

* Diese Felder sind erforderlich

Die Management Circle AG mit Sitz in Eschborn im Taunus ist spezialisiert auf die berufliche Weiterbildung in Form von Seminaren, Konferenzen und Kongressen für Fach- und Führungskräfte.

© Management Circle 2022