Suchen

Interview

Cybersecurity im Wandel: Die Rolle von „Security by Design“

| Redakteur: Marlene Mahlo

Im Interview erklären Moreno Carullo, Mitgründer und Chief Technical Officer von Nozomi Networks und Stefan Liversidge, Technical Sales Engineer bei Nozomi Networks die Bedeutung des Security by Design Ansatzes.

Firmen zum Thema

Was reale Cybersicherheitsbedrohungen anbelangt, kann man kaum zu reaktionsschnell sein.
Was reale Cybersicherheitsbedrohungen anbelangt, kann man kaum zu reaktionsschnell sein.
(Bild: gemeinfrei / Pixabay)

Die Cybersicherheitslandschaft hat sich rapide verändert, und Unternehmen reagieren darauf. Bis zu welchem Ausmaß sind Firmen und Organisationen Ihrer Ansicht nach zu reaktiv bei der Wahl der Mittel?

Moreno Carullo: Das hängt ganz von der Art des Unternehmens ab, hier gibt es eine große Spannbreite. Es gibt Unternehmen, die was Risiko- und Cybersicherheitsmanagement anbelangt einen sehr strukturierten Ansatz fahren. Solche Firmen haben dann ein internes SOC oder CERT. Anderen wiederum fehlen die nötigen Ressourcen und/oder die finanziellen Mittel, um selbst grundlegende Sicherheitspraktiken zu implementieren.

Stefan Liversidge: Man kann, was reale Cybersicherheitsbedrohungen anbelangt, kaum zu reaktionsschnell sein. Meiner Ansicht nach gibt es aber Probleme bei der Risikobewertung. Unternehmen reagieren häufig aufgrund angenommener Risiken. Das gilt ganz besonders in der OT. Hier fehlt es nicht selten an Informationen, um die Risikolage wirklich gut verstehen zu können. Dazu kommt, dass in der OT oftmals nicht bekannt ist, welche Systeme kritische Systeme sind. Die Folge: Kontrollen sind unzureichend oder an den falschen Stellen implementiert.

Konnektivität und digitale Transformation sind zwei Schlüsselbegriffe. Die Folgen der radikalen Vernetzung und Digitalisierung sind inzwischen weithin spürbar. Hat die Tatsache, dass immer mehr Geschäftsprozesse darauf basieren beziehungsweise davon abhängig sind, die Art und Weise verändert in der Firmen an Cybersicherheitsprozesse herangehen?

Moreno Carullo: Aus meiner Sicht haben sich weniger die Prozesse verändert als die Herangehensweise an das Sicherheits- und Netzwerkdesign als solches. Wenn Sie sich die Beschaffenheit aktueller OT-Umgebungen ansehen, haben sich diese durch das Industrielle Internet der Dinge (IIoT) massiv verändert. Dazu kommt, dass physische Geräte und Maschinen inzwischen über Netzwerksensoren und Software mit dem Internet verbunden sind. Beides treibt die Konvergenz von OT und IT weiter voran. Es ist also nur folgerichtig, dass sich damit die Herangehensweise an Security- und Netzwerkdesign verändern muss. Cybersecurity sollte von Anfang an bei der Entwicklung mit berücksichtigt werden und nicht erst im Nachgang.

Stefan Liversidge: Die Cybersicherheitsprozesse bleiben zu großen Teilen wie sie sind, auch wenn es einige Spezialisierungen gegeben hat. In vielen Unternehmen fehlen allerdings die nötigen Ressourcen. Experten für Cloud- und OT- Sicherheit sind schwer zu bekommen und schwer zu halten. Ohne deren Spezialwissen und Fähigkeiten ist es schwierig, Risiken präzise zu identifizieren und innerhalb der Organisation zu kommunizieren. Das wiederum führt zu Sicherheitslücken, die in einer zunehmend vernetzten Umgebung die Angriffsfläche vergrößern. Man kann diesen Grad der Vernetzung allerdings auch nutzen, um die Sicherheit zu verbessern. Wenn man etwa die vorhandenen Daten zentral sammelt und zusammenführt, lassen sich Profile der Angreifer erstellen und auf dieser Basis in Echtzeit geeignete Gegenmaßnahmen ergreifen.

Was bedeutet es, Rahmenwerke und Prozesse einzuziehen, die auf einem Cybersecurity by Design-Ansatz basieren?

Moreno Carullo: Ist man rechtzeitig zur Stelle, wenn es irgendwo brennt kann man das Feuer vermutlich löschen. Aber man beseitigt nicht die Brandursachen. Cybersecurity by Design ist ein entscheidender Schritt, um Probleme an ihrem Ursprung zu adressieren. Das heißt, sicherzustellen, dass Cybersicherheit von vorneherein mit gedacht und nicht erst nachträglich implementiert wird. Es heißt, dass sie integraler Bestandteil der gesamten Architektur und der betreffenden Prozesse ist. Dazu braucht es ein grundlegendes Umdenken. Cybersecurity ist innerhalb dieses Ansatzes das Herzstück, ein grundlegendes Prinzip und nicht eine nachgeordnete Anforderung, die man (meist kostenintensiv) auch noch berücksichtigen muss.

Stefan Liversidge: Cybersecurity by Design betrifft jeden einzelnen Aspekt eines Unternehmens. Von der Beschaffung bis zu den Kosten am Ende der Lebensdauer wie Außerbetriebsetzung und Entsorgung. Das ist der entscheidende Grund warum sich Unternehmen schwer tun Security by Design-Prinzipien wirklich vollständig zu implementieren.

Was genau macht diesen Ansatz aus?

Moreno Carullo: Das wichtigste und zentrale Prinzip ist aus meiner Sicht, dass Unternehmen, Organisationen, Behörden und so weiter Cybersicherheit in ihre geschäftlichen Prozesse einbetten. Aber zuallererst müssen sie genau das für ihre Informationsinfrastruktur gewährleisten. Netzwerk-Segregation, Überwachung, kontinuierliche Überprüfung im Hinblick auf Sicherheitsschwachstellen und Penetrationstests müssen quasi vom Nullpunkt an vorhanden sein und alle Komponenten zusammenarbeiten.

Stefan Liversidge: Wie gesagt, Cybersecurity by Design heißt, dass jeder geschäftliche Aspekt betroffen und Sicherheit integraler Bestandteil geschäftlicher Funktionsbereiche ist und sich nicht auf das Netzwerkdesign beschränkt. Das Supply Chain Management ist beispielsweise so ein Bereich, der gerne übersehen wird, wenn es daran geht Security by Design zu implementieren.

Inwiefern trägt dieser Ansatz dazu bei, dass Unternehmen proaktiver agieren statt wie üblich eher reaktiv?

Moreno Carullo: Cybersicherheit bildet bei diesem Ansatz das Rückgrat des Unternehmens. Das macht es sehr viel weniger wahrscheinlich, dass Cyberbedrohungen sich ungehindert verbreiten oder dass sie überhaupt einen Ansatzpunkt finden. Und selbst wenn das passiert, sind Unternehmen bereits von Anfang an so strukturiert, dass sie Bedrohungen eindämmen und managen können. Ein Vorteil des Cybersecurity by Design-Ansatzes liegt nicht zuletzt darin, dass man im Fall der Fälle auf alle notwendigen Informationen zugreifen kann.

Stefan Liversidge: Sicherheit nachzurüsten ist ressourcenintensiv, teuer und deutlich weniger effektiv als „eingebaute“ Sicherheit per Design. Security by Design gestattet es Unternehmen mit weniger Ressourcen mehr zu tun. Risiken lassen sich quantifizieren und handhabbar machen statt ad-hoc Kontrollen einzuziehen, die reale Risiken nicht unbedingt senken und zudem Geschäftsprozesse ineffektiv machen. Auf der Basis eines Security by Design-Ansatzes ist es sehr viel unwahrscheinlicher, dass eine einzelne Schwachstelle zu einem schwerwiegenden Datenschutzvorfall führt. Wenn dann doch eine Schwachstelle ausgenutzt wird, lässt sich das schneller erkennen und effektiver darauf antworten.

Gibt es Branchen und Industriezweige auf die diese Empfehlungen in besonderem Maße zutreffen?

Moreno Carullo: Grundsätzlich halte ich Cybersecurity by Design für einen Ansatz, dem alle Unternehmen folgen sollten. Ganz besonders aber sämtliche Unternehmen, die zu den kritischen Infrastrukturen zählen.

Das gilt für Energieversorgungsunternehmen als auch das Transport- und Gemeinwesen gleichermaßen. Kritische Infrastrukturen bestimmen einen Großteil des öffentlichen Lebens und sind weltweit besonders schützenswerte Einrichtungen. Cyberangriffe richten hier besonders schwerwiegende Schäden an und bergen Gefahren für Leib und Leben. Unsere Abhängigkeit von einer funktionierenden Stromversorgung ist so weitreichend, dass ein Blackout extrem weitreichende Konsequenzen für eine Vielzahl weiterer vitaler Systeme hat. Wir haben in den letzten Jahren schon etliche Angriffe dieser Art erlebt.

Stefan Liversidge: Sie treffen auf alle Branchen gleichermaßen zu. Die Frage ist doch vielmehr, wer hat den langen Atem und das Budget für einen derartigen Transformationsprozess. Kritische nationale Infrastrukturen und die Verteidigung sind zwei Bereiche, die sich aufdrängen.

Worin besteht der geschäftliche Mehrwert, wenn Unternehmen sich entscheiden auf Cybersecurity by Design zu setzen?

Moreno Carullo: Der wichtigste geschäftliche Mehrwert liegt in der umfassenden Resilienz und Widerstandsfähigkeit des Unternehmens.

Stefan Liversidge: Maximale Effizienz bei der Bereitstellung robuster Verteidigungsmaßnahmen. Wie bereits ausgeführt ist es langfristig effektiver und kostengünstiger Security by Design zu implementieren. Unternehmen haben so beispielsweise die Möglichkeit sich auf Initiativen im Rahmen der digitalen Transformation zu konzentrieren. Risiken und Gefährdungslagen sind besser einzuschätzen. Und schließlich lassen sich auf dieser Basis zielgerichtete Aktivitäten umsetzen. Auch solche, bei denen weniger fortgeschrittenen Unternehmen das Risiko als zu hoch erscheint.

Was brauchen Unternehmen, wenn sie einen Cybersecurity by Design Ansatz erfolgreich umsetzen wollen?

Moreno Carullo: Unternehmen sollten sich an Standardrahmenwerken orientieren und sich für dasjenige entscheiden, welches ihrem geschäftlichen Anforderungsprofil am nächsten kommt. Als nächstes muss man einen präzisen Migrationsprozess definieren, um die existierenden Workflows und Vorgehensweise in diejenigen zu überführen, die dem Cybersecurity by Design-Ansatz entsprechen.

Stefan Liversidge: Unternehmen müssen die notwendigen Verfahren vorantreiben und Cybersicherheit in bereits existierende Prozesse implementieren. Schritt für Schritt sollten Unternehmen ihre Fähigkeiten und die ihrer Mitarbeiter auf- und ausbauen, wenn es darum geht Sicherheitsprinzipien anzuwenden. Besser man versteht das Ganze als eine Reise und nicht als den großen Befreiungsschlag. Der hat nämlich das Potenzial ein Unternehmen lahmzulegen. Es geht mehr um einen zukunftsfähigen und strategischen Ansatz, der auch entsprechend kommuniziert sein will. Er sollte es allen Mitarbeitern erlauben Sicherheitsverbesserungen voranzutreiben und eine positiv besetzte Sicherheitskultur aufzubauen.

Bis zu welchem Grad sollte Cybersicherheit als Prozess verstanden werden und nicht als eine Kombination verschiedener Produkte und Technologien? Worin liegen die Gefahren, wenn das nicht gelingt?

Moreno Carullo: Jeder innerhalb des Unternehmens sollte verstanden haben, was Sicherheitslösungen tun (können) und was nicht. Das ist die Richtschnur. Bewusstsein und Verständnis sind die Eckpfeiler, wenn man die Informationen zusammenführen will, die Produkte und Lösungen liefern. Nur auf der Basis des notwendigen Verständnisses können alle ihre Aufgabe so erledigen, dass die Prinzipien von Cybersecurity by Design gewahrt bleiben.

Stefan Liversidge: Sicherheit ist definitiv als Prozess zu verstehen. Und zwar bis jeder einzelne Mitarbeiter verinnerlicht hat, dass jeder Sicherheitsfehler und jede Schwachstelle, der oder die in seinen Verantwortungsbereich fallen, Auswirkungen auf den Sicherheitsstatus des gesamten Unternehmens, der Produkte und Dienstleistungen hat.

Noch eine abschließende Frage. Wer sollte involviert sein, wenn man Cybersicherheitsprozesse und Rahmenwerke entwirft? Und wie entgehen Unternehmen dabei der Kostenfalle und den Folgen, die der Mangel an Fachkräften in diesem Bereich mit sich bringt?

Moreno Carullo: Das sollten auf jeden Fall die Fachverantwortlichen sein. Sie kennen die Prozesse am besten und haben das notwendige Kontextwissen. Und sie sollten direkt mit der IT-/OT-Sicherheitsabteilung zusammenarbeiten. Manche Unternehmen haben entsprechende Teams oder einzelne Personen, die sich besonders gut mit branchen- oder industriespezifischen Besonderheiten auskennen, wenn es gilt ein Rahmenwerk zu definieren. Darüber hinaus hat es sich als sehr hilfreich herausgestellt, regelmäßig mit Arbeitsgruppen in Kontakt zu stehen oder daran teilzunehmen, die sich mit diesbezüglichen Standardfragen auseinandersetzen und die Richtlinien an aktuelle Gegebenheiten anpassen.

Stefan Liversidge: Ich empfehle hier dringend, das Rad nicht neu zu erfinden. Es gibt enorm viele Materialien und Leitlinien, zusammengestellt von internationalen Standardgremien und Regierungsbehörden. Die Prozessverantwortlichen sollten mit den Sicherheitsleuten und operativen Teams eng zusammenarbeiten. Gemeinsam sollten sie die zugrundeliegende Denkweise dieser Rahmenwerke zu verstehen suchen, um dann die Vorlagen bestmöglich auf die bestehende Situation anzuwenden. Ein Unternehmen muss einen bestimmten Reifegrad erreicht haben, um solche Vorlagen an die speziellen Bedürfnisse der eigenen Organisation anzupassen. Die Richtlinien müssen schließlich so umgesetzt werden, dass sie den Sicherheitsstatus verbessern ohne dass die betriebliche Effizienz zu stark darunter leidet. Unabhängig davon für welches Rahmenwerk man sich letztendlich entscheidet, ist es grundlegend sich vorher auf eine Risiko- beziehungsweise Wirkungsmatrix zu verständigen. Sie legt fest, welcher Risikolevel für das Unternehmen innerhalb tolerierbarer Grenzen liegt.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46193190)