So könne man Angriffe schnell erkennen, umgehend reagieren und sich möglichst rasch von einem Cyber-Angriff erholen. «Genau dafür gibt es Richtlinien wie den IKT- Minimalstandard, das amerikanische NIST Cyber Security Framework oder die zertifizierbare ‹Königsklasse›: ISO 27001», stellt der Berater klar. Gefahren im Bereich der Informationssicherheit werden damit auf operationeller und prozessualer Ebene reduziert. Der Standard umfasst einerseits die technische Sicherheit. Er versucht zudem jedoch, das Bewusstsein von Mitarbeitenden nachhaltig zu schärfen. Deshalb sei es auch wichtig, den richtigen Mix zu finden, der zur Kultur des jeweiligen Unternehmens passt, unterstreicht Roland Hürlimann, CIO von Rittmeyer und der BRUGG GROUP, der den Prozess gemeinsam mit Michel Herzog etabliert hat. Was laut dem Sicherheitsberater oft missverstanden wird: Trotz der Zertifizierung darf ein Unternehmen Lücken in der Sicherheit zulassen. Es gehe vor allem um einen bewussten Entscheid des Management-Teams, wie man mit einem Risiko umgehen möchte: «Man kann es reduzieren, akzeptieren, transferieren. Hauptsache nicht ignorieren.» Gut Ding braucht Weile Zwei Jahre bereitete ein bereichsübergreifendes Team aus dem Unternehmen mit externer Begleitung die Zertifizierung vor. Roland Hürlimann: * Grundsatz des Zero-Trust-Modells ist es, keinem Gerät, Nutzer oder Dienst zu vertrauen – weder innerhalb noch ausserhalb des eigenen Netzwerks. Deshalb verlangt dieses Sicherheitskonzept die Authentifizierung aller Anwender und Dienste sowie die Überprüfung jeglichen Datenverkehrs im Netzwerk. → «Bei ISO 27001 geht es nicht nur um die technische Sicherheit von System A oder Computer B. Es geht auch darum, das Bewusstsein von Mitarbeitenden auf allen Ebenen zu ändern.» Michel Herzog, Senior Cyber Security Consultant, Infoguard AG Money, money, money Ein Cyberkrimineller will Geld machen. Er will Daten stehlen, die er danach in Geld umwandeln kann. Die Angriffsmethoden werden immer ausgefeilter und betreffen inzwischen teilweise ganze Lieferketten. Ein mögliches Bedrohungsszenario: Ein Lieferant des Betreibers einer kritischen Infrastruktur wird erfolgreich angegriffen. Der Angriff bleibt monatelang unerkannt, ein kompromittiertes Produkt wird ausgeliefert. In der Zwischenzeit wurden Unmengen an Daten gesammelt, Profile von Mitarbeitenden erstellt, ein gezielter Angriff auf die Anlage wird vorbereitet. In einem ungeschützten Moment schlagen die Täter zu. Im Bereich kritischer Infrastrukturen besonders heikel, da hier nicht nur Daten geschützt, sondern vor allem die Systeme sicher verfügbar sein müssen. Am attraktivsten für Angreifer seien allgemein diejenigen Unternehmen und Personen, die am schlechtesten geschützt sind. Deshalb müsse man die Eintrittsbarriere am ‹Point of Entry› so hoch setzen, dass der Aufwand zu hoch und damit der Angriff weniger lukrativ ist, stellt Michel Herzog klar. Als externer Cyber Security Consultant begleitete er Rittmeyer bei der Einführung eines nach internationalem Sicherheitsstandard ISO/IEC 27001:2013 zertifizierten Informationssicherheits-Managementsystems (ISMS). Wie aber schützen? Mit heute häufig gewünschten Features wie Fernwartung sowie ans Internet angebundene Teilsysteme erhöht sich die Zahl der potenziellen Einfallstore. Deshalb müsse man davon ausgehen, dass man früher oder später erfolgreich angegriffen wird. Entscheidend sei, die Widerstandsfähigkeit mit einer ganzheitlichen Cyber-SecurityStrategie zu stärken, so Herzog.
RkJQdWJsaXNoZXIy NTkxNzY=