Schützen Sie Ihre Digital Assets: Die Rolle von Cybersecurity in einer digitalen Welt

Innerhalb von 2 Jahren hat sich die Zahl der Personen, die im Homeoffice arbeiten nahezu vervierfacht.

Während im Jahr 2019 noch 12,8% aller Erwerbstätigen in Deutschland aus dem Homeoffice arbeiten (siehe statistisches Bundesamt), sind es heute – auch getrieben durch die COVID-19 Pandemie – schon etwa 45 % (siehe BitKom). Einige Firmen haben bereits eine deutliche Steigerung der Arbeit im Homeoffice angekündigt. Andere kündigen Ihre Büros sogar vollständig und setzen zu 100% auf Homeoffice. Wir erwarten, dass das Homeoffice bleiben wird. Flächendeckend ist die Wirtschaft Mitte April 2020 stark ins Stocken geraten, was sich u.a. durch den teilweise eher schwerfälligen Wechsel des Arbeitsmodus von Onsite auf Homeoffice erklären lässt. Während digitale Champions diese Umstellung in wenigen Tagen meisterten, hatten andere Unternehmen auch Monate nach dem ersten Schock die Umstellung nicht gänzlich geschafft.

Ein zentraler Grund hierfür ist, dass keine ausreichenden Konzepte zum Austausch sensibler Daten vorliegen und oftmals die dafür benötigte Infrastruktur nicht vorhanden ist. Unternehmen, die trotz fehlender Sicherheitskonzepte Remotearbeit ermöglichen wollten, haben ihre Tore für zahlreiche Angriffe geöffnet. Und die Gefahr ist sehr real, insb. für prominente Organisationen: so verzeichnete etwa die World Health Organisation einen Anstieg der Cyber-Angriffe um ca. 500% im Jahresvergleich (ETCIO). Die aktuelle Krise zeigt, dass eine Digitalisierungsstrategie auch ein umfassendes Cybersecurity-Konzept erfordert.

Dieser Beitrag zeigt die Kernelemente eines umfassenden Cybersecurity-Konzepts. Die Erfahrung aus zahlreichen Projekten lehrt, dass menschliche (People-Centricity) sowie technologische Perspektiven (Digital Workplace) berücksichtigt werden müssen.

People-centricity: Der Mensch als Experte und Nutzer im Mittelpunkt des Cybersecurity-Konzepts

Digital Champions schaffen es, ihre IT-Sicherheitsbeauftragten als Enabler und weniger als Kontrollinstanz zu nutzen. Ihre wichtigste Aufgabe ist, das Bewusstsein für Cybersecurity zu fördern und das Konzept in der Organisation zu festigen. Ein personenzentriertes und befähigendes Cybersecurity-Konzept lässt sich durch drei Bausteine etablieren.

Awareness: Schaffen Sie ein umfassendes Bewusstsein für potenzielle Bedrohungen und Präventionsmaßnahmen in der Organisation

Die Nachhaltigkeit von Security-Maßnahmen hängt von der Unterstützung der Mitarbeiterinnen und Mitarbeiter ab. Der personenzentrierte Ansatz erfordert, dass alle hinsichtlich potenzieller Cyber-Bedrohungen und passenden Präventionsmaßnahmen, sowie der Erkennung und Meldung von Bedrohungen, geschult sind. Die Bewusstseinsförderung geht über ein einmaliges Training hinaus. Da sich Cyber-Bedrohungen und Sicherheitsmaßnahmen ständig ändern, muss auch entsprechend regelmäßig geschult werden.

Agility: Betten Sie Cybersecurity in agile Konzepte ein

Ein wichtiges Unterscheidungskriterium von digitalen Champions ist die hohe Autonomität und Entscheidungsbefugnis der Entwicklerteams. Der Cybersecurity wird hingegen in agilen Konzepten oftmals eine zu geringe Priorität zugeschrieben. Der Wunsch nach schnellen Durchlaufzeiten sowie die große Anzahl paralleler Projekte befeuern diesen Eindruck. Sicherheit darf kein Bremser oder Verhinderer von Veränderungen sein und Sicherheitskonzepte müssen sich entsprechend weiterentwickeln. Sie sollten von Projektbeginn integriert sein, z.B. indem man Cybersecurity-Experten in Sprints als Teil des Entwicklungsprozesses miteinbezieht (z.B. „DevSecOps“). Zudem werden in agilen Teams einzelne Entwickler zu Security-Beauftragten geschult, um Sicherheitsanforderungen im Entwicklungsprozess kontinuierlich sicherzustellen. Ganz gemäß dem Ansatz Security-by-Design.

End-to-End: Binden Sie Cybersecurity-Konzepte in den End-to-End IT-Produktlebenszyklus ein

Wenn Sie neue Produktentwicklungen planen, ziehen Sie die Security bereits in der Designphase mit ein, denn ein sicheres Design fördert ein sicheres Produkt. Indem Sie Security-by-Design Prinzipien folgen, fördern Sie sichere Produkte und minimieren Angriffsfläche für und auch Folgen von Cybersecurity-Angriffen. Sie ermöglichen so ein sicheres Wachstum und senken Kosten, sodass sich die Aufwände, die durch zusätzliche Security-Maßnahmen entstehen, gut begründen lassen.

Die Anwendung von Security-by-Design kann vom kontinuierlichen Testen und permanenter Überwachung der Software-Entwicklung bis hin zur gleichzeitigen und automatischen Identifizierung risikoreicher Programmierpraxis gehen.

Digital Workplace: Moderne Technologien und Infrastrukturen als Abwehrschild gegen Cyber-Angriffe

Neue Arbeitsformen, wie Remotearbeit oder Homeoffice-Angebote, stellen ein Einfallstor für Cyber-Angriffe dar, wenn die genutzten Anwendungen und Technologien veraltet sind. Gute, moderne Technologien bieten Möglichkeiten Bedrohungen und Angriffsmuster frühzeitig automatisiert zu erkennen und abzuwehren. Die folgenden drei Empfehlungen helfen, die neuen Technologien zu nutzen.

Predict, Monitor & Respond: Nutzen Sie SOC / SIEM zur Analyse von Sicherheitsereignissen und Bedrohungen

Ein Security Operations Center (SOC), ausgestattet mit Security Information and Event-Management-Software (SIEM), ermöglicht eine umfassende Analyse von Sicherheitsereignissen zur Erkennung von Bedrohungen und Anomalien.

Eine vollständige Verhinderung von Angriffen ist unrealistisch. Umso wichtiger ist es, neue Bedrohungen so schnell wie möglich zu identifizieren. Ein SOC/SIEM hilft bei der Lokalisierung von Sicherheitsereignissen. Mit der Anwendung von bspw. Machine Learning lässt sich das SOC/SIEM weiter ausbauen, indem wiederkehrende Angriffsmuster gelernt und automatisiert erkannt werden.

Smart Security: Verwenden Sie automatisierte Security-Systeme

Durch die Automatisierung möglichst vieler Security-Systeme und -Prozesse wird die Arbeitsbelastung der Security-Expertinnen und -Experten gesenkt und deren wertvolle Kapazität für wertstiftende Aktivitäten freigesetzt. Automatisierte Software-Updates zum Patchen von Sicherheitslücken sparen nicht nur wertvolle Arbeitszeit, sondern reduzieren auch das Zeitfenster für Angriffe erheblich.

Secure Digital Workplace: Fokussieren Sie sich auf die Dimensionen Tools, Daten, Zugriffe und Verhaltensweisen

Das Arbeiten aus dem Homeoffice bleibt weiterhin so gefragt wie noch nie zuvor und viele Unternehmen weiten ihr Angebot eines sogenannten Digital Workplaces langfristig stark aus. Der Faktor Mensch ist und bleibt die größte Schwachstelle bei Cybersecurity-Angriffen, was sich durch die Entwicklung hin zu individuelleren Digital Workplaces noch stärker auf die Sicherheit auswirken wird. Wir sehen vier Dimensionen, um die Gefahren des Homeoffice zu reduzieren: Tools, Daten, Zugriffe und Verhaltensweisen. (Weitere Details zum Digital Workplace und den vier Gefahren, finden Sie in unserem verwandten Blogpost zum Digitalen Homeoffice)

Fazit

Damit die genannten Sicherheitsmaßnahmen nachhaltig umgesetzt und gelebt werden können, ist es notwendig die Bedeutung von Security für eine Organisation zu verinnerlichen. Dies erfolgt idealerweise durch die Einbeziehung in die IT-Strategie. CIOs sollten Cybersecurity als zentralen Bestandteil der IT-Strategie verstehen, ausgestattet mit angemessenen Mitteln für Governance, Prozesse und technologische Implementierung von Sicherheitsmaßnahmen.

Vielen Dank an Christian Jentsch, Marius Fischer und Tom Kussmann für die Zusammenarbeit beim Schreiben des Artikels.