Cyber Risiken mit Indikatoren steuern

10. Juli 2017 in Kategorie IT / Orga / Neue Medien

von
Peter Kaminski
Cyber Security Specialist (CEH, CISA, CRISC), Bereich Operations, Santander Consumer Bank AG


Die Bedrohung durch Cyber Angriffe tritt immer mehr in das Bewusstsein des verantwortlichen Managements in einem Unternehmen. Dazu tragen zum einen bekannte Ereignisse in der Presse bei, wie z. B. die Attacke auf die Nationalbank von Bangladesh im Februar 2016 oder die Veröffentlichung von Benutzerpasswörtern großer Internetkonzerne. Zum anderen haben viele Unternehmen eigene Erfahrungen mit Cyber Angriffen, wie Probleme der Verfügbarkeit von eigenen Webseiten durch Distributed Denial of Service (DDoS) Angriffe.

Gerade Finanzinstitute stehen bei Cyber Attacken in einem besonderen Focus. Dies hat auch der Gesetzgeber erkannt und regulatorische Anforderungen definiert, die von den Finanzdienstleistern beachtet werden müssen. Als Folge werden viele unterschiedliche Maßnahmen implementiert, um das Risiko erfolgreicher Angriffe zu senken. Dabei folgt man anerkannten IT-Sicherheitsstandards, wie dem NIST Cyber Security Framework oder der ISO2700X Familie.

Wie kann jetzt die Wirksamkeit der Maßnahmen überwacht und gesteuert werden? Dies ist generell problematisch, da durch die Implementierung der verschiedenen Maßnahmen der Faktor Sicherheit erhöht werden soll, der aber oft schwierig zu messen ist.

Ansatz mit Indikatoren

Auch wenn die IT-Sicherheit nicht direkt gemessen werden kann, gibt es die Möglichkeit mit Hilfe von Indikatoren Einzelrisiken zu überwachen. Aus den Ergebnissen können notwendige Änderungen in der Implementierung oder Konfiguration von Einzelmaßnahmen abgeleitet werden. Dazu zwei Beispiele:

Mit Obsolescence – Indikatoren wird überwacht, wann der Support für Software, z. B. bei Betriebssystemen, und bei Hardwarekomponenten, z. B. Switches, ausläuft. Je früher das Ende des Supports erkannt wird, desto langfristiger kann ein Ersatz geplant werden. Dies ist wichtig, da je nach IT-Architektur Betriebssysteme oder Netzwerkkomponenten nicht ad hoc gewechselt werden können und man dann in Gefahr kommt, Sicherheitslücken nicht patchen zu können. Zusätzlich kann mit diesen Indikatoren der aktuelle Obsolescence Status angezeigt werden, also wieviel Prozent der Betriebssysteme keinen Support mehr erhalten. Je größer der Wert dieses Indikators ist, desto höher ist das Risiko für eine nicht gepatchte Sicherheitslücke.

Auch für die Rückmeldung im Falle einer Phishing Attacke können Indikatoren eingesetzt werden. Bei Businessprozessen im eCommerce erhalten Kunden bekanntermaßen Phishing Mails, die zur Eingabe von Kreditkartendaten oder PIN/TAN Informationen auffordern. Je höher die Anzahl der Kundenrückmeldungen ist, desto größer erscheint die Gefahr eines erfolgreichen Betrugs. Ähnliches gilt für Mitarbeiter: Je mehr Rückmeldungen zu eingegangenen und entdeckten Phishing Mails beim IT-Security Bereich eingehen, desto größer scheint das Risiko eines Datenverlustes.

Schwierigkeiten beim Einsatz der Indikatoren

Probleme bereitet nun die Interpretation der Ergebnisse. Im Fall des Indikators zum Obsolescence Status erhält man einen prozentualen Wert zum Anteil obsoleter Systeme. Als Beispiel wird die Gesamtanzahl von 100 betrachteten System angenommen. Gibt es hier einen Wert von lediglich fünf obsoleten Systemen, stellt dies einen guten Wert dar und das Risiko scheint gering.

Bei näherer Betrachtung könnten sich diese 100 Systeme in 90 Fileserver und zehn Webserver mit Schnittstelle zu externen Netzwerken aufteilen. Sind von den letzteren fünf obsolete, so stellt sich das Risiko ganz anders dar. Während der Obsolescence Wert für die Fileserver grün ist, sind bei den Webservern die Hälfte ohne Support und das Risiko einer ausnutzbaren nicht patchbaren Sicherheitslücke ist sehr groß. Der Indikator wäre hier rot. Diese Differenzie-rung wird mit dem ursprünglich definiertem Indikator aber nicht deutlich und die Dringlichkeit des Handlungsbedarfes unter Umständen nicht erkannt.

Auch im Beispiel des Indikators zur Anzahl von Rückmeldungen im Falle einer erhaltenen Phishing Mail ist die Interpretation zunächst unklar. Eine hohe Anzahl an gemeldeten Fällen kann unterschiedliche Ursachen haben, die jeweils einen anderen Handlungsbedarf erzeugen:

  1. Die Anzahl der Rückmeldungen durch Mitarbeiter ist größer, da die internen Awareness Kampagnen erfolgreich waren und im Vergleich zu früher die Notwendigkeit einer Meldung an den IT-Sicherheitsbereich deutlicher geworden ist.
  2. Unabhängig vom eigenen Unternehmen, hat es eine weltweite große Phishing Attacke gegeben. Dies führte zu vermehrten Phishing Mails, die durch die Phishing Filter noch nicht erkannt wurden.
  3. Die Konfiguration der internen Anti- Phishing Systeme ist geändert geworden, sodass mehr Phishing Mails beim Mitarbeiter ankommen.

Die verschiedenen Ursachen zeigen, dass eine vorschnelle Beurteilung vermieden werden sollte. Dies gilt erst Recht, wenn aggregierte Indikatorwerte über Farben (Grün, Gelb; Rot) dargestellt werden.

Zusammenfassend gilt, dass mit gut gewählten Indikatoren sowohl die Überwachung von Einzelrisiken als auch die Steuerung entsprechender Maßnahmen möglich ist. Voraussetzung ist, dass Maßnahmen nicht auf der Grundlage eines veränderten Indikatorwertes initiiert werden, sondern auf den Ergebnissen einer Ursachenanalyse.

PRAXISTIPPS

  • Überlegen Sie genau, was Sie messen wollen. Reicht ein aggregierter Wert, muss man ins Detail gehen oder nimmt man eine Mischung aus beiden? Die Definition eines Indikators hängt sicherlich auch vom Empfänger ab. Das Management wird andere Indikatoren erhalten als die für die Administration Verantwortlichen.
  • Prüfen Sie regelmäßig, ob der Indikator in der definierten Form hilfreich ist oder geändert werden muss. Eine Einführungsphase kann helfen, vorab Mängel in der Definition zu erkennen. Wichtig bei der Einführung ist auch, ob die Daten, die zur Berechnung des Indikators benötigt werden, regelmäßig geliefert werden können.
  • Indikatoren geben nur Hinweise – kein Indikator ersetzt eine professionelle Analyse.

SEMINARTIPPS

BUCHTIPP

Lars Weimer

Bearbeitungs- und Prüfungsleitfaden: Datenschutz, IT-Sicherheit & Cyberrisiken
4. Auflage

Erscheinungstermin: 15.01.2017
Umfang: 466 Seiten
Preis: € 89,-
ISBN: 978-3-95725-032-2
Hier erhalten Sie weitere Infos zum Buch und die Möglichkeit zur Bestellung im Online-Shop

 

______________________________________________________________________________________

Dieser Beitrag ist erschienen im Newsletter Banken-Times SPEZIAL IT/Orga/Neue Medien ,
Ausgabe Juni 2017
.
(Kostenlose) Bestellung möglich unter http://www.fc-heidelberg.de/bankentimes
_______________________________________________________________________________________

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Comment

Folgende HTML Tags und Attribute können verwendet werden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>