Auf dem Höhepunkt der Gesundheitskrise mussten die Unternehmen ihre Bemühungen auf den Fortbestand ihrer Tätigkeiten konzentrieren, auch auf die Gefahr hin, sich einige Freiheiten in Bezug auf Cybersicherheit zu nehmen. Wie kann man in einem Sturm flexibel bleiben, ohne die digitale Sicherheit aufs Spiel zu setzen? Wie können wir den Risiken der Cyberattacken für Organisationen vorbeugen? Und vor allem: Wie planen wir für die Zukunft? Antwortelemente.
Auswirkungen der Gesundheitskrise im Cyberspace
Die Gesundheitskrise hat Millionen Beschäftigte zur Telearbeit gedrängt, mit einer explosionsartigen Zunahme der Nachfrage nach Fernzugang und VPN. „Mit der Krise wurden alle von einem Tag auf den anderen in die Telearbeit gestürzt, mit Infrastrukturen, die der Performance nicht standhielten“, erklärt Alain Dupont, Customer Service Director von Stormshield. „Wir hatten in den letzten beiden Märzwochen 30 % mehr Aktivitäten, darunter Anfragen von Netzwerk- und Systemadministratoren, die über Nacht Fernzugriffe einrichten mussten“, sagt Farid Ichalalène, Technical Support Manager von Stormshield.
Aber angesichts der Dringlichkeit mussten die CISOs auch Kompromisse bei der Sicherheit eingehen, sie sogar verändern. Sie haben zum Beispiel mehr Zugriffe eröffnet, Remote-Desktops eingerichtet, ohne alle üblichen IT-Sicherheitsverfahren anwenden zu können und ohne eine vorherige Risikoanalyse durchzuführen. Geringere Wachsamkeit und digitale Unschärfe kommen Cyberkriminellen zugute, um sich in Netzwerke einzuschleusen und sensible Daten zu holen.
Zu den am stärksten betroffenen Strukturen gehören diejenigen, die Telearbeit noch nie oder nur selten genutzt haben und daher nicht auf dem Laufenden waren über die organisatorischen Verfahren zum Schutz von Informationssystemen in einem solchen Kontext. Bei Regierungen, Ministerien, Gemeinden, Verbänden, Gesundheitsinstituten, Körperschaften und anderen sensiblen öffentlichen Stellen wurden während dieser Gesundheitskrise die IT-Systeme auf eine harte Probe gestellt. Und ihre digitale Anfälligkeit zeigte sich deutlich. Die Beispiele sind international. Wir führen hier nur Deutschland an, wo das Bundesland Nordrhein-Westfalen einen Phishing-Angriff erlitt und mehrere zig Millionen Euro verlor, und die Vereinigten Staaten, wo Hacker, wie vom FBI und der CISA behauptet, aktiv gegen Agenturen vorgegangen sind, die an der Forschung gegen Covid-19 beteiligt sind. In Frankreich scheinen es die KMU zu sein, die am stärksten betroffen sind - in der Regel mit einem hohen Lösegeld (ransomware). Überall hat die Covid-19-Epidemie Schwachstellen in den Computer- und Betriebsnetzwerken von Unternehmen und lokalen Behörden, in ihren speziellen Anwendungen und in den Terminals der Mitarbeiter aufgedeckt.
Wir hatten tatsächlich einen Pandemieplan in den Schubladen, der seit Jahren schlief... aber nichts hatte uns darauf vorbereitet.
„Heute sind wir dank der Implementierung von BCP-BRP (Business Continuity Plan)-Verfahren in der Lage, die Verfügbarkeit von Informationssystemen z.B. bei Naturkatastrophen oder bei Brand in einem Rechenzentrum aufrechtzuerhalten. Wir hatten tatsächlich einen Pandemieplan in der Schublade, der seit Jahren schlief... aber nichts hatte uns darauf vorbereitet“, erklärt der CISO eines großen Industriekonzerns.
Die Dringlichkeit einer guten Diagnose
Die Rückkehr zu einer nahezu normalen Situation scheint zwar in kleinen Schritten zu erfolgen, aber dieser Zeitraum scheint für eine ordnungsgemäße digitale Autopsie günstig zu sein. Zum Zeitpunkt der Gesundheitskrise hatten wir geraten, alle Ausnahmeregelungen, die zu ihrer Infragestellung eröffnet worden waren, ordnungsgemäß zurückzuverfolgen. Es ist daher an der Zeit, eine Bestandsaufnahme zu machen und sich die Zeit dafür zu nehmen. Nachdem die Akzeptanzphase abgeschlossen ist, erscheint es logisch, zur Inspektions- und Überprüfungsphase überzugehen. Die CISOs müssen nun eine mehrstufige chirurgische Untersuchung mit Erkennen und Entfernen von Infektionsherden sowie Abhilfe durchführen. Und bei strukturellen Mängeln in der Architektur muss eine Überholung der IT-Infrastruktur (sowie ihres Gegenstücks im Betriebsuniversum, der OT-Infrastruktur) vorgenommen werden. Eine andere Größenordnung von Investitionen hier. Das letztendliche Ziel ist es, die Kontrolle über Daten und Zugangssysteme nachhaltig wiederzuerlangen. Die Hacker haben zwar den allgemeinen Ansturm im Zusammenhang mit der Coronavirus-Krise genutzt, scheinen aber keine neuen Formen von Cyber-Bedrohungen geschaffen zu haben. Sie haben einfach ihre Angriffe dem Kontext der Umgebung angepasst.
Für Farid Ichalalène gibt es natürlich vernünftige Reflexe, wie zum Beispiel „nur die notwendigen Zugriffe je nach Abteilung zu genehmigen“. F&E- oder Buchhaltungsabteilungen werden beispielsweise insbesondere nicht denselben Bedarf haben. Vielleicht einfacher zurück zu den Grundlagen. Was wäre, wenn man die Mitarbeiter zu ihrem eigenen Wohl in Zaum halten müsste? Die Frage ist offen... „Ich halte es für unerlässlich, die Infrastruktur zu bereinigen, die aufgrund der Menge der Technologien und Lösungen, die sie bieten, zu komplex geworden ist. Darüber hinaus sehen wir, dass sie nicht unbedingt über die menschlichen Kompetenzen verfügen, die für ihr reibungsloses Funktionieren erforderlich sind. Die Verwendung von Sicherheitsüberlagerung ist in diesem Sinne problematisch: Wir werden zu einfacheren Dingen zurückkehren müssen, um eine bessere Kontrolle zu ermöglichen. Selbst wenn es nur darum geht, eine Sicherheitsstelle einzurichten, um Vorfälle schnellst möglich aufzudecken und den Cyberkriminellen auf lange Sicht keine Möglichkeit zu geben, sich dort dauerhaft anzusiedeln“, fügt der Industrie-CISO hinzu.
Sich für eine ordentliche digitale Hygiene entscheiden
Die Verallgemeinerung der Telearbeit macht die Aufgabe der CISO komplexer: Diese neue Situation muss in die Sicherheitspolitik der Unternehmen integriert werden, und mit ihr muss die ISD ihre Strategie der Systemanpassung fortsetzen Zuerst sollte die Covid-19-Pandemie nicht als Ausnahme betrachtet werden: Für den Fall einer neuen kritischen Periode müssen die IT-Strukturen bereit sein, mit den richtigen Antworten und entsprechenden Werkzeugen, um sie zu gegebener Zeit zu unterstützen. Es geht jetzt darum, schnell und unter zufriedenstellenden Zuverlässigkeits- und Sicherheits-Bedingungen auf Anfragen nach Fernzugang reagieren zu können. Diese besondere Phase der intensiven Telearbeit sollte bis zum Ende des Jahres andauern und sich in Zukunft weiter verallgemeinern. Dabei ist die Notwendigkeit, die Mitarbeiter bei den neuen Bedürfnissen und Nutzungen im Zusammenhang mit der professionellen Mobilität zu unterstützen – Videokonferenz-Tools und die Frage ihrer Sicherheit sind ein Beispiel unter anderen.
Der CISO muss jeden Tag mit neuen Herausforderungen rechnen und sich auf morgen vorbereiten. Der komplexeste Teil laut CISO des großen Industriekonzerns: „Der CISO musste, manchmal ohne die Wahl zu haben, Abweichungen von der Sicherheitspolitik des/der Informationssystem(e) (ISSP) validieren, die er selbst jahrelang aufgebaut hatte, um ein Minimum an Sicherheit zu gewährleisten. Wenn die Mitarbeiter die Möglichkeit bekommen, an ihren Arbeitsplatz zurückzukehren, muss er ihren Handlungsspielraum reduzieren und notwendigerweise den offenen Zugang zur Außenwelt beschränken. Es ist denkbar, dass dieses Zurück kompliziert wird, weil viele der Ansicht sein werden, dass diese außergewöhnlichen Maßnahmen zur Regel geworden sind. Bei all den nachzuholenden Verpflichtungen muss jeder neue Antrag auf Zugangsberechtigung auf Voruntersuchungen beruhen. Frage: mit welchem Budget? Auch wenn einige Anbieter während der Krise ihre Dienste kostenlos anboten, dürfen wir nicht vergessen, dass in all der Eile viele VPN-Zugänge gekauft wurden, ohne die Zeit zu haben, mit verschiedenen Anbietern über Preise zu verhandeln.“
Komplikationen, die den allgegenwärtigen Stress der CISOs in den letzten Jahren noch vergrößern.
Ihr IT-Budget überdenken, um gesund zu bleiben
Seit einigen Jahren sind sich die Führungskräfte des Cyber-Risikos stärker bewusst, häufig hervorgehoben durch digitale Transformationsprojekte. Und noch mehr mit der Gesundheitskrise. Aber bis heute sind die wirtschaftlichen Auswirkungen der Gesundheitskrise auf die IT- und Cybersicherheits-Branche reine Spekulation.
Überraschenderweise sagen 40 % der IT-Entscheidungsträger in Deutschland, den Vereinigten Staaten, Frankreich und Großbritannien, sie wollen ihr Budget für Cybersicherheit kürzen, um die finanziellen Auswirkungen der Covid-19-Krise zu begrenzen. Die CESIN-Mitglieder, alle aus großen französischen Unternehmen und Verwaltungen, legen ähnliche Zahlen vor, wobei fast ein Drittel der Befragten einen Rückgang des Cyberbudgets angeben. Aber ein anderer mehrheitlicher Teil ist optimistischer: für fast 48 % der Befragten sollte das Budget für Cybersicherheit nicht von der Krise betroffen werden. Und nach derselben Umfrage sehen fast 20 % sogar eine Erhöhung ihres Budgets für Cybersicherheit.
Es ist eine Sache, in Telearbeit zu gehen, aber es ist etwas anderes, das gleiche Maß an Sicherheit zu bieten, wie man es in der Unternehmenswelt hätte.
Alain Dupont, Kundenservice-Manager Stormshield
„Es besteht die Gefahr eines erneuten Lockdowns und damit die Notwendigkeit der Telearbeit. Die Entscheidungsträger berücksichtigen dies nun in ihren IT- und IT-Sicherheitsprojekten“, sagt Farid Ichalalène. „Auch wenn einige Investitionen als Kosteneinsparungsmaßnahme überprüft werden könnten, werden die Cyberbudgets beibehalten, aus dem guten und einfachen Grund, dass es eine Sache ist, Telearbeit zu leisten, aber eine andere, das gleiche Sicherheitsniveau zu garantieren, als wenn man in der Firma ist“, sagt Alain Dupont. Das Budget muss neu zugeordnet werden, und einer seiner Teile muss für bessere Ausbildung und Sensibilisierung der Mitarbeiter verwendet werden. Franck Nielacny, CIO von Stormshield, bezeugt: „Selbstverständlich sind unsere Mitarbeiter erfahren im Umgang mit digitalen Tools, was es vereinfacht. Deshalb müssen wir auch unseren Teams vertrauen, sie sind anpassungsfähig und verfügen über Resilienz“.
Und oft ist es gerade in schwierigen Momenten so, dass jeder sein Bestes zum Ausdruck bringt: Franck Nielacny beschreibt eine sehr schöne Solidaritäts-Erfahrung innerhalb seines Teams, mit dem Wunsch, „als Team zu arbeiten und unsere Reaktivität und unseren Sinn für den Service bei unseren internen Kunden zu bestätigen“. Seien wir ehrlich: das Leben der Unternehmen geht weiter...
