Wenn Sie mit der Erstellung einer Sicherheitsstrategie beginnen, sollten Sie sich zunächst Gedanken darum machen, wie Sie sich intern in Ihrem Unternehmen aufstellen und welche Leistungen Sie von externen Dienstleistern beziehen möchten. Hierauf gehen wir in den folgenden Abschnitten kurz ein.
Interne Organisation
Vor allen technischen Fragen steht immer zuerst die Frage nach den handelnden Personen – den Menschen und der Zeit, die einem durch den Sicherheitsvorfall diktiert wird. Betrachten wir einmal den Fall des Angriffs auf den Deutschen Bundestag und die erforderlichen Reaktionen darauf. Das sollte es uns ermöglichen, den Entwurf einer Sicherheits-Organisation für die IT daraus abzuleiten, wie sie eigentlich heute notwendig wäre.
Die Einrichtung der Position eines CISO, der entweder direkt an den Vorstand berichtet oder Teil des CIO-Bereiches ist, ist ein erster Schritt für eine dauerhafte Sicherheitsstrategie. Das gilt für alle Bereiche und eine solche Position sollte ja gerade die Eigenschaft haben, über alle Bereiche zu agieren. Solch eine Position wäre also SAP-unspezifisch und in der Tat werden hier zum ersten Mal in einem Unternehmen die Grenzen zwischen SAP-Bereichen und allen anderen Bereichen der IT verwischt. SAP ist nicht die Königsklasse oder die Ausnahme, sondern ist ein IT-Element, das nach Risiko-Klassen bewertet und eingestuft werden muss. Erst diese Einstufung definiert die Rolle in der Gesamtstrategie der IT-Sicherheit.
Nehmen wir an, ein befreundetes Unternehmen (oder Nachrichtendienst oder eine Medieninformation) verständigt das eigene Unternehmen, dass verdächtige Informationen aus dem Unternehmens-Netzwerk auf kriminellen Servern in Osteuropa liegen. Daraufhin werden in ihrem Unternehmen erste Recherchen unternommen. Die Betreiber der osteuropäischen Server erkennen die Aktivität der Recherche und starten daraufhin einen massiven Distributed-Denial-of-Service-Angriff. Während die Administratoren mit der Abwehr der DDoS-Angriffe beschäftigt sind (die den produktiven Betrieb lahmzulegen droht) werden durch professionelle, schwer zu entdeckende Trojaner-Programme Daten an die Darknet-Server in Osteuropa repliziert.
Die erste Frage ist die nach der Meldung beziehungsweise der Meldestelle. Gibt es in Ihrem Unternehmen eine Stelle, an der so ein befreundeter Informant anrufen kann oder anrufen würde? Wer verwaltet diese erste Anlaufstelle? Und wie schnell würde diese reagieren? Schon an der Frage, wer das initiale Incident Management, also die Fallbearbeitung, übernimmt, scheitern unserer Erfahrung nach viele Unternehmen. Das Bewusstsein, das man auch in der IT prinzipiell bereit sein muss, ist noch nicht sehr weit verbreitet. Einen Werksschutz haben die meisten Unternehmen, und ein physischer Einbruch wird irgendwo bei irgendeinem Sicherheitsdienst einen Alarm auslösen. Bei kleineren Unternehmen wird ein martialisch gekleideter Motorradfahrer vorbeifahren, bei größeren Unternehmen wird umgehend der eigene Wachdienst aktiv.
Aber wer hat eine vergleichbare Rolle in Ihrem Unternehmen in der IT? Das ist die erste Frage, die im Rahmen einer Sicherheits-Strategie geklärt werden muss. Die erste Rolle wäre also die eines Managers, eines Organisators oder eines Incident Managers in einer solchen IT-Organisation. Die zweite Frage ist die nach der Fallbearbeitung. Wer würde sich im oben beschriebenen. Fall um die Weiterbearbeitung kümmern? Welche Gruppe wehrt die DDoS-Kampagne ab, übernimmt die Gegenmaßnahmen, wer sieht sich das verbleibende Netz an, das nun besonders verletzlich ist?
Externe Dienstleister
Viele Unternehmen verlassen sich bei einem Angriff auf externe Unternehmen wie Akamai oder Colt, um DDoS-Kampagnen abzuwehren, vor allem durch Einkaufen zusätzlicher Ressourcen. Aber ein solcher Einsatz ist sehr teuer und muss innerhalb von Minuten aktiviert werden können. So etwas muss geübt sein. Der (hoffentlich dann in Ihrer Organisation existierende) Incident Manager muss also solche Dinge entscheiden und einleiten können.
Die Unternehmen, die Cyber Control Center für einen solchen Fall betreiben, haben oft mindestens drei Leute an einem Tisch sitzen: Einen Techniker für das Netzwerk, einen Administrator für die Systeme und einen Sicherheits-Spezialisten, der den Angriff analysiert und Gegenmaßnahmen vorschlägt. Das wäre eine organisatorische Mindestgröße für die Rollenverteilung in einem solchen Lagezentrum.
Neben der Organisation des Managements des Sicherheitsprogramms müssen also dauerhaft vier Rollen in jeder IT-Abteilung besetzt sein, die operativ jederzeit in eine solche Sicherheits-Situation übernehmen können.
Status Quo feststellen
Am Beginn aller Projekte im Sicherheitsbereich steht wahrscheinlich auch bei Ihnen die Frage nach der aktuellen Position des Unternehmens. In den meisten Unternehmen ist die Institutionalisierung der Sicherheit noch nicht sehr weit fortgeschritten. Initiale, vereinzelte Sicherheitsprojekte werden erst nach und nach zu zentralen Initiativen gebündelt, aus denen sich dann eine nachhaltige Institution im Unternehmen entwickelt. Sichtbarstes Zeichen für die Implementierung einer solchen Organisation ist oft die Einsetzung eines CISO,. Wem genau der CISO berichtet, hängt oft von der Größe des Unternehmens ab.
Eine detaillierte Beschreibung des Aufbaus einer Risiko-Strategie finden sie in meinem Buch über SAP Security
Weitere Informationen zu dem Buch: SAP Systeme schützen
Kommentar hinterlassen
Du musst angemeldet sein, um einen Kommentar abzugeben.