Chief Information Security Officer

6 Fragen zum Umgang mit Hackerangriffen

Jeder besitzt etwas, das andere gerne haben würden. Galt damals für Spielzeug, gilt heute für Organisations- und Unternehmensdaten. Das musste auch die Bundesregierung gerade erst schmerzlich feststellen. Ein Chief Information Security Officer (CISO), der die richtigen Fragen stellt, kann das Datenschutzniveau einer Organisation deutlich erhöhen.

Je mehr Informationen online sind, desto mehr Informationen können auch gestohlen werden. Cyberkriminelle profitieren von den gleichen technologischen Vorteilen, die uns im Geschäftsleben und Privatleben begleiten: VPN, Smartphone, Social Media - Technologien, die unser Berufs- wie Privatleben erleichtern, sind gleichzeitig das Einfallstor für den Datenklau.

Cyberkriminalität ist ein Beruf – CISO auch

Aber wer sind sie? Mitzwanziger, verstellte Stimme, in einem abgedunkelten Raum mit Kapuzenpullover sitzend und einer Hand an der Tastatur? Im Fernsehen vielleicht. In der Realität gibt es unterschiedliche Typen von Cyberkriminellen: von solchen mit rein finanziellen Interessen, über staatlich angestellte Hacker oder ideologisch motivierte Akteure bis zu ehemaligen Mitarbeitern mit Rachegelüsten.

Cyberkriminalität ist mittlerweile ein Beruf, dem Organisationen eine neue Jobposition entgegenstellen müssen: die des Chief Information Security Officers (CISO). Dessen Aufgabe besteht natürlich in der Vorbeugung von Datenverlusten, ist damit aber noch lange nicht erledigt.

„Denn es gibt nur zwei Typen von Unternehmen: diejenigen, die bereits gehackt wurden und solche, die es werden“, so Claire Giordano, die beim Storage- und Datensicherungsspezialisten Quantum für das Thema Cybersecurity verantwortlich ist.

Eine Kernaufgabe des CISO besteht im Entdecken von Vorfällen, deren Analyse und Beseitigung. Denn der „normale“ Hacker lässt einen missglückten digitalen Einbruch nur selten auf sich beruhen, sondern probiert zahlreiche Wege, um ans Ziel zu gelangen. Die Planung der Reaktion im Falle einer Attacke (Incident Response Plan) ist also nur clever.

Sicherheitsrelevante Fragen zur Identifikation von Schwachstelle
Der CISO sollte sich folgenden Fragen stellen, um potentielle Schwachstellen in der aktuellen Sicherheitsstrategie zu entdecken und zu schließen:

  1. Wie würden „Sie“ in Ihr Netzwerk einbrechen?
    Der CISO wechselt die Perspektive und kann neue Erkenntnisse bezüglich seiner Sicherheitsstrategie gewinnen.
  2. Läge bei Ihnen eine Sicherheitsverletzung vor, würden Sie es bemerken?
    „Obwohl Unternehmen viel Geld für die Abwehr von Cyberattacken ausgeben, finden sich oftmals dennoch schädliche Codes in ihren Netzwerken. Der Mandiant M-Trends Bericht für Bedrohungen von 2015 beispielsweise belegt, dass zwischen dem ersten Nachweis, dass eine Bedrohung existiert und der endgültigen Entdeckung im Schnitt 205 Tage vergehen. Unternehmen müssen Bedrohungen sehr viel schneller erfassen können“, sagt Claire Giordano, die beim Storage- und Datensicherungsspezialisten Quantum für Cybersecurity verantwortlich ist.
  3. Wann haben Sie zuletzt ihren Incident Response Plan getestet?
    Testen Sie Ihren Incident Response Plan durch Simulationen für den Ernstfall und legen Sie Lücken offen, die Sie schließen können.
  4. Beinhaltet ihr Incident Response Plan Netzwerkforensik?
    Die Raffinesse der Cyberattacken steigt zusehends, weshalb die Aufklärungszeit reduziert werden muss. Mit detaillierten Forensik-Berichten können Notfall-Teams das Ausmaß des Datenmissbrauchs evaluieren und einen Bericht mit Handlungsvorschlägen erstellen, um sich besser gegenüber zukünftigen Angriffen zu schützen. In jeder modernen Infrastruktur sollten Netzwerkverkehrsdaten in Echtzeit erfasst werden, sodass sie für forensische Analysen verwendet werden können.
  5. Wie schnell können Sie die Daten Ihres Netzwerkverkehrs analysieren?
    Wenn Sie die Netzwerkverkehrsdaten gesammelt und gesichert haben, stellt sich die Frage, wie lange eine Analyse dauert. Für manche Netzwerkforensik-Lösungen stellt es eine Herausforderung dar, den aktuellen Datenverkehr zu erfassen und gleichzeitig Analysen durchzuführen. Teilweise arbeiten diese Lösungen dann nicht sauber und vergessen Datensätze, was wiederum das Analyseergebnis beeinträchtigt. Simulationen können die Performancewerte ermitteln.
  6. Wie weit können Sie zurückblicken, um eine Sicherheitsverletzung zu ermitteln?
    Natürlich nützen Ihnen die gesammelten Daten nur etwas, wenn sie in die Zeit vor der Sicherheitsverletzung zurückreichen. Da Verletzungen häufig erst Monate nach der Attacke erkannt werden, wird Dauer der Vorhaltung von Netzwerkverkehrsdaten für die spätere Analyse sicherheits- und erfolgskritisch.

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok