Cyberangriffe gehören zu den komplexesten, häufigsten und schwierigsten Risiken für moderne Unternehmen. Sie ereignen sich heute in einem so rasanten Tempo, dass Unternehmen sich nicht mehr zurücklehnen und darüber nachdenken können, was sie im Falle eines Angriffs tun könnten.
Heute muss der Schwerpunkt auf der Entwicklung anpassungsfähiger und flexibler Ausfallsicherheitspläne liegen, die das Vertrauen in die Fähigkeit Ihres Unternehmens gewährleisten, auf einen (oder mehrere) Angriffe zu reagieren.
Darüber haben wir kürzlich mit Jim Kastle und Mark Eggleston in der siebten Folge der zweiten Staffel des Castellan-Podcasts „Business, Interrupted“ gesprochen.
Kastle ist der Chief Information Security Officer (CISO) von Kimberly-Clark und Eggleston ist der CISO von CSC.
Die beiden sprachen über ihre Gedanken zur Cyber-Resilienz, warum sie wichtig ist und wie sie sich zu einem Muss für alle Unternehmen entwickelt hat.
Die sich verändernde Rolle des CISO
Wenn es um Resilienzmanagement geht, entwickelt sich die Rolle des modernen CISOs ständig weiter.
CISOs können sich heute nicht mehr ausschließlich auf die Technologie konzentrieren. Stattdessen haben sie auch neue Aufgaben, die direkt mit Business Continuity und Katastrophenschutz zusammenhängen.
Diejenigen, die im Bereich der Security Operations Center (SOC) tätig sind, haben es vielleicht schon kommen sehen.
Das liegt daran, dass Sicherheit in vielen Formen auch Resilienz beinhaltet. Dazu gehören auch wichtige Stärken der Resilienz wie die Fähigkeit zur Zusammenarbeit zwischen Teams und Führungskräften sowie die Fähigkeit, gut mit externen Parteien zusammenzuarbeiten.
„Ich denke, der CSO spielt aus vielen Gründen eine wichtigere Rolle als je zuvor“, sagte Kastle. „Viele unserer Auswirkungen auf die Widerstandsfähigkeit in amerikanischen Unternehmen werden durch Cybervorfälle ausgelöst, was automatisch ein Engagement des CSO erforderlich macht; ob Sie nun für Business Continuity oder Katastrophenschutz zuständig sind oder nicht, spielt keine Rolle. Die Probleme sind häufig cyber-getrieben.“
In unserem heutigen Arbeitsumfeld sind die meisten Unternehmen in irgendeiner Form von einem Cyber-Ereignis betroffen, auch wenn es nur indirekt ist. Das ist einer der vielen Gründe, warum es so wichtig ist, dass jedes Unternehmen über effektive Cyber-Response-Fähigkeiten verfügt.
Resilienz-Denken
„Resilienzdenken ist sehr, sehr hilfreich“, erklärt Eggleston. „Sie denken ständig an all die negativen Dinge und können dann anfangen, Hypothesen über bestimmte Kontrollmechanismen und Möglichkeiten aufzustellen, um diese Reaktion zu verstärken oder diese Kontrolle ein wenig stabiler, sozusagen widerstandsfähiger zu machen.
Viele Sicherheitsexperten, insbesondere diejenigen, die zum Beispiel beim Militär gedient haben, verfügen bereits über diese Denkweise. Sie wissen oft schon, wie sie das, was zu tun ist, ausführen und dabei die Ruhe bewahren können.
„Und ich denke, das ist eine sehr, sehr gute und wichtige Sache, wenn man diese Antworten durchgeht“, sagte Eggleston.
Diejenigen, die diese Erfahrung nicht haben, können sie durch Routinetests und Übungen entwickeln.
„Sie sehen, dass viele der Dinge, die da draußen passieren, die Menschen in Stress versetzen, weil Sie Entscheidungen mit sehr begrenzten Informationen treffen müssen“, sagte er. „Und ich denke, dass viele von uns hier wieder glänzen können, weil wir über einen Rahmen verfügen, der uns hilft, einige dieser Entscheidungen zu treffen und die bekannten Unbekannten und die Dinge, die wir tun, einzugestehen.“
Kastle stimmte dem zu und betonte die Wichtigkeit des Bewusstseins und der Fähigkeit, mit effektiver Kommunikation zu reagieren.
„Sie müssen sich über die Kommunikation im Klaren sein und darüber, dass eine Reaktion im Gange ist“, sagte er. „Ich denke, dass etwas, das Mark gesagt hat, entscheidend ist: Sie müssen sofort reagieren.
Und diese Antwort sollte erprobt und bewährt sein und nicht spontan erfunden werden.
„Sich darin zu üben, Entscheidungen mit begrenzten Informationen zu treffen, das wird nie langweilig“, fügte Eggleston hinzu.
Während Sie diese Prozesse durchlaufen, werden Sie wahrscheinlich mehr und mehr Lücken entdecken, die Sie schließen können, bevor es zu einem realen Vorfall kommt.
Effektive Cyber-Reaktionsfähigkeiten
Aber die Vorbereitung auf Cyberangriffe geht über Tests und Übungen hinaus. Ausgereifte Programme sollten auch einige der externen Ressourcen ermitteln, die für eine effektive Cyber-Reaktionsfähigkeit benötigt werden.
Das könnte auch bedeuten, dass Sie ein forensisches Team anheuern. Und warum? Wenn Sie versuchen, ein forensisches Team mitten in einem Vorfall einzuschalten, kann das eine Herausforderung sein.
Es ist auch wichtig, dass Sie die Beziehungen nutzen, die Sie auf dem Weg zu Ihren Kollegen aufgebaut haben, insbesondere zu denen in Ihrer Branche.
„Wir sind nicht die Bastionen des perfekten Wissens und wir sollten voneinander lernen“, sagte Kastle.
Zu den Vorteilen der Zusammenarbeit mit diesen Kollegen gehören auch einige Wettbewerbsvorteile. Sie erhalten beispielsweise Einblicke in die Art der Dinge, nach denen Sie Ausschau halten sollten, so dass Sie im Voraus eine Reaktionsstrategie entwickeln können, anstatt spontan zu reagieren.
Wenn Sie bemerken, dass ein Ereignis im Gange ist, ist dies der entscheidende Zeitpunkt, um eine Reaktion einzuleiten, und nicht, um Ihre Kontakte durchzugehen und herauszufinden, wen Sie kontaktieren und was Sie tun müssen.
„Auf diese Weise sind sie eher in der Lage, sich innerhalb eines engen Zeitrahmens bei Ihnen zu melden“, so Eggleston.
Und vergessen Sie nicht, den Rechtsbeistand in Ihre Planung einzubeziehen, sowohl intern als auch extern.
Es ist auch von Vorteil, wenn Sie die Erwartungen Ihrer Führungskräfte und wichtiger Stakeholder an Ihre Fähigkeiten genau kennen.
„Ich würde dort anfangen und sicherstellen, dass Sie verstehen, woher sie kommen“, sagte Eggleston. „Und was für sie wichtig ist.“
Auch wenn Ihr wichtigster Interessensvertreter einen technologischen Hintergrund hat oder über die neuesten Schlagzeilen zu Cyberangriffen auf dem Laufenden ist, sind die Fragen auf Vorstandsebene oft sehr allgemein gehalten. Sie möchten Antworten auf Fragen wie die folgenden erhalten:
- Wie geht es uns?
- Sind wir besser als unsere Konkurrenz?
- Was brauchen Sie von uns?
- Brauchen Sie sonst noch etwas?
Wenn Sie in der Lage sind, diese Fragen effektiv zu beantworten und die Antworten direkt auf die Strategie Ihres Unternehmens abzustimmen, ist dies ein entscheidender Faktor, um das Engagement und die Unterstützung Ihrer Stakeholder für Ihr Cyber-Response-Programm zu gewinnen.
