Information Security Governance
Aggressive Attacken im Web
 

Um sich gegen die zunehmende Kriminalität im Cyberspace zu schützen, ist neben ausgereiften technischen Lösungen vor allem eine klare Managementstrategie entscheidend. Einen praxisnahen Leitfaden hierzu bietet die Security Governance. Sie bündelt und koordiniert alle operativen und organisatorischen Aktivitäten und sorgt so für einen schlüssigen Handlungsansatz. Der Chief Information Security Officer (CISO) ist hier die zentrale Schnittstelle zu den Fachabteilungen. Seine Aufgabe besteht darin, ein maßgeschneidertes Regelwerk zu etablieren, das das Unternehmen rund um die Uhr schützt.

Gerade Banken und andere Finanzdienstleister stehen aufgrund ihrer herausgehobenen öffentlichen Stellung im Fokus von Angreifern, die bei ihren Attacken auf die IT-Infrastruktur verstärkt auf verteilte und großflächig angelegte Muster setzen. Eine besondere Herausforderung für die Abwehr stellen vor allem so genannte verteilte Attacken auf die Verfügbarkeit der Dienste (Distributed Denial of Service) dar. Ins Visier rücken aber auch internetbasierte Anwendungen, deren Schwachstellen Angreifer über Web Application Hacking ausnutzen, um sich Zugang ins Unternehmensnetzwerk zu verschaffen (Abbildung 1). Angriffstechniken entwickeln sich weiter Angriffe verbreiten sich einerseits auf gesellschaftlicher Ebene über das Phänomen „Hacktivismus“, andererseits nutzen Angreifer den technischen Fortschritt. Die Akteure verfeinern ihre Angriffstechniken quasi im Stundentakt. So werden mittlerweile gezielt Schwachstellen in der Bearbeitung von Suchanfragen dazu genutzt, um teilweise anspruchsvolle Denial-of-Service- Angriffe auszuführen, die den Amateurstatus längst hinter sich gelassen haben. Szenarien, bei denen die Erpressung von „Schutzgeld“ eine maßgebliche Rolle spielt, sind bereits zur traurigen Realität geworden. Eine Vorfilterung von Anfragen durch eine Web Application Firewall, die auf einer weltweit verteilten Plattform aufsetzt, kann hier erste Abhilfe schaffen. Sie bildet die erste Verteidigungslinie. Gefragt sind dabei Partner, die sich der Ausgestaltung eines ganzheitlichen Schutzrings widmen, der weit über die Unternehmensgrenzen hinaus reicht, also die gesamte IT-Infrastruktur einschließlich Partner, Zulieferer und Kunden erfasst. Dabei ist es möglich, eine effektive Sicherheitszone zur Abwehr von Attacken auf Websites und Applikationen zu schaffen und gleichzeitig die Performance, Skalierbarkeit und Verfügbarkeit von Internetdiensten zu steigern. Die Voraussetzung dafür ist jedoch, dass die (hoch)verfügbaren Dienste im Netz mit der rasanten technologischen Entwicklung Schritt halten. Denn es ist notwendig, dass sich diese Services beschleunigen lassen, um gerade auch den Anforderungen des Kunden im Hinblick auf Skalierung nachkommen zu können. Dabei liegt die Akzeptanzgrenze hinsichtlich der vollständigen Ladezeit einer Website auf Kundenseite bei unter drei Sekunden. Mit anderen Worten: Die Funktionsfähigkeit einer Website sollte sich mit der passenden Lösung erhöhen lassen, ohne dass diese Erweiterung zu Lasten der Sicherheit oder Performance geht. Kurzum, ein klar erkennbarer geschäftlicher Vorteil für Unternehmen liegt darin, Sicherheit und Beschleunigung effektiv zu kombinieren. Der Lösungsanbieter hat die Aufgabe, im Rahmen eines schlüssigen Gesamtkonzepts einen finanziellen Mehrwert nachzuweisen.

Management Cockpit verschafft Überblick
Fest steht aber auch: Allein mit den bisherigen Patentrezepten lässt sich der immer professioneller agierenden „Cybercrime-Industrie“ kaum mehr beikommen. Deshalb sollte die Bereitstellung von Dienstleistungen im Internet durch Unternehmen von einem Konzept zum Schutz der IT-Infrastruktur begleitet werden. Nur so lassen sich langfristig wirksame Rezepte entwickeln, um das Internet als Geschäftsplattform fundiert gegen unterschiedlichste Angriffe abzusichern. Um der neuen Bedrohungslage im Netz Herr zu werden, empfiehlt es sich, ein zuverlässig arbeitendes Regelwerk zu erstellen, das sich auf sämtliche, als schützenswert klassifizierte Daten richtet. Die Information Security Governance führt die Aktivitäten aller relevanten Einheiten (organisatorisch, operativ und strategisch) zusammen. Sie schafft so ein stimmiges und proaktives Bollwerk, das idealerweise skaliert und weltweit wirksam ist. Die bisherige starke Fokussierung auf zentrale Bankprozesse, interne Backend-Systeme und Datenverarbeitung sowie der ständig steigende Druck im Hinblick auf Kostensenkugen in der IT erschweren es jedoch den Banken, sich auf die neue Bedrohungsqualität im Netz einzustellen. Dies führt zu der Erkenntnis, dass gerade die das Kerngeschäft bedrohenden Risiken noch nicht immer in dem erforderlichen Ausmaß im Bewusstsein der Entscheidungsträger angekommen sind. Sie schlagen sich dann auch nicht im alltäglichen Verhalten nieder. Dabei ist ein vorausschauender Umgang mit dem Cybercrime elementar. Gefragt sind statt einer unbeweglichen monolithischen Infrastruktur deshalb kleine und schlagkräftige Einheiten, die innerhalb eines intelligenten Plattformkonzepts jeder noch so verdächtigen Bewegung im Netz in Echtzeit begegnen können. Es gilt die Prämisse, jenseits von blindem Technikglauben an die eigene Hard- und Software-Ausstattung, einen zuverlässigen Schutzschild um die gesamte IT-Infrastruktur herum aufzubauen, was eine Architektur aus vernetzten und intelligent operierenden Systemen erfordert. Beim Aufbau der mit dieser Aufgabe verbundenen technischen Schutzmechanismen reicht es außerdem keineswegs aus, entsprechende Arbeitsanweisungen an die mittleren oder gar unteren operativen Einheiten im Unternehmen zu delegieren. Hier ist die Geschäftsleitung gefordert, einen tragfähigen Entwicklungspfad zur Gestaltung der unternehmensweiten Information Security Governance zu etablieren. Dieser muss auch Partner, Kunden und Zulieferer mit einbeziehen. Diese Aufgabe übernimmt der Chief Information Security Officer (CISO). Etablierung eines effektiven Schutzschilds Beim Aufbau eines wirksamen Sicherheitssystems ist zunächst das rechtliche Umfeld zu beachten. Gemäß neuer Mindestanforderungen an das Risikomanagement (MaRisk) könnte eine Nichterfüllung von formulierten Vorgaben dazu führen, dass der Versicherer die Zahlung im Schadensfall verweigert. Zudem drohen weitere, haftungsrechtliche Konsequenzen. Das neue, von der Bundesanstalt für Finanzdienstleistungsaufsicht (Ba-Fin) zum 1. Januar 2013 verabschiedete Regelwerk weist darauf hin, dass die Leitung der Risiko-Controlling-Funktion einer Person mit einer ausreichend hohen Führungsposition zu übertragen sei. Zugespitzt formuliert bedeutet dies, einen eigenständigen Risikovorstand (Chief Risk Officer, kurz: CRO) auf Geschäftsleitungsebene zu etablieren. Die Aufgaben, die auf den CISO in Verbindung mit dem Top-Management zukommen, lassen sich mit Blick auf die im Fokus stehenden operationalen IT-Risiken wie folgt beschreiben: Der Chief Information Security Officer bildet in enger Abstimmung mit dem Chief Risk Officer die zentrale Schnittstelle, bei der alle Fäden zusammenlaufen. Bei ihm gehen nicht nur Berichte über die aktuelle Bedrohungslage und neue Angriffsmuster ein, der CISO fungiert auch als Verbindung zum Risikovorstand. Der CISO trägt somit gleichfalls die Mitverantwortung für die Aufrechterhaltung des Geschäftsbetriebs. Dies reicht bis hin zur Planung der IT-Budgets, wobei diese Einbindung sowohl das unternehmensweite Risikomanagement als auch die konsequente Umsetzung von Compliance-Vorgaben und anderen gesetzlichen Regularien wie Basel III umfasst. Dementsprechend muss ein Budget für alle relevanten Fachabteilungen bereitgestellt werden. Dies erfordert exakt zugeschnittene und ineinandergreifende Verantwortlichkeiten. Für den CISO und CRO sollten regelmäßige Treffen zur Abstimmung zur Routine gehören.Um neuartige Bedrohungen (zum Beispiel aus dem Internet) meistern zu können, sollte die Geschäftsleitung eine Stabsstelle oder einen definierten Fachbereich mit Überblick und Weisungsbefugnis in allen Fach-, Organisations- und Geschäftsabteilungen einrichten. Wichtig ist hierbei, dass diese Abteilung in der Lage ist, sehr schnell auf Veränderungen zu reagieren. Festlegung der

Roadmap durch CISO und CRO
Ein vorausschauendes, möglichst engmaschig gespanntes Sicherheitsnetz kann nur dann seine volle Wirkung entfalten, wenn die Verantwortlichen es von vornherein in ihre Überlegungen mit einbeziehen und den Arbeitsalltag dementsprechend ausrichten. Um mit der veränderten Bedrohungsqualität Schritt halten zu können, muss das Aufgabenfeld des Chief Information Security Officers um neue risikostrategische Elemente erweitert werden. Eine leistungsfähige Security Governance ermöglicht es, den Gegner bereits auf seinem eigenen Territorium zu bekämpfen. Eine proaktiv operierende Verteidigungslinie, die das Unternehmen gegen Angriffe aus dem Internet schützt, beugt Schäden vor, indem sie Attacken abwehrt, noch bevor diese das unternehmerische Netzwerk überhaupt erreichen. Die damit verbundene schlagkräftige organisatorische Einheit (Guardian Cloud Security) sollte frühzeitig in die Planung neuer Geschäftsfelder, wie etwa der Integration von Social-Media-Aktivitäten in das Online Banking, aktiv mit einbezogen werden. Was sich in der Theorie eingängig anhören mag, ist in der Praxis alles andere als einfach. Trotz gradueller Fortschritte mangelt es vielerorts an einem konsistenten Rahmenwerk für das ganzheitliche Management der Information Security Governance. Klassische Konzepte des betriebswirtschaftlichen Controlling oder der Mathematik lassen sich ohne Anpassung kaum auf die Unternehmenswelt übertragen. Dies bedeutet: Die IT-Abteilung und die relevanten Fachbereiche müssen regelmäßig miteinander kommunizieren. Jedes System kann nur so stark schützen wie das schwächste Glied in der Kette. Falls die IT-Sicherheitsmaßnamen nicht mit den Unternehmenszielen in Einklang gebracht werden können, besteht die Gefahr, dass die Verantwortlichen sich wieder in ihre Routine zurückziehen. Bei Rückfall in gewohnte Verhaltensmuster besteht jedoch eine stärkere Gefahr, Fehlerquellen zu übersehen und diese damit nicht zu beheben. Gelingt es dem Unternehmen, relevante Information verständlich aufzubereiten und in eine gemeinsame Sprache zwischen IT- und Fachabteilung zu überführen, dann gewinnt auch die Information Security Governance an Inhalt. Das Regelwerk geht dann über eine mathematische Formel, in der durch einfaches Gegenüberstellen von statistischen Wahrscheinlichkeiten und möglichen Schäden eine Entscheidung getroffen wird, hinaus. Stattdessen sorgt es für Vergleichbarkeit und Nachvollziehbarkeit in einer sich immer schneller verändernden ITLandschaft, ohne dabei den effizienten IT-Betrieb und dessen Sicherheit aus dem Fokus zu verlieren.Die vielen strategischen Elemente sind somit in einer stimmigen Strategie zu vereinen. Die Information Security Governance stellt letztlich eine zwingende Voraussetzung dar, um IT-Sicherheit überhaupt sinnvoll verwalten, kontrollieren und steuern zu können. Aber auch hier gilt das Motto: Nur, was sich konkret messen lässt, kann man auch steuern. Als Ausgangspunkt für die Festlegung geeigneter Routinen zur Umsetzung der Security Governance dienen unter anderem folgende Fragen:
• Wie kritisch ist die Ressource „Information“ – insbesondere im Vergleich mit anderen unternehmenskritischen Werten (Assets) wie Marktführerschaft, Reputation, Kundenbasis, Mitarbeiterstamm?
• Wie lassen sich Investitionen in die IT-Security und ihr langfristiger Erfolg messen?
• Wie lassen sich unterschiedliche Governance-Anforderungen – zum Beispiel Corporate Governance und IT-Governance – zu einem effizienten Gesamtsystem zusammenfügen?
• Wie finden die regulatorischen Anforderungen optimale Beachtung?


Nach Beantwortung dieser Fragen formulieren die Verantwortlichen die direkt aus der Roadmap abgeleiteten Ziele. Fortlaufendes Reporting und unabhängige Kontrolle gewährleisten den dauerhaften Erfolg der implementierten Strukturen. Die Verantwortlichen beziehen dabei die bereits vorhandenen Elemente wie etwa das technische Management der IT Sicherheit mit ein. Wichtige Elemente eines konsistenten Rahmenwerks zur Information Security Governance lassen sich wie folgt zusammenfassen:
• Orientierung an Branchenstandards,
• Einbettung in ein unternehmensweites Risikomanagement,
• Festlegung der Rolle und Verantwortlichkeiten innerhalb des Security-Management-Prozesses,
• Verbreitung eines Sicherheitsbewusstseins im Unternehmen (Security Awareness), weg von reinen Sicherheitsmaßnahmen hin zur Befähigung, das heißt Bewertung und Klassifizierung von Werten des Unternehmens,
• Verbindliche Festlegung einer Hierarchie für die Informationssicherheit zwischen Business Asset Owner und Geschäftsleitung,
• Erstellung von Security-Metriken, über die regelmäßig berichtet wird, um den Wert der Information Security Governance bzw. des Security Asset Managements zu untermauern.

Resümee
Die Information Security Governance leistet einen messbaren Beitrag zum geschäftlichen Erfolg, etwa durch passende Steuerung der Ressourcen, Messung der Leistung und Minimierung des Risikos. Das damit verbundene Berichtssystem sollte alle relevanten Geschäftsbereiche und IT-Systeme erfassen, um einen Überlick über die Sicherheitslage im Unternehmen zu gewährleisten. Ein hohes Sicherheitsniveau im Unternehmen erfordert einen kontinuierlichen Verbesserungsprozess, dem allgemeine Standards wie etwa das Umwelt-, Qualitäts- und Sicherheitsmanagement via ISO 27001, Cobit und ITIL nachfolgen. Die Vorgabe einiger weniger Security-Metriken, die regelmäßig gemessen und berichtet werden, vermeidet die Schaffung eines „bloßen Papiertigers“ und sorgt dafür, dass die Security Governance auch tatsächlich in der Praxis umgesetzt wird. Dadurch verschiebt sich die innerbetriebliche Aufmerksamkeit der Verantwortlichen von der reinen Dokumentation auf die Aktion, sprich auf konkrete Ergebnisse, die auch den Aspekt der Wirtschaftlichkeit berücksichtigt.

Michael Hempe ist Senior Major Account Executive im Bereich Financial Services, Frank Sommer ist CISSP-zertifizierter Senior Solution Engineer mit Fokus auf Security bei der Akamai Technologies GmbH, München.

Kontakt  
Diesen Artikel ...  
Artikelinformationen 
Artikel veröffentlicht am:
22.07.2013
Autor/in 
Michael Hempe, Frank Sommer
Weitere Artikel 
Webkiosk 

Die Zeitschrift

Ausgabe 10/2019

Jetzt online lesen »

 

 

Newsletter

die bank | Newsletter

Abonnieren Sie den kostenlosen redaktionellen Newsletter der Fachzeitschrift „die bank“.
Der Newsletter erscheint mindestens einmal im Monat und informiert Sie über aktuelle Beiträge und News.

 Anmeldung

 Newsletter-Archiv