Cybersicherheit: Was Führungskräfte wissen müssen

Der Bedarf an Cybersicherheit ist in den letzten Jahren explodiert, da die plötzliche weit verbreitete Einführung der Work-from-Home-Kultur Unternehmen auf der ganzen Welt dazu veranlasst hat, ihre Cybersicherheitssysteme, -standards und -strategien für die Zukunft zu überprüfen.

Aus diesem Grund versammelte BrainStation vier Branchenexperten, die die Cybersicherheitsstrategie des Finanzdienstleistungsriesen Mastercard , der Investmentfirma Blackstone , der professionellen Netzwerkseite LinkedIn und des Softwareentwicklers Citrix leiten, um im Rahmen der Digital Leadership Event Series von BrainStation zu diskutieren, was Führungskräfte über Cybersicherheit wissen müssen.

Die vollständige Podiumsdiskussion können Sie hier ansehen:

Was ist Cybersicherheit?

Bevor wir untersuchen, wie sich die Cybersicherheitslandschaft verändert, wurden unsere Diskussionsteilnehmer nach ihren Vorstellungen darüber gefragt, was Cybersicherheit bedeutet.

Eugene Dvorochkin, Senior Member des Informationssicherheitsteams bei LinkedIn, fasst Cybersicherheit zusammen als „den Einsatz von Technologie, Prozessen und Kontrollen zum Schutz von Systemen, Netzwerken und Daten. Letztendlich geht alles auf die Daten zurück … Alles, was wir versuchen, ist, diese Daten zu schützen, ihre Integrität zu schützen und sicherzustellen, dass [es keine] unbefugte Nutzung davon gibt.“

Wie Kurt Roemer, Chief Security Strategist bei Citrix, erklärt, sollte der traditionelle Fokus der Cybersicherheit auf die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten um einen vierten Faktor erweitert werden: Sicherheit. „Während wir IoT und andere künstliche Intelligenz und [Augmented-Reality-Anwendungen] einführen, integrieren sie sich auf eine Weise in unsere physische Welt, in der Sicherheit von entscheidender Bedeutung wird.“

Puneet Bhatnagar, Senior Vice President / IAM Lead – Cybersecurity bei Blackstone, verfolgt einen eher philosophischen Ansatz: „Ich stelle mir die grundlegende Frage: ‚Wie kann ich dazu beitragen, Vertrauen in das Design von Systemen aufzubauen? Fühle ich mich wohl, wenn ich mich für eine Bewerbung anmelde, wenn ich meine persönlichen Daten anbiete? Vertraue ich der Marke, der ich diese Informationen anbiete?' Für Unternehmen ist es wichtig, Cybersicherheit als alles zu sehen, was sie tun müssen, um Vertrauen in ihre Anwendungen und ihr Ökosystem aufzubauen.“

Sukhmani Dev, Vice President of Digital & Security Solutions bei Mastercard, stimmt zu. „Wir wollen sicherstellen, dass sich Vertrauen in jeder einzelnen Transaktion widerspiegelt.“

Das Erreichen dieses ultimativen Ziels ist ein ebenso dynamischer Prozess wie die Technologie selbst. Im Folgenden sind nur einige der allgemeinen Trends aufgeführt, die unsere Diskussionsteilnehmer identifiziert haben.

Cybersicherheit ist wichtiger denn je

COVID-19 und die daraus resultierende Explosion der Work-from-Home-Kultur haben eine Entwicklung, von der erwartet wurde, dass sie ein Jahrzehnt dauern würde, auf wenige Monate komprimiert. Diese Beschleunigung bedeutet mehr Online-Aktivität, mehr neue Benutzer und mehr Komplexität in den einzelnen Systemen, auf die sich diese Benutzer verlassen, was alles Möglichkeiten für schlechte Akteure bedeutet. Das Ergebnis ist ein plötzliches und akutes Bedürfnis nach mehr digitaler Sicherheit.

Ein Großteil dieses Bedarfs hängt von der einfachen Lautstärke ab; Während des Lockdowns arbeiteten und kauften mehr Menschen mit Geräten in ihren Häusern ein. Dvorochkin erklärt: „Wenn Sie Ihr Heimnetzwerk verwenden, verwenden Sie möglicherweise persönliche Geräte wie Ihren PC oder Ihr iPhone, um auf Unternehmensumgebungen und -daten zuzugreifen, und Sie sind auch stärker von Drittanbietersystemen wie Zoom oder anderen abhängig Kommunikationsmethoden. Sie kommen in schwieriger zu sichernde Umgebungen.“

Für viele große internationale Unternehmen war es relativ einfach, Remote-Arbeit zu ermöglichen. Für viele kleinere stationäre Unternehmen bedeutete dies jedoch einen ersten Ausflug in die digitale Welt – und diese sind besonders anfällig für Hacker. „[Es ist ein Missverständnis], dass nur große, bekannte Unternehmen das Ziel von Angriffen sind“, fährt Dvorochkin fort. „Hacker sind fortschrittlicher geworden, aber auch die Tools und Techniken, die sie verwenden, sind im Grunde öffentlich geworden. Jeder kann online gehen und jedes Unternehmen hacken. Es sind nicht nur große, bekannte Unternehmen, die von raffinierten Hackern angegriffen werden – es kann buchstäblich jeder Tante-Emma-Laden sein.“

Als weiteren Vektor identifiziert Dev die wachsende Komplexität von Systemen. „Alles ist vernetzter denn je“, sagt sie. „Wenn Sie an eine Bank denken, haben sie vielleicht ihre Lieferanten, aber dann haben ihre Lieferanten Lieferanten, und das sind riesige Lieferketten. Die Anschlusspunkte sind in den letzten Jahren exponentiell gewachsen.“

Das bedeutet mehr Schwachstellen, die Hacker ausnutzen können – und Hacker haben es bemerkt.

Von Systemen zu Benutzern wechseln

Die zunehmende Größe und Komplexität bedeutet auch, dass Cybersicherheitsteams an mehr Fronten denn je kämpfen. Dies wiederum führt zu einem veränderten Verständnis der Cybersicherheitsexperten von ihrer Aufgabe. Wenn das Ziel darin besteht, Daten innerhalb einer digitalen Festung zu sichern, besteht die Aufgabe der Cybersicherheit darin, den Perimeter zu schützen – aber der Perimeter und die Angriffsmethoden ändern sich ständig. Das Sperren von Daten ist nicht die Lösung – es hat keinen Sinn, ein System zu haben, auf das niemand zugreifen kann. Stattdessen verlagert sich die Priorität erstens auf die Bestätigung der Identität der Personen, die darauf zugreifen, und zweitens darauf, nur den Zugriff auf die Daten zu gewähren, die sie benötigen, und nicht auf das gesamte System.

„Früher hatte man vielleicht gewisse Dinge, die nur in den eigenen vier Wänden als sicher galten“, sagt Roemer. „Was ist, wenn Sie das umdrehen und sagen: ‚Wie sichern wir das, wenn es sich außerhalb der vier Wände befindet, in der Cloud?' Wenn Sie sich das hybride Arbeitsmodell ansehen, haben Sie Menschen, die möglicherweise jede Woche in verschiedenen Situationen arbeiten – in einem Büro, zu Hause, vielleicht wieder in einem Café, vielleicht auf Reisen. Wie stellen Sie sicher, dass Sie für diese Personen die richtige Sicherheitsumgebung zur Verfügung haben?“

Für Bhatnagar bedeutet dies: „Der einzige echte Perimeter, den Sie wirklich sichern können, ist Ihr Identitätsperimeter.“ Dies erfordert in der Regel eine Multi-Faktor-Authentifizierung, die hilft zu überprüfen, ob die Leute die sind, für die sie sich ausgeben („Es gibt einige verrückte Statistiken“, sagt Bhatnagar, „wie etwa, dass mehr als 90 % der Sicherheitsverletzungen auf eine Art E-Mail-Kompromittierung zurückzuführen sind.“ ).

Folglich „reicht es nicht aus, nur einen guten Netzwerkperimeter oder einen guten Satz Firewalls zu haben. Sie müssen Ihr Denken von system- oder netzwerkzentriert auf identitäts- oder benutzerzentriert umstellen. Das war der Zeitpunkt, an dem wir begannen, über diese neueren Zero-Trust-Paradigmen nachzudenken. Mit der Menge an Informationen, auf die die Leute ständig zugreifen, werden Sie immer aufholen müssen, wenn Sie nur versuchen, das System zu patchen oder das Netzwerk zu sichern.“

Die Verlagerung des Fokus auf die Identität des Benutzers hilft, den Zugriff für externe Hacker zu verhindern, hilft aber auch dabei, Risiken von innen einzudämmen, indem der Zugriff selbst legitimer Benutzer auf die benötigten Daten eingeschränkt wird. Dies hängt natürlich von der Fähigkeit ab, die Ihnen zur Verfügung stehenden Daten zu parsen. Dvorochkin erklärt: „Früher privilegierten Unternehmen ihre Mitarbeiter übermäßig, und sie konnten auf alles frei zugreifen, was natürlich zu einem viel höheren Risiko führte. [Sie müssen] sehr genaue Angaben zu allen Daten machen, die Sie haben. Sie wissen nicht, was Sie nicht wissen, daher ist eine gute Kennzeichnung sehr wichtig – um genau zu wissen, wo sich Ihre Daten befinden, wie viel davon vorhanden ist und welche Transaktionen Sie damit haben, insbesondere mit Drittanbietern . Weil wir wiederum immer abhängiger von Anwendungen von Drittanbietern werden und diese offensichtlich nicht das gleiche Maß an Vertrauen genießen wie unsere internen Mitarbeiter. Es kommt alles auf die Identifizierung an, auf eine gute Bestandsaufnahme und die Fähigkeit, sie zu begrenzen.“

Kultur und Bildung sind der Schlüssel

Sie können keine Cybersicherheitsstrategie implementieren, wenn Ihre Teamkollegen nicht an Bord sind. Und Menschen sind immer das schwächste Glied in der Cybersicherheitskette – die meisten Hacker werden nicht durch das Schreiben von Codes durchgeführt, sondern indem sie sich als Autorität ausgeben und jemanden dazu bringen, ein Passwort preiszugeben. Die Lösung hier ist ebenso sozial wie technologisch.

„Cybersicherheit liegt nicht in der Verantwortung einer Person oder eines Teams“, sagt Bhatnagar. „Jeder muss die Ärmel hochkrempeln und es besitzen. Wir legen großen Wert auf Sensibilisierungsschulungen für Endbenutzer, helfen ihnen, Phishing-E-Mails zu identifizieren, Phishing-Simulationen durchzuführen und die Komplexität dieser Simulationen schrittweise zu verbessern, nur damit wir unsere Mitarbeiter ständig schulen.“

Dies kann einzelne Fälle von Datenschutzverletzungen direkt reduzieren, trägt aber auch dazu bei, eine unternehmensweite Kultur zu pflegen, die Cybersicherheit wertschätzt. „Sobald Sie das einmal veröffentlicht haben, ist es eine Sprache, die jeder versteht – dass nicht nur Ihre Cybersicherheitsexperten super technisch sein müssen, sondern dass es einen allgemeinen Rahmen gibt, den andere Führungskräfte verstehen können. Sie können das nutzen, um das Bewusstsein zu schärfen und das Budget, die Finanzierung und die Ressourcen zu erhalten, die Sie benötigen, um weitere strategische Verbesserungen vorzunehmen.“

Dev unterstützt die Bedeutung der Unternehmenskultur. „Und zusammen mit der Kultur“, sagt sie, „würde ich auch Training sagen …. Es ist eine ganz andere Art zu denken und zu arbeiten, verglichen mit Legacy-Systemen. Der Rest der Technologie, des Designs usw. ergibt sich, wenn Sie die richtige Einstellung zur Kultur haben.“

Das fängt bei Römer ganz oben an. „Sicherheit ist eine gemeinsame Verantwortung, und wir alle müssen Sicherheitspraktiker sein. Die Führung muss sich an die Personalabteilung wenden und sie wissen lassen, dass Sicherheitsfähigkeiten im gesamten Unternehmen benötigt werden, und darüber sprechen, wie sie Umschulungs- und Aufstiegsmöglichkeiten für diejenigen bieten können, die Sicherheit als eine überzeugende Karriere ansehen, und in der Lage sein, diese Personen zu überzeugen – nicht nur von der IT-Organisation, aber aus der gesamten Organisation, wenn es sinnvoll ist – und wenden Sie sich daher an den Rest der Organisation [und kommunizieren Sie, dass] wir dringend zusätzliche Sicherheitsexperten brauchen und wir alle als Praktiker angesehen werden müssen.“

Wechsel von Taktiken zu Plattformen

Etwas paradoxerweise sehen wir angesichts der Verlagerung des Fokus von der totalen Systemsicherheit auf den Perimeter der Benutzeridentität auch eine Verlagerung weg von Taktiken und hin zu Plattformen – das heißt, Cybersicherheitsbemühungen in einer ganzheitlichen Strategie zu organisieren, statt in einer Gruppe von Einzelpersonen Flecken.

Römer erklärt: „Der Grund dafür ist, dass es sehr schwierig geworden ist, [eine Sammlung von] Einzelprodukten zu verwalten. Sie lassen sich nicht gut integrieren, und wir haben nicht die Ressourcen, um sie effektiv zu nutzen. Je mehr wir also in einer Plattform aufbauen und konsolidieren können, desto mehr können wir die Sicherheitsfunktionen verstärken.“

Dvorochkin fügt hinzu, dass dies bedeutet, nicht nur Taktiken, sondern ganze Teams zu koordinieren. „Oft werden Technologiedomänen oder Funktionen isoliert. Wir verfolgen offensichtlich alle das gleiche Ziel, nämlich das Unternehmen erfolgreich zu machen.“

Für Bhatnagar gehört zu einem strategischeren Ansatz, ein gut besetztes und finanziell gut ausgestattetes Sicherheitsbetriebszentrum zu haben. Es ist zwar immer gut, proaktiv zu sein, aber das bedeutet nicht, dass ein Verstoß nicht irgendwann passieren wird, und wenn dies der Fall ist, ist es unerlässlich, dass ein Unternehmen bereit ist, Maßnahmen zu ergreifen. „Es gibt immer Dinge, die aus dem linken Feld kommen, weil Hacker immer fortschrittlicher werden und ihre Techniken immer hartnäckiger werden.“

Cybersicherheit ist immer dynamisch

Dvorochkin wiederholt Bhatnagars Meinung – Reaktionsfähigkeit ist entscheidend. Die Cybersicherheitsstrategie muss dynamisch sein, um Angriffen sowohl proaktiv als auch reaktiv entgegenzuwirken. Auf der reaktiven Seite sagt er: „Es geht nicht darum, ob , es geht darum, wann Sie verletzt werden; Es ist fast unmöglich, dauerhaft vollständig geschützt zu sein. Etwas wird schließlich durchkommen. Der Schutz des Perimeters ist wichtig, gute Detektivkontrollen sind wichtig – aber Sie müssen auch eine gute Reaktion, eine gute Einschätzung haben und in der Lage sein, sich selbst zu testen.“

Auf der proaktiven Seite bedeutet dies, dass Sie Ihre Strategie ständig evaluieren; Sie können es nicht einfach einstellen und vergessen. „[Es gibt ein] Missverständnis, dass ‚Okay, nun, wir haben in Technologie investiert, wir haben dieses einmalige Setup durchgeführt, wir haben ein Cybersicherheitsprogramm, wir können loslegen“, fährt Dvorochkin fort. „Ein einmaliges Setup für die Implementierung einiger Tools – das schützt Sie nicht. Die Technologie ändert sich aufgrund der synergetischen Beziehung zwischen Technologie und Cyber ​​fast täglich, und die Cybersicherheit ändert sich ebenso schnell. Sie müssen also dynamisch sein, Sie müssen immer auf dem neuesten Stand sein, und Sie müssen von Ihrem Unternehmen gut investiert werden – denn Cybersicherheit ist nicht billig.“

„Betrachten Sie Ihr IT-Portfolio als eine Reihe von Investitionen“, fügt Roemer hinzu. „Wie bei Ihren persönlichen Investitionen, gehen Sie von Zeit zu Zeit durch und bewerten Sie neu, was gut funktioniert, was nicht und wo Sie die Hunde abladen und zu etwas übergehen müssen, das Ihnen eine bessere Rendite bringt. Sicherheit ist sehr ähnlich. Wir brauchen die Agilität, und wenn Sie Ihr IT-Portfolio nicht als eine Reihe versunkener Entscheidungen, sondern als eine Reihe von Investitionen betrachten, die ständig bewertet werden, können Sie dazu beitragen, voranzukommen und die Sicherheitsanforderungen von heute und morgen zu erfüllen.“

( Dieser Artikel wurde zuletzt im Januar 2022 aktualisiert. )