Cyber-Sicherheit

Risikominimierung und Kosten in vertretbarem Verhältnis

| Autor / Redakteur: Hadi Stiel / Susanne Ehneß

Der Gesprächspartner: Carsten Triebel
Der Gesprächspartner: Carsten Triebel (Bild: © BridgingIT)

Was sollten Behörden tun, um das notwendige Maß an Cyber Security zu ermitteln?

Triebel: Dazu müssen die Entscheider den Status quo an bisher konventionell herausgebildeter IT-Sicherheit genau kennen. Diesen Status fördert eine gründliche Analyse und Bewertung zutage. Aufbauend auf diesem Status quo sollte das Soll an notwendiger Cyber-Sicherheit ermittelt werden. Penetrationstests, die die für die Behörde wichtigsten Bedrohungsszenarien abbilden, leisten dafür hervorragende Dienste.

Danach können die Entscheider die Gefahren für die Verwaltungsabläufe und -tätigkeiten besser bemessen, indem die potenziellen Risiken analysiert, bewertet und qualifiziert werden. Außerdem können Behörden nur mit diesem Wissen unterscheiden, welchen Risiken entgegengewirkt werden sollte und welche Risiken, weil eher vernachlässigbar, toleriert werden können. Nur die Risiken der ersten Kategorie müssen über ein professionelles Risikomanagement überwacht und verfolgt werden.

Sie sprechen damit auch die Leistbarkeit der zu treffenden Maßnahmen an?

Triebel: Ja, Risikominimierung und die Kosten dafür müssen in einem für die Behörde vertretbaren Verhältnis stehen. Zumal für einen hinreichenden Schutz vor Attacken aus dem Cyber-Raum nicht nur geeignete Sicherheitsmaßnahmen und -werkzeuge vonnöten sind.

Ein solcher Schutz muss, neben dem Risikomanagement, auch alle notwendigen Maßnahmen und Werkzeuge für Governance und Compliance im Sinne einer gesamtheitlichen Lösung einschließen. Außerdem bewahrt das Gebot „nicht mehr als notwendig“ die Behörden vor einer zu hohen Komplexität der Gesamtlösung.

Weniger komplex, das heißt auch, die Mitarbeiter können die neuen Bedrohungsszenarien und deren Risiken besser nachvollziehen und angemessen darauf reagieren. Beides ist schon deshalb wichtig, weil Cyber Security aus organisatorischer Sicht betrachtet einem kulturellen Wandel gleichkommt. Er muss von den Mitarbeitern unterstützt durch flankierende Schulungs- und Sensibilisierungsmaßnahmen sowie geeignete Richtlinien, Methoden und Werkzeuge gemeistert werden. Von den Mitarbeitern wird es weiterhin abhängen, welche Schutzwirkung der ­Abwehrschirm entfalten wird.

Welche Hilfestellungen können Richtlinien auf dem Weg zu einem notwendigen Maß an Cyber Security leisten?

Triebel: Das IT-Sicherheitsgesetz des Bundesamts für Sicherheit in der Informationstechnik gibt für den IT-Grundschutz Mindest­sicherheitsstandards, Vorgehensweisen und Templates vor, ebenso Methoden wie zertifizierte Audits und Reporting-Prozesse. ISO-Normen, ISMS-Audits, Secure Development Lifecycles sowie Richtlinien und Methoden für mehr Netzwerksicherheit sind weitere wertvolle Hilfestellungen nicht nur für den Werdegang der Cyber Security-Lösung, sondern auch später für deren Betrieb, nicht zu vergessen ITIL als Best-Practice-Modell.

Denn am Ende des Werdegangs und am Anfang des Einsatzes steht ein prozessorientiertes IT-Service-Management-System mit einem Information-Security-Management-System als wesentliche Säule darin für eine koordinierte Abwehr von Attacken aus dem Cyber-Raum.

Was sollten Behörden für den technischen Ausbau ihres Schutzschirms bedenken?

Triebel: Die Basis dafür bildet der Status quo der bereits herausgebildeten konventionellen IT-Sicherheit. Zumal einzelne Systeme und Werkzeuge darin wie Identity and Access Management, Intrusion Detection /Prevention Monitoring, Security Event-Korrelation und -Analyse, Verschlüsselung und Secure eMail, sofern vorhanden und angemessen ausgebaut, auch für Cyber-Sicherheit von großer Bedeutung sind.

Für eine gezielte Komplettierung zu einem Cyber-Schutzschirm sind weitere Systeme und Werkzeuge gefordert. Dazu zählen Perimeter & Endpoint Security, Mobile Device Security, Advanced Persistent Threat Defense, Vulnerability Testing /Vulnerability Management, Penetration Testing, Security Intelligence sowie natürlich ein professionelles Risikomanagement.

Für die richtige Dimensionierung des Cyber-Schutzschirms mit allen Systemen und Werkzeugen ­darin hat die Behörde mit der Ermittlung der wichtigsten Bedrohungsszenarien und der Analyse, Bewertung und Qualifizierung in nicht tolerable Risiken wichtige Vorarbeit geleistet.

Vorsicht bei der Auswahl geeigneter Systeme und Werkzeuge ist schon deshalb geboten, weil Hersteller und Anbieter in einem expandierenden IT-Sicherheitsmarkt oft mehr versprechen, als sie tatsächlich halten können. Deshalb sollten im Einzelnen die strategische Ausrichtung und die funktionale Abdeckung sowie angesichts fast durchweg proprietärer Lösungsansätze die Anschaffungs-, Integrations-, Betriebs- und Weiterentwicklungskosten kritisch hinterfragt werden.

Behörden haben es somit selbst in der Hand, mehr für ihre Cyber-Sicherheit zu tun. Spricht dafür nicht auch der Blick aufs große Ganze: ein verlässliches Funktionieren von Staat, Wirtschaft und Gesellschaft?

Triebel: Zweifellos. Nicht von ungefähr hat der Staat die Gewährleistung von Sicherheit im Cyber-Raum und die Durchsetzung von Recht und den Schutz kritischer Informations- und Kommunikationsinfrastrukturen zu Hauptanliegen gemacht. So wird laut der Bundesregierung eine Cyber-Sicherheitsstrategie bei verteilter Verantwortung von Staat, Wirtschaft und Gesellschaft nur dann erfolgreich sein, wenn alle Akteure gemeinsam und partnerschaftlich ihre jeweilige Aufgabe wahrnehmen. Denn nur so könne die wirtschaftliche und gesellschaftliche Prosperität für Deutschland bewahrt und gefördert werden.

Das Interview führte Hadi Stiel.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44566036 / System & Services)