Verstöße gegen die Cyber-Sicherheit beruhen fast immer auf der Anhäufung mehrerer Schwachstellen im Laufe der Zeit – nicht auf einem einzigen Vorfall.

Die bedauerliche Wahrheit ist, dass viele Unternehmen keine gute Arbeit leisten, wenn es darum geht, ein angemessenes situatives Bewusstsein für Cyber-Sicherheit zu entwickeln. Sicherheitsteams konzentrieren sich in der Regel auf Prozess- oder technische Kontrollen, Risiken im Zusammenhang mit den neuesten Schwachstellen und mit Patches oder Schulungen zum Sicherheitsbewusstsein. Dennoch ereignen sich Sicherheitsvorfälle weiterhin in alarmierendem Ausmaß, und erfolgreiche Angriffe können katastrophale Auswirkungen auf das Unternehmen haben. Um Veränderungen herbeizuführen, ist es daher wichtig, sich an höherer Stelle im Unternehmen umzusehen und nicht nur innerhalb der Sicherheits- und IT-Teams.

Die Realität ist, dass Schwachstellen innerhalb der Unternehmenskultur, des Sicherheitsprogramms und des Entscheidungsprozesses bestehen können. Die Auswirkungen externer Kräfte wie Aufsichtsbehörden, Regierungsinitiativen und Markttrends können die Effektivität der Cyber-Sicherheitslage des Unternehmens weiter beeinflussen.

Organisationen müssen daher komplexe soziotechnische Systeme managen, die sich auf alle Bereiche des Unternehmens auswirken. Der Schlüssel zum erfolgreichen Management dieser Komplexität ist die Ermöglichung einer hocheffizienten Kommunikation zwischen abteilungsübergreifenden Teams und die Einrichtung klarer Prozesse für den Umgang mit externen Kräften sowie die Zusammenarbeit mit Vorstandsmitgliedern und dem Managementteam der Organisation.

Da Schwachstellen auf jeder Ebene auftreten können, müssen wir über eine angemessene Kommunikation zwischen allen soziotechnischen Schichten verfügen. Eine Aufsichtsbehörde in einer Region könnte schwache Passwortrichtlinien zulassen, die in einer anderen Region zu Audit-Strafen führen könnten, oder eine Entscheidung des Vorstands könnte unwissentlich eine Hacker-Gruppe dazu veranlassen, einen verteilten Denial-of-Service-Angriff gegen das Unternehmen zu starten. Wenn Richtlinien vom Management schlecht kommuniziert werden, verstehen die Mitarbeiter möglicherweise die potenziellen Sicherheitsauswirkungen nicht, was zu Insider-Bedrohungen und der Preisgabe sensibler Daten führen könnte.

Um ein echtes situatives Bewusstsein zu haben, müssen Organisationen jede Ebene der Organisation in die Sicherheit einbeziehen.

Situatives Bewusstsein (Situational Awareness) ist nach der Definition des NIST die Wahrnehmung der Sicherheitslage eines Unternehmens und seiner Bedrohungsumgebung, das Verständnis/die Bedeutung von beidem zusammen (das Risiko) und die Projektion des Status in die nahe Zukunft. Es ist ein ganzheitlicher Sicherheitsansatz, der die Grundlage für die Prävention von und die effektive Reaktion auf Cyber-Angriffe bilden sollte.

Allerdings erfordert das Erreichen eines ganzheitlichen situativen Bewusstseins eine Menge Arbeit und erhebliche Investitionen. Das NIST nennt zum Beispiel 11 Bereiche, die für eine kontinuierliche Überwachung und somit für ein Situationsbewusstsein in der Informationssicherheit unterstützt werden müssen: Schwachstellenmanagement, Patch-Management, Event-Management, Störungsmanagement, Malware-Erkennung, Asset-Management, Konfigurationsmanagement, Netzwerkmanagement, Lizenzmanagement, Informationsmanagement und Software Assurance.

Auch Endbenutzer spielen eine entscheidende und aktive Rolle bei der Verbesserung des situativen Bewusstseins für Cyber-Sicherheit. Cyber-Kriminelle nutzen häufig Endbenutzer aus, denen es an Wissen über und Aufmerksamkeit für Cyber-Sicherheitsprobleme mangelt. Daher muss das situative Bewusstsein der Endbenutzer durch regelmäßige Kommunikations-Updates über die neuesten Angriffe und die Aufklärung der Benutzer über die besten Praktiken der Cyber-Hygiene verbessert werden. Damit die Benutzer nicht das schwächste Glied sind, gehört zu einer guten Cyber-Sicherheitsstrategie nicht nur die Implementierung von Sicherheitskontrollen und -prozessen, sondern auch die Einbindung der Benutzer in Sicherheitsfragen.

Unternehmen müssen situatives Bewusstsein weniger als Ziel, sondern vielmehr als einen kontinuierlichen Prozess zur Verbesserung der Cyber-Verteidigung und der Sicherheitsabläufe betrachten. Das Situationsbewusstsein muss weiterhin gefördert werden, da sich die Bedrohungslandschaft verändert. Um schnell auf vernetzte, potenziell gefährliche Vorfälle reagieren zu können, müssen Unternehmen agil sein. Dies wird dazu führen, dass kostspielige Sicherheitsverletzungen seltener auftreten.

DXC Senior Risk Advisor Richard McEvoy und Security Risk Management Practice Lead Scott Keen haben zu diesem Artikel beigetragen.