Im Umfeld von Rechtsvorschriften wie DORA und NIS2:Cyber-Hygiene verhilft Unternehmen zu mehr Resilienz

8. März 2024

Cyber-Resilienz steht heute losgetreten durch die anstehenden Anpassungen an die neuen Rechtsvorschriften wie DORA und NIS2 ganz oben auf der Tagesordnung von Unternehmen. Die Überführung der Regularien in nationales Recht soll zu mehr Sicherheit beitragen, auch wenn es eine allgegenwärtige 100-prozentige Cyber-Resilienz niemals geben wird.

Heutzutage werden Mitarbeitende auf der Suche nach Vereinfachungen für ihre tägliche Arbeit immer Wege finden, Sicherheitskontrollen zu umgehen. Zudem können die technischen Altlasten der IT-Infrastrukturen zu umfangreich sein, um sie unter einen einheitlichen Schutzschirm zu stellen.
Dennoch muss es das erklärte Ziel von Management- und Sicherheitsteams sein, ein möglichst hohes Maß an Cyber-Hygiene zu gewährleisten. Doch was macht eine gute Cyber-Hygiene aus und wie können Unternehmen die üblichen Fallstricke bei der Umsetzung eines neuen Cyber-Sicherheitsansatzes vermeiden?

Das Fundament für Resilienz

Die beiden größten Hindernisse für eine gute Cyber-Hygiene und -resistenz sind derzeit das Fehlen eines kohärenten Sicherheitsrahmens und die mangelnde Transparenz für IT-Teams hinsichtlich der tatsächlichen Bedrohungen, denen ihr Unternehmen täglich ausgesetzt ist. Viele Unternehmen reagieren lediglich auf Probleme, die durch einen vorhandenen Mix aus Strategien und Technologien entstehen, die sich im Laufe der Jahre angesammelt haben.

Daher fühlen sie sich zwar gut auf den Ernstfall eines Angriffs vorbereitet, sind sich aber in der Regel der Lücken in ihrem Rahmenwerk nicht bewusst. Es fehlen die Methoden zur proaktiven Überprüfung der Bereitschaft und Belastbarkeit ihres Schutzes.

Der CISO und das Sicherheitsteam werden als Teil der IT-Abteilung betrachtet und sind häufig nicht in die strategische Planung des Unternehmens eingebunden. Hier müssen die Hebel zur Veränderung angesetzt werden. Damit Unternehmen in Sachen Cyber-Bereitschaft auf dem neuesten Stand sind, muss eine Anpassung der Sicherheitsfunktion an die Geschäftsziele des Unternehmens erfolgen. Auch wenn bereits ein einheitliches Rahmenwerk vorhanden ist, kann es unter Umständen aufgrund interner Faktoren wie mangelnder übergreifender Kommunikation, der Größe des Unternehmens oder seiner territorialen Strukturen nicht ganzheitlich greifen.

In der Folge kann sich die Umsetzung bestimmter Sicherheitsmaßnahmen in die Länge ziehen. Zudem sind sich die Mitarbeitenden ihrer Rolle in der Aufrechterhaltung der Cyber-Resilienz nicht bewusst. Dementsprechend stellen sie häufig die größte Angriffsfläche für ein Unternehmen dar. Viele Sicherheitsverletzungen sind auf menschliche Fehler zurückzuführen.

Mit Technologien wie generativer KI wird es Hackern erleichtert, Tausende von Mitarbeitenden in kurzer Zeit und auf personalisierte Weise anzugreifen, sodass sich die Angriffsfläche auf Unternehmensinfrastrukturen noch vergrößert. Mangelndes Verständnis der Belegschaft zur Bedeutung persönlicher Cyber-Hygiene lässt sie nicht nur Schulungen ignorieren, sondern auch zur Gefahrenquelle für Unternehmen werden, wenn gegen Auflagen verstoßen wird.

Belegschaft einbinden und Prozesse vereinfachen

Der Schlüssel zur Lösung dieser Herausforderungen liegt in ansprechenden, kontextbezogenen Schulungen der Belegschaft und einer Ausgewogenheit von Kreativität und Wissenschaft für diese Trainings. Cyber-Sicherheitsteams müssen die potenziellen Gefahren realistisch darstellen und transparenter machen, was tatsächlich im Unternehmen passiert:

  • Was waren beispielsweise die jüngsten Beinahe-Vorfälle, die rechtzeitig erkannt wurden?
  • Welche Parallelen lassen sich zu Cyber- Vorfällen ziehen, die medienwirksam in der Öffentlichkeit diskutiert werden?

Letztlich müssen alle Mitarbeitenden nicht nur über die Gefahrenquellen informiert werden, sondern auch wissen, an wen sie sich im Zweifelsfall zum Melden eines Vorfalls wenden können. Die Relevanz des Themas Cyber-Sicherheit muss kontinuierlich ins Bewusstsein jedes Einzelnen transportiert werden, wozu die fortlaufende Kommunikation durch einen Champion sinnvoll ist.

Zusätzlich sollten Unternehmen eine weitere Sicherheitsebene in Betracht ziehen, um potenzielle Fehler der Belegschaft zu limitieren. Dabei ist die Einführung eines Zero Trust-Ansatzes für die Absicherung des internen und externen Zugriffs hilfreich, der den Wechsel von Netzwerkzugriff zu Applikationszugriff vollzieht. Bei dem klassischen Netzwerkzugang erhält der User nach einer ersten Authentifizierung nahezu uneingeschränkten Zugriff auf die Systeme des Unternehmens.

Im Gegensatz dazu erhält der User bei einem identitätszentrierten Zero Trust-Ansatz ausschließlich Zugang zu den Anwendungen oder Systemen, für die er autorisiert ist. Moderne Zero Trust-Implementierungen gehen oft Hand in Hand mit Täuschungs- und Sandboxing-Funktionen, die Angreifende in Fallen locken und Sicherheitsanalysten in die Lage versetzen, Systemverletzungen schnell zu erkennen und abzufedern, bevor der eigentliche Schaden eintritt.

Schließlich können effiziente Sicherheitspraktiken durch eine gute Systemeffizienz und hohe Produktivität positiv verstärkt werden. User, die unter einer schlechten IT-Systemleistung leiden und mit sperrigen Anwendungen zurechtkommen müssen, neigen eher zu unvorsichtigem Handeln. Sie lassen sich leichter dazu verleiten auf Phishing-Links zu klicken und nicht zugelassene Software oder Geräte zu verwenden. Ein schnelles und reibungsloses Anwendererlebnis sollte aus diesem Grund die Basis jeder Cyber-Sicherheitsstrategie sein, denn moderne Cyber-Sicherheit muss den Geschäftsbetrieb erleichtern und nicht behindern.

Compliance im Fokus

Die Compliance mit Auflagen trägt darüber hinaus ihren Teil zur Resilienz bei. Dabei sollte die Einhaltung von Gesetzen niemals ein einfacher Prozess sein, der nur mit dem Setzen eines Kreuzes auf Checklisten einhergeht. Damit Unternehmen die neuesten Gesetze und regulatorischen Anforderungen einhalten können, müssen sie nicht nur ihre technischen Voraussetzungen überblicken und einen Sicherheitsrahmen aufbauen.

Es gilt auch die Kommunikation mit der Belegschaft sicherzustellen und jedem Einzelnen seine Rolle bei der Einhaltung und Umsetzung des Sicherheitsrahmenwerks zu vermitteln. Sicherheitsteams haben deshalb die Aufgabe, den Mitarbeitenden zu vermitteln, dass Cyber-Hygiene gleichzusetzen ist mit dem Händewaschen vor einer Operation. Es mag nicht viel Aufwand bedeuten im Vergleich zu einem präzisen chirurgischen Eingriff, aber ohne eine saubere Umgebung ist das Risiko einer Infektion um ein Vielfaches höher.

Cyber-Hygiene sollte 2024 ein Muss für die Führungsriege jedes Unternehmens sein und dazu gilt es, den CISO frühzeitig in die Unternehmensstrategie zu integrieren. Nur so lassen sich Sicherheitsfunktionen und Geschäftsergebnisse in Einklang bringen. Andernfalls werden Unternehmen nach einem Cyber-Vorfall der Gnade des Gesetzgebers ausgeliefert sein und mit finanziellen Einbußen oder sogar in einigen Fällen mit Gefängnisstrafen rechnen müssen. Die nächste Stufe der Cyber-Bereitschaft erfordert einen klaren Sicherheitsrahmen, die Sensibilisierung der Belegschaft für Cyber-Themen und messbare Sicherheitsanforderungen, die mit den Unternehmenszielen abgeglichen sind.

James Tucker it Head of CISOs International bei Zscaler.

Zscaler

Lesen Sie auch