Im Ende April 2021 vom Bundesrat zur Vernehmlassung veröffentlichten «Neuen Bericht zur Sicherheitspolitik der Schweiz» wurden insgesamt 9 Ziele definiert – eines davon ist explizit die «Verstärkung des Schutzes vor Cyberbedrohungen» . Den Ernst der Lage zeigt der am 11.05.2021 frisch publizierte «NCSC Halbjahresbericht 2020/2» auf:
- Ransomware-Attacken bergen das grösste Schadenspotential - rund 80% der Meldungen erfolgten von KMU.
- Im Bereich Betrug sticht CEO-Fraud heraus.
- Datenlecks mit interner Beteiligung sind zu 69% versehentlich entstanden.
Wer wissen will, wie sicher sein Unternehmen vor Cyberbedrohungen geschützt ist, sollte zunächst die eigenen Risiken genau identifizieren. Dies beginnt optimalerweise mit einem Security Baseline Assessment der internen Prozesse. Die Auswahl des Frameworks für die Bewertung der Security ist von Kriterien wie etwa Unternehmensgrösse, Maturität der Security und Branche abhängig. In der Regel werden für KMU vereinfachte Kontroll-Kataloge benutzt, welche an das NIST-Framework bzw. den ICT-Minimalstandard des Bundes angelehnt, aber im Umfang und Inhalt weniger detailliert sind.
Auf dem Assessment aufbauende MassnahmenDas Assessment sollte um technische Checks und regelmässige Übungen erweitert werden, die von einem Review der Security-Architektur über Scans interner/externer Schwachstellen bis hin zu Penetrationstests für businesskritische Applikationen und Systeme wie ERP resp. auch aller Systeme, die via Internet erreichbar sind, reichen. Netzwerk-Geräte wie Switches, Router, Firewalls & Co. sind ebenso wie Cloud-Instanzen in ihrer Security-relevanten Konfiguration zu prüfen. Begleitet werden diese Massnahmen mit Test zum
Business-Continuity- sowie
IT-Service- & Continuity Management. Im Anschluss erfolgt eine Risiko-Analyse zur Ableitung der business-kritischen Assets, des möglichen Schadenpotentials sowie der Eintrittswahrscheinlichkeit. Der aktuelle Maturitätsgrad der Sicherheit wird dem gegenübergestellt. Die Definition und Verabschiedung einer Cybersecurity-Strategie für das Unternehmen ist durch die Geschäftsführung und ggfs. durch weitere gezielte Massnahmen abzustützen.
Gezielte weitere Massnahmen zur Umsetzung Security Consulting (CISO Support Service) kann durch die Assessments und das Risiko Management (GRC) begleiten und führt zu einer Cybersecurity-Strategie mit entsprechender Massnahmenplanung.
Audits helfen, (Re-)Zertifizierungen wie ISO/IEC 27001 vorzubereiten und durchzuführen. Ein Incident Response Retainer Service (CERT) unterstützt ad-hoc bei Security-Breaches, während DDoS Mitigation Services (ISP) geschäftskritische Systeme schützen. Wer seine IT-Landschaft permanent überwachen lassen will, setzt auf Security Operation Center (SOC). Und last but not least, sichern Cyber-Risk-Versicherungen im Ernstfall allfällige Schäden ab.
Über den Autor: Mike Imseng ist Head of Security Consulting bei T-Systems Schweiz mit über 20 Jahren Erfahrung im ICT-Dienstleistungsbereich. Zu seinen Fachgebieten zählen Security Awareness, Vulnerability Management (IT/OT), Industrial Control System (ICS) und Customer Security Management.
