3 Dinge, die CIOs am Thema Cybersecurity missverstehen

Dieser Artikel berichtigt drei weitverbreitete Cybersecurity-Missverständnisse: Es brauche einen Kontrollraum mit grossen Bildschirmen, es passiere lange nichts bis zum grossen Alarm und Cybersicherheit sei eine IT-Aufgabe. Wir klären auf, wie es tatsächlich ist und halten drei spannende herausgepickte Cybersecurity-Facts für euch bereit.

Missverständnis 1: Cybersecurity braucht eine Kontrollzentrale mit grosser Bildschirmwand

Ein Security Operations Center wie im Hollywood-Film: ein grosser Kontrollraum voller blinkender Bildschirme, auf denen Bedrohungen in Echtzeit visualisiert werden. Headset-tragende Spezialisten verfolgen die Datenströme und sind laserfokussiert.

Wie es tatsächlich ist: Für die Gewährung von IT-Sicherheit braucht es keinen solchen zentralen Kontrollraum. IT-Sicherheit entsteht, wenn Menschen, Tools und Geschäftsprozesse systematisch an der Erhöhung der Cyberresilienz arbeiten. Cybersecurity ist eine dezentrale Aufgabe, die stark von einer wirksamen Collaboration lebt.

Herausgepickter Fact: Die nahe Zusammenarbeit des Security Teams ist wichtig, noch wichtiger ist aber die Nähe zu den Entscheiderinnen und Entscheider aus dem Business. Das Schlüsselwerkzeug dafür ist der Incident-Response Prozess. Darin sind Definitionen, Entscheidungskompetenzen und Kommunikationsabläufe festgehalten, um bei einem Sicherheitsvorfall angemessen und schnell reagieren zu können.

Aus welchen vier Schritten ein Incident-Response Prozess besteht und die Antworten auf 11 weitere häufige Fragen zum Security Operations Center findet ihr hier.

Missverständnis 2: Es passiert lange nichts, dann gibts einen dramatischen Alarm

Oft herrscht die Vorstellung, dass im Security Operations Center für die meiste Zeit ruhig abgewartet und beobachtet wird, bis ein lauter dramatischer Angriffsalarm abgeht und Hektik ausbricht – so als würde es plötzlich brennen und die Sirenen losgehen.

Wie es tatsächlich ist: Laufend verzeichnen die XDR-Tools (Extended Detection and Response) Tausende oder gar Millionen von Signalen in der überwachten IT-Umgebung und machen Hinweise und Warnungen. Diese Systeme neigen dazu, sicherheitskritische Ereignisse eher zu «überdetektieren», um kein Risiko zu übersehen.

Das Security-Team beobachtet und bewertet diese Signalmuster kontinuierlich. Es wird aktiv nach Bedrohungen gesucht, die Systeme auf Schwachstellen geprüft und an der Verbesserung der Schutzmassnahmen gearbeitet.

Welche Softwares in einem Security Operactions Center zum Einsatz kommen, habe ich in diesem Blog im Detail beantwortet.

Herausgepickter Fact: Alarmmüdigkeit ist ein Problem im Security-Bereich. Die Challenge ist zweistufig:

• Sind die Spezialtools locker konfiguriert, warnen sie zwar seltener, dadurch steigt jedoch das Risiko, gefährliche Sicherheitsereignisse zu übersehen.
• Sind die Tools streng konfiguriert, vergrössern sie das Problem der Alarmmüdigkeit und es entsteht das Risiko, dass gefährliche Sicherheitsereignisse von den Analysten nicht als ein solche erkannt werden.

Missverständnis 3: Cybersecurity ist eine reine IT-Aufgabe

In den Köpfen mancher CIOs herrscht noch immer die Vorstellung, dass Cybersecurity nur die IT-Abteilung betrifft – die IT müsse dafür sorgen, dass alles sicher ist, und der Rest des Unternehmens kann sich darauf verlassen. Es wird als technisches Problem gesehen, das mit den richtigen Tools und Experten schon gelöst wird.

Wie es tatsächlich ist: Cybersecurity ist eine umfassende Unternehmensaufgabe. Jeder Unternehmensbereich trägt einen Teil der Verantwortung mit. Besonders ist die Geschäftsleitung gefordert, welche dem Thema Cybersicherheit auf oberster Ebene Priorität einräumt und den Weg ebnet, damit im gesamten Unternehmen eine Sicherheitskultur wachsen kann.

Herausgepickter Fact: Dass der Mensch der beliebteste Angriffsvektor für Cyberkriminelle ist, wissen wir bereits. Awareness-Trainings für die Mitarbeitenden können das Risiko um bis zu 70% verringern (Quelle). Neben der Resilienz für die Unternehmens-IT wird auch die persönliche Widerstandsfähigkeit der Einzelpersonen gegen Cyberbetrügereien verbessert.

Zum Thema Awareness-Training haben wir kürzlich ein Webinar veranstaltet, die Aufnahme findet ihr hier.