8 Merkmale

So geht proaktive Sicherheitsstrategie

CISOs setzen zunehmend auf proaktive Maßnahmen, um Cyberangriffe und Schwachstellen zu antizipieren. Lesen Sie, welche das konkret sind.
Von  und
CSO | 28. Oktober 2022 05:49 Uhr
Reaktive Fähigkeiten mit proaktiven Maßnahmen zu erweitern, kann CISOs und ihre Teams dabei unterstützen, Risiken zu minimieren und Bedrohungen früher zu erkennen.
Reaktive Fähigkeiten mit proaktiven Maßnahmen zu erweitern, kann CISOs und ihre Teams dabei unterstützen, Risiken zu minimieren und Bedrohungen früher zu erkennen.
Foto: Gajus - shutterstock.com

CISOs streben seit jeher danach, zuverlässige Reaktions- und Recovery-Fähigkeiten aufzubauen. Das Ziel: So schnell wie möglich auf Sicherheitsvorfälle zu reagieren und die Geschäftsfunktionen schnellstmöglich und mit geringstmöglichem Schaden wiederherzustellen. Zwar werden diese Skills auch in Zukunft essenziell sein - inzwischen setzen viele Sicherheitsentscheider jedoch darauf, ihre reaktiven Fähigkeiten um proaktive Maßnahmen zu erweitern.

"Proaktiv meint den Versuch vorherzusagen, welche Art von Angriffen in Ihrer Umgebung auftreten kann und Schwachstellen zu finden, bevor Angreifer es tun. Das Risiko soll reduziert werden, bevor es überhaupt zustande kommt", erklärt Pierre-Martin Tardif, Professor für Cybersicherheit an der Université de Sherbrooke und Mitglied der Emerging Trends Working Group beim IT-Governance-Verband ISACA.

Nach der Einschätzung von Tardif können proaktive Elemente stärker zur Schaffung eines resilienten Unternehmens beitragen als reaktive. Das sehen auch andere Experten so - etwa Sandra Ajimotokin, Senior Security Program Manager bei Twitter: "Die höchsten Ziele eines Cybersicherheitsexperten sind es, Cyberrisiken zu minimieren und Assets zu schützen. Dabei sind proaktive Programme sehr erfolgreich."

8 Merkmale proaktiver Security-Strategien

Was zeichnet also die Sicherheitsstrategien von CISOs aus, die sich Proaktivität auf die Fahnen geschrieben haben?

1. Verstehen, was zu schützen ist und wovor

CISOs, die die Cybersicherheit proaktiv angehen wollen, müssen zunächst verstehen, welche Assets vorhanden sind, wo das höchste Schutzlevel anzulegen ist und welche Risiken das Unternehmen bereit ist, einzugehen. Auf diese Weise können Sicherheitsentscheider ermitteln, welche Bedrohungen die größten Risiken für ihr Unternehmen darstellen und die größte Aufmerksamkeit erfordern.

"Ein proaktives Sicherheitsteam kennt das Risikoprofil seines Unternehmens und kann auch Risiken erkennen, mit denen das Unternehmen noch nicht konfrontiert wurde", unterstreicht Ajimotokin. "Das ist eine Schlüsselkomponente, um Angriffe zu verhindern: Wenn die Verteidiger verstehen, was zu schützen ist, können sie hinsichtlich potenzieller Anfälligkeiten alle Möglichkeiten durchspielen."

Das meint auch John Deskurakis, Chief Product Security Officer beim Kühlungsspezialisten Carrier Global. Er fügt an, dass der eben beschriebene Prozess kontinuierlich ablaufen müsse: "Man könnte es 'Continuous Identification' nennen. Sie müssen zum Experten werden, wenn es um Ihre Angriffsflächen geht, denn diese werden wachsen und sich verändern."

2. Strenge Richtlinien und Zero Trust

"Proaktive Sicherheitsteams kennen nicht nur ihre IT-Umgebungen und das Risikoprofil ihres Unternehmens gut, sondern haben dank strikter Benutzerauthentifizierungs-Richtlinien auch ein felsenfestes Verständnis davon, wer auf was im Netzwerk und auf Systemeebene zugreift", meint Bryce Austin, CEO bei der Security-Beratung TCE Strategy. So könne zum Beispiel der Einsatz von Multifaktor-Authentifizierung dabei unterstützen, sicherzustellen, dass nur autorisierte Benutzer in die IT-Umgebung des Unternehmens gelangen.

Laut Security-Prof Tardif würden viele CISOs starke Authentifizierungs-Anforderungen im Rahmen ihrer Umstellung auf eine Zero-Trust-Architektur implementieren: "Bei Zero Trust wird nicht nur überprüft, ob der Nutzer der ist, der er behauptet zu sein. Der Zugriff authentifizierter Benutzer wird zusätzlich auf die Systeme und Daten limitiert, die sie für ihre Arbeit benötigen. Dieses Least-Privilege-Prinzip zu verinnerlichen, bietet Sicherheitsteams eine Möglichkeit, ihren Fokus von der Reaktion auf die Prävention zu verlagern."

3. Agil und anpassungsfähig

CISOs, die kriminellen Hackern einen Schritt voraus sein wollen, müssen sich im Vergleich zu ihren Kontrahenten mindestens ebenso schnell - wenn nicht gar schneller - an neue Begebenheiten anpassen können.

"Deswegen übernehmen proaktive CISOs ein angriffszentriertes Mindset, das statische und präskriptive Checkbox-Ansätze vermeidet, und dazu beiträgt, Taktiken kontinuierlich weiterzuentwickeln und sie in die Lage versetzt, die Perspektive der Angreifer einzunehmen", weiß Chief Product Security Officer Deskurakis. Solide, proaktive Verteidigungsfähigkeit bedeute auch, sich flexibel an sich weiterentwickelnde Bedrohungen anzupassen.

4. Vorausschauend planen

Einen ähnlichen Ansatz verfolgen proaktive Sicherheitsentscheider, wenn es um neu aufkommende Tools, Techniken oder Regulierungen geht: Diese werden in der Regel in Sicherheitsstrategien und -programme eingebettet, bevor sie zum Mainstream - oder Obligatorium - werden.

Andrew Retrum, Managing Director im Bereich Security und Datenschutz beim Beratungsunternehmen Protiviti, kennt nach eigener Aussage einige CISOs, die sich aktuell darüber Gedanken machen, wie der bevorstehende Durchbruch von Quantum Computing ihr Sicherheitsprogramm beeinflussen wird: "Proaktive Sicherheitsentscheider denken schon jetzt über die Zukunft nach und stellen eine Roadmap für die nächsten drei bis fünf Jahre auf."

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

5. Betrüger im Blick

Zu den Aufgaben proaktiver Sicherheitsteams zählt nach Meinung von Carlos Rivera, Principal Research Advisor bei der Info-Tech Research Group, auch, zu überprüfen, ob unternehmenseigene Marken illegal genutzt werden: "Diese Teams achten auf den Missbrauch von Domänennamen, Firmenlogos und anderen Identifikatoren."

Dazu nutzen Security-Experten in der Regel Tools auf SaaS-Basis - oder arbeiten mit einem Managed Security Service Provider zusammen. Ein Betrugs-Monitoring dieser Art könne Sicherheitsteams frühe Hinweise auf kriminelle Hacker liefern, die versuchen, gefälschte Webseiten und Ähnliches für Phishing- und Social-Engineering-Angriffe zu nutzen, so Rivera. "Das eröffnet die Chance, Angriffsversuchen entgegenzuwirken oder sie sogar vollständig zu unterbinden, bevor sie sich zu einem erfolgreichen Angriff auswachsen."

6. Bedrohungen jagen

IBMs aktueller "Cost of a Data Breach"-Report aus dem Jahr 2022 kommt zum Ergebnis, dass Unternehmen im Schnitt 207 Tage brauchen, um eine Sicherheitsverletzung zu erkennen. Diese verzögerte Identifizierung ist seit langem ein Problem, das Sicherheitsteams in einen reaktiven Modus versetzt. Deswegen setzen Security-Profis zunehmend auf Threat Hunting, um böswillige Angreifer zu identifizieren, die in ihren IT-Umgebungen darauf lauern, anzugreifen.

"Beim Threat Hunting werden Bedrohungen aufgespürt, bevor sie aktiv ausgenutzt werden können. Das kann sowohl aus technischer Sicht als auch aus Sicht derjenigen geschehen, die sie ausnutzen wollen", erklärt Jon France, CISO bei (ISC)². Wie ein Blick in die "2022 Threat Hunting Survey" des SANS Institute zeigt, zahlt sich das aus: 85 Prozent der Umfrageteilnehmer geben an, dass Threat Hunting das Sicherheitsniveau ihres Unternehmens verbessert hat.

In Zukunft könnten die Teams dabei zusätzlich vom Einsatz Künstlicher Intelligenz und maschinellem Lernen profitieren, wie Twitter-Security-Expertin Ajimotokin weiß: "Sicherheitsexperten können sich die Fähigkeit der maschinellen Intelligenz, Muster zu erkennen und Ergebnisse vorherzusagen, zunutze machen und so einen nie dagewesenen Grad an Transparenz erreichen. Das könnte Cyberteams ermöglichen, schnell zu skalieren, Bedrohungen so früh wie möglich zu erkennen und Angriffe schneller zu entschärfen als je zuvor."

7. Schwachstellen jagen

Ein weiteres, wichtiges Merkmal proaktiver Sicherheitsstrategien: Ein starkes Vulnerability Management, das bekannte Schwachstellen identifiziert und nach ihrem Risikopotenzial priorisiert.

Geht es nach ISC²-CISO France, müssten Sicherheitsteams, die proaktiv handeln wollen, jedoch noch einen Schritt weiter gehen und Vulnerability Hunting integrieren, um noch mehr Schwachstellen zu finden: "Vulnerability-Management-Programme konzentrieren sich traditionell darauf, bekannte Schwachstellen zu beheben. Vulnerability Hunting will hingegen bislang unbekannte Probleme aufdecken - etwa unsicheren Code oder Fehlkonfigurationen in der eigenen IT-Umgebung." France empfiehlt CISOs darüber hinaus, regelmäßige Penetrationstests durch- sowie Bug-Bounty-Programme einzuführen.

8. Reaktion üben

"Es mag kontraintuitiv erscheinen, aber proaktive Sicherheitsteams proben auch regelmäßig - meistens in Form von Table-Top-Übungen - wie sie im Fall eines erfolgreichen Angriffs reagieren. Das verschafft Unternehmen in mehrfacher Hinsicht einen Vorsprung", so der ISC²-CISO.

Zum Beispiel könnten diese Übungen Sicherheitsteams dabei unterstützen, Schwachstellen in ihren bestehenden Sicherheitsprogrammen zu erkennen. Anschließend könnten diese Lücken geschlossen werden, meint der Manager und fügt hinzu: "Darüber hinaus helfen solche Übungsmaßnahmen auch dabei, Schwachstellen in Reaktionsplänen zu erkennen, so dass CISOs auch diese Lücken schließen können. Das führt letztendlich zur Ausbildung eines Muskelgedächtnisses, das Organisationen dabei unterstützt, effizienter und effektiver zu handeln, Schäden zu minimieren und schneller zum Normalbetrieb zurückzukehren."

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Mary K. Pratt ist freiberufliche Journalistin in Massachusetts.
Florian Maier beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.