Kollektive Resilienz
Warum CISOs den Austausch brauchen
Foto: OLEH SLEPCHENKO - shutterstock.com
Als Sicherheitsexperte Chad Kliewer im Dezember 2020 erstmals Berichte über den SolarWinds-Angriff hörte, war sein Mitgefühl mit den frühen Opfern groß. Kurz darauf wurde er von befreundeten Sicherheitsexperten anderer Unternehmen darauf hingewiesen, dass sich auch der Name seines Unternehmens, der Pioneer Telephone Cooperative Inc. mit Sitz in Kingfisher, Oklahoma, auf der Liste der möglicherweise betroffenen Firmen befinde.
Für Kliewer war dieser Hinweis Gold wert. Er bewies, dass es sich auszahlt, Netzwerke unter CISOs zu bilden und Informationen auszutauschen. Kliewer ist Mitglied von CyberShare, einem Informationsaustausch- und Analysezentrum (ISAC) für kleine Breitbandnetz-Anbieter. Ebenso gehört er InfraGard Oklahoma und dem Communications Sector Coordinating Council (CSCC) an. Zudem hat er gemeinsam mit anderen Sicherheitsverantwortlichen verschiedene Informationszirkel eingerichtet.
Dennoch räumt Kliewer ein, dass er die Bedeutung solcher Gruppen bislang eher unterschätzt habe. Als er dann aber anfing, entsprechende Veranstaltungen zu besuchen, konnte er feststellen, wie hilfreich die Unterstützung der Kollegen sein kann. "Wir haben alle die gleichen Probleme", sagt Kliewer, "die Frage ist nur, ob wir bereit sind, diese in einer vertrauenswürdigen Gruppe zu teilen, um andere vor denselben Dingen zu bewahren."
Gemeinsam vorankommen
Der Trend zu einem verstärkten Informationsaustausch zwischen Fachleuten im Bereich der Cybersicherheit lässt sich nur schwer quantifizieren, da Zahlen nicht ohne weiteres verfügbar sind. Kliewer und andere Sicherheitsverantwortliche glauben jedoch, diesbezüglich große Fortschritte unter CISOs zu beobachten. Früher seien viele nicht bereit gewesen, über ihre Tätigkeit und die allgemeine Bedrohungslage zu reden. Mittlerweile gehören etliche CISOs verschiedenen Gruppen an, die sich austauschen. Sie sind davon überzeugt, dass dies eine der Strategien ist, um böswilligen Akteuren einen Schritt voraus zu sein.
"Die Erkenntnis, dass alle Branchen verwundbar sind, hat zu einer höheren Bereitschaft geführt, Wissen zu teilen", heißt es im Deloitte-Bericht "Future of Cyber Survey 2021". Es werde auch immer wichtiger zu verstehen, was in anderen Branchen vor sich gehe und wie die Sicherheitsexperten dort reagierten. Weiter heißt es bei Deloitte: "Es gibt nicht die eine einfache Lösung, um Cybersicherheit zu managen, aber viele der Bedrohungen, mit denen Unternehmen auf dem Weg der digitalen Transformation kämpfen, sind ähnlich. (…) Wir können voneinander lernen, wie wir einen Vorfall effektiv bewältigen können, wenn er eintritt. In diesem Sinne ist der Austausch von Erfahrungen und Wissen mit Gleichgesinnten ein wesentliches Element zur Verbesserung des gesamten Sicherheitsumfelds."
Mehr Offenheit, aber immer noch Hürden
Tatsächlich gibt es für CISOs schon seit Jahren genügend Networking-Möglichkeiten, um sich auszutauschen und gegenseitig zu beraten. Das Konzept der ISACs geht sogar auf eine präsidiale Direktive aus dem Jahr 1998 zurück, die jeden KRITIS-Bereich dazu aufforderte, den Austausch von Informationen über Bedrohungen und Schwachstellen zu organisieren.
Ein Beispiel ist die 2014 gegründete Aviation ISAC, die von sieben Gründungsmitgliedern auf nunmehr 88 Mitgliedsunternehmen auf fünf Kontinenten angewachsen ist. Teilnehmen können IT-Sicherheitsprofis aus Fluggesellschaften, Flughäfen, von einschlägigen Industrieherstellern und anderen Unternehmen, die den Sektor bedienen.
Im Rahmen der Studie "Making the Business Case" aus dem Jahr 2021 stellte die Organisation fest, dass die Luftfahrt nicht nur weiterhin ein beliebtes Ziel von Angreifern sei, sondern dass es auch nachweislich mehr Ransomware- und DDoS-Angriffe sowie Attacken gegen Netzwerke, E-Mail-Systeme sowie Betrugsvorfälle gebe.
Jeffrey Troy, Präsident und CEO von Aviation ISAC, erkennt zwar, dass in den vergangenen Jahren sowohl die Bereitschaft zum Austausch als auch der Bedarf daran zugenommen habe, doch gebe es nach wie vor Hürden für eine weitreichende Zusammenarbeit. "Es gibt ein gewisses Zögern beim Erörtern bedeutender Sicherheitsverletzungen", sagt Troy.
Einige Unternehmen hielten sich selbst innerhalb vertrauenswürdiger Netzwerke wie einem ISAC zurück. Andere seien nicht besonders kommunikativ wegen laufender Gerichtsverfahren nach Hackerangriffen. Und wieder andere, die mit einem Ransomware-Angriff fertiggeworden seien, ohne Regierungs- oder Justizbehörden darüber zu informieren, würden ebenfalls niemandem davon erzählen wollen. Troy vergleicht solches Handeln mit dem von Überfallopfern, die das Verbrechen aus Unsicherheit oder Scham nicht meldeten und so dafür sorgten, dass die Täter sich dem nächsten Opfer zuwendeten. "Wenn Sie es in einem geschützten Kreis öffentlich machen würden, wäre das für alle anderen eine große Hilfe", betont der Aviation-ISAC-Sprecher.
Keiner kann allein erfolgreich sein
Experten sind sich einig, dass die zunehmende Menge und kürzere Taktung der Angriffe sowie ihre wachsende Raffinesse es den CISOs immer schwerer machen, ihre Arbeit erfolgreich zu erledigen, wenn sie von ihren Kollegen und anderen Vertretern der Sicherheitsbranche isoliert sind.
"Das Problem ist so groß geworden, dass es auch für die größten Organisationen unmöglich geworden ist, allein damit fertig zu werden", sagt David O'Berry, Leiter des Cybersecurity Center of Excellence von Capgemini in Nordamerika. " ISACs schaffen ein großartiges Netz des Informationsaustauschs, an dem man sich beteiligen kann, um sein Unternehmen zu stärken, ohne die ganze Arbeit selbst machen zu müssen - denn das ist fast unmöglich."
Denise Anderson, Präsidentin und CEO der Health ISAC, hat bereits erlebt, was das in der Praxis bedeutet. Als Mitte 2017 die Petya/Not-Petya-Angriffe aufkamen, arbeitete die Organisation innerhalb von 48 Stunden mit mehr als 60 Personen aus über 30 Organisationen zusammen, um herauszufinden, was der Angriffsvektor war, wie sich der Angriff über die Netzwerke verbreitete und wie man ihn stoppen kann.
"Wir teilten die Ergebnisse nicht nur unter den Mitgliedern, sondern auch auf unserer Website, damit jeder davon profitieren konnte", blickt Anderson zurück. "Das war wichtig, weil zu der Zeit viele Falschinformationen verbreitet wurden. Wir konnten mit fundierten Informationen dagegenhalten und Tipps für die Behebung der Probleme teilen. Das gleiche machen wir zurzeit mit der Log4j-Schwachstelle."
Zuverlässige Daten, klare Antworten
Marc Vael, Platform CISO für Packaging & Color Management beim globalen Mischkonzern Danaher und ehemaliger Vorstandsdirektor der Governance-Vereinigung ISACA, beobachtet ebenfalls, dass CISOs zunehmend bereit sind, sich an ISACs und anderen Gruppen zu beteiligen. Dadurch könnten sie ihre eigenen Fähigkeiten und damit auch den Schutz ihrer Organisation verbessern.
Vaels Unternehmen gehört einem ISAC an, an dem er aktiv teilnimmt. Zudem ist er Mitglied einer lokalen CISO-Gruppe, in der regelmäßige Informationen und Ratschläge über eine sichere Kommunikationsplattform ausgetauscht werden. Vael ist vom Nutzen dieses Engagements überzeugt. Positiv sei, dass er andere nach ihren Erfahrungen mit bestimmten Problemstellungen fragen könne, Details über deren Strategien bezüglich bestimmter Herausforderungen erfahre und dass dieser Austausch sehr schnell und schnörkellos vonstattengehe. Die Kommunikation rund um die aktuelle Log4j-Schwachstelle habe den Wert des Informationsaustauschs noch einmal unter Beweis gestellt, so Vael. Sowohl die ISAC- als auch die CISO-Gruppe hätten dazu eine Reihe von vertrauenswürdigen Daten geliefert, die für ihn und sein Unternehmen von Bedeutung gewesen seien.
Darüber hinaus weist Vael darauf hin, dass er auch kritische Fragen stellen und Ideen austauschen könne, da sein ISAC wie andere auch Geheimhaltungsvereinbarungen getroffen habe. Auch die informelle CISO-Gruppe, in der er mitarbeiten würde, unterliege den strengen Chatham House Rules, um die Teilnehmer und das, was sie preisgeben, zu schützen.
Außerdem ist sich Vael sicher, dass die Informationen, die unter den Mitgliedern ausgetauscht werden, aus vertrauenswürdigen, überprüften Quellen stammen. "Wenn Sie als CISO erfolgreich sein wollen, müssen Sie mehrere qualitativ hochwertige Kanäle zur Verfügung haben, über die Sie sich austauschen können", empfiehlt er.
Den Wert des Informationsaustauschs maximieren
CISOs sollten Details zu den Taktiken, Techniken und Verfahren beisteuern, die sie verwenden, zu den Bedrohungsaktivitäten, die sie beobachten, zu den Herausforderungen, denen sie begegnen, und zu den Strategien und Lösungen, die den größten Erfolg bringen.
Darüber hinaus sollten sie nicht nur in ihrem Branchen-ISAC mitarbeiten, sondern auch in anderen Gruppen, wie zum Beispiel in denen, die von regionalen Einrichtungen, Regierungsbehörden, Anbietern und technischen Gemeinschaften organisiert werden. Zudem müssen CISOs einen Weg finden, die gewonnenen Informationen an ihre Teams weiterzugeben und in ihre Abläufe einfließen zu lassen.
Das bedeutet, dass sie die von vielen ISACs erstellten Threat-Intelligence-Daten aufnehmen, Gesprächsleitfäden an Teammitglieder weitergeben, Strategien auf der Grundlage neuer Informationen anpassen und ähnliches."Wir können alle Informationen der Welt herausgeben, aber wenn die Leute sie nicht nutzen, ist niemandem geholfen", sagt Jill Canfield, General Counsel und Vice President of Policy bei NTCA-The Rural Broadband Association, die CyberShare verwaltet. "Es geht darum zu lernen und das Gelernte anzuwenden." (jm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.