14 Lektionen
Was CISOs 2022 lernen konnten
Foto: Andrii Anna photographers - shutterstock.com
Ein ereignisreiches Jahr geht zu Ende: Russland startete einen Angriffskrieg, Elon Musk kaufte Twitter (und begann direkt damit, das Unternehmen zugrunde zu richten) und die auslaufende Pandemie brachte viele Arbeitnehmer zurück ins Büro. Aus CISO-Perspektive ist vor allem die erste verhängte Freiheitsstrafe für einen Sicherheitsentscheider relevant, der eine Datenschutzverletzung vertuscht hatte. Diese und viele weitere Ereignisse haben die Unternehmenslandschaft verändert und CISOs in unsichere Gewässer gezwungen.
Wir haben diverse Sicherheitsentscheider zu ihren bedeutsamsten "Lessons learned" des Jahres 2022 befragt.
1. Keine Zeit verlieren
Seit dem Beginn der russischen Invasion in der Ukraine haben sich auch die Cyberfronten verhärtet - nationalstaatliche Akteure auf beiden Seiten haben ihre Angriffsbemühungen deutlich verstärkt. Das rief wiederum Regierungen, die die Unternehmen mit Richtlinien zur Verbesserung der Cybersicherheit dabei unterstützen wollten, zum Gegensteuern auf den Plan. Dazu gehören beispielweise die "Shields Up"-Initiative der US-amerikanischen CISA oder die "Technology Assurance" des britischen NCSC. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte nach Beginn des russischen Einmarschs ebenfalls ein Whitepaper mit Handlungsempfehlungen (PDF).
"Der Konflikt hat viele Organisationen dazu veranlasst, sich zu fragen, ob sie in der Lage sind, diese Bedrohungsakteure abzuschrecken oder einen Angriff abzuwehren", meint Kory Daniels, CISO beim Sicherheitsanbieter Trustwave und fügt hinzu, dass diese Fragen schon vor Jahren hätten gestellt werden müssen.
Taylor Lehmann, Director im Office of the CISO bei Google Cloud, appelliert: "Sie sollten nicht auf den nächsten geopolitischen Konflikt warten, bei dem fähige, nationalstaatliche Cyberakteure ihr Können unter Beweis stellen. Prüfen Sie stattdessen jetzt, ob Ihr Unternehmen gängigen Bedrohungen und Angriffen angemessen standhält."
Unternehmen und Behörden brauchten oft Jahre, um die im Rahmen von Assessments gefundenen Schwachstellen zu schließen und die empfohlenen Kontrollmaßnahmen zu implementieren, meint Lehmann. "Daher kann es von Vorteil sein, frühzeitig Fragen zu stellen. Wir müssen anerkennen, dass es Zeit - manchmal auch Jahrzehnte - und Mühe kostet, eine Organisation vor fortgeschrittenen Bedrohungen zu schützen."
2. Bedrohungen werden Massenware
Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) stellt in ihrem aktuellen Report "Threat Landscape 2022" fest, dass sich Ransomware-Banden im ablaufenden Jahr immer wieder auflösten und sich anschließend unter anderen Namen neu formierten. Zudem beobachtet die Behörde bei den Angreifern "die zunehmende Fähigkeit, Lieferketten und Managed Service Provider anzugreifen". Auch das Geschäftsmodell "Hacker-as-a-Service" gewinnt demnach weiterhin an Zugkraft.
"Jeder kann jetzt zum Cyberkriminellen werden. Dazu sind keine besonderen Skills mehr erforderlich", kommentiert Mike Hamilton, CISO beim Cybersecurity-Anbieter Critical Insight. "Das Affiliate- und As-a-Service-Geschäftsmodell, das von kriminellen Banden genutzt wird, hat die Einstiegshürde gesenkt. Das manifestiert sich auch in der Anzahl und Art der Köder-Nachrichten, die verschickt werden."
Sicherheitsforscher von Cisco berichten in einem Blogpost etwa von ihren Erfahrungen mit einer C2aaS-Plattform, die für weniger als zehn Euro Zugang zu Remote-Access-, DDoS- und Cryptomining-Services bietet.
3. Awareness-Mängel können Millionen kosten
Auch die Zahl der Ransomware-Angriffe hat 2022 weiter zugenommen - wobei diverse prominente Ziele ins Visier gerieten. Zum Beispiel:
Regierungsbehörden in Costa Rica, Argentinien und der Dominikanischen Republik.
Ein wichtiger Bestandteil der Verteidigungsstrategie von Unternehmen sollte deshalb die Sensibilisierung und Schulung der Mitarbeiter sein. Davon ist auch Gary Brickhouse, CISO bei GuidePoint Security, überzeugt: "Die Mitarbeiter sind durch Phishing und andere Social-Engineering-Methoden weiterhin die bevorzugte Zielscheibe von Bedrohungsakteuren."
put me in the linkedin cybersecurity meme poster to ciso pipeline pic.twitter.com/GZtePyUyV6
— kimber ? (@kimb3r__) September 15, 2021
Ein positiver Aspekt dieser Entwicklung: Das Thema Ransomware liegt inzwischen - angesichts der möglichen betrieblichen Auswirkungen - auch bei Vorständen und Führungskräften auf dem Tisch.
4. Cybersicherheits-Gesetzgebung zieht an
Die USA, Großbritannien und die Europäische Union haben ihre Gesetzgebung in Sachen Cybersecurity deutlich verschärft, um sich besser vor Sicherheitsvorfällen zu schützen. "Wir beobachten einen anhaltenden Trend zu legislativen Maßnahmen", kommentiert Lawrence Munro, Group CISO der NCC Group. Diese Perspektive habe seinen Blickwinkel in Sachen proaktives Handeln geändert, so der Sicherheitsexperte: "Ich habe bereits eine Strategie entwickelt, wie ich auf künftige Regulierungen reagieren kann. Um künftig stets auf dem Laufenden zu bleiben, plane ich auch mit Automatisierungselementen."
Auch Google-Cloud-Experte Lehmann unterstreicht, wie wichtig es für Unternehmen ist, sich in Sachen Datenschutz und Compliance auf dem Laufenden zu halten: "Die Unterschiede zwischen den einzelnen Vorschriften zu verstehen und Ihr Unternehmen so auszurüsten, dass es die Anforderungen an Datenverfügbarkeit, -hoheit und -lokalisierung erfüllen kann, ist heute eine wichtige geschäftliche Notwendigkeit und wird in Zukunft noch komplexer werden."
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.