Summary SecurityRadar 2014 Spezial: Cyber Risk Resilience
Marco Marchesi CEO, ISPIN AG ZURICH Liebe Leserinnen und Leser Der SecurityRadar 2014 bestätigt, was in den letzten Jahren als Trend erkennbar wurde: Es zeichnen sich klare Schwerpunkte in der Informations- und IT-Sicherheit ab. Die Zeiten, in denen man Höchstleistungen für Überzeugungsarbeit im Unternehmen aufwenden musste, sind zwar nicht ganz vorbei (und werden es auch nie sein), doch die täglichen Schlagzeilen über Zwischenfälle in diesem Bereich und das Bewusstsein, dass ein Schaden nicht primär technisch ist, sondern die Reputation des Unternehmens betrifft, zeigen Wirkung. Zudem scheint der Schock, der durch das Aufkommen neuer Benutzer-Endgeräte (z. B. BYOD1) und die Verwendung von Internet-Diensten (z. B. Public Cloud Services) ausgelöst wurde, dahingehend überwunden, dass nachhaltige Sicherheitslösungen gesucht, evaluiert, implementiert und genutzt werden. Es ist erfreulich zu sehen, dass die Grundkonzeption solcher Lösungen auch den Weg in das sicherheitsbezogene Weisungswesen der Unternehmen findet. Trotz dieser positiven Veränderungen sollte aber nicht in Vergessenheit geraten, dass die gesamte Weiterentwicklung der Technologie und die damit verbundenen neuen Risiken den aktuellen implementierten Sicherheitsmassnahmen oft hinterher hinken. Dieser Umstand zwingt die Unternehmen, weiterhin nach innova- 1 Bring Your Own Device (z. B. das gestattete Verwenden der privaten Smart- Phones für Geschäftszwecke). tiven und effektiveren Sicherheitslösungen zu suchen. Solche Innovationen bilden einen Schwerpunkt im aktuellen SecurityRadar. Sie sind unter dem Stichwort Cyber Risk Resilience zusammengefasst. Es geht dabei primär um die Detektion und gegebenenfalls Verhinderung von exogenen logischen Einbrüchen in die unternehmenseigene IT. Was vor ein paar Jahren noch ein exotisches Gebiet war, an dem das Management in der Regel nicht sonderlich interessiert war, hat sich zu einer pro Volkswirtschaft mehrere Milliarden grossen Verlustquelle entwickelt. Es geht heute nicht mehr um Amateur-Hacker, die aus Neugier an der Sache handeln; es geht um Wirtschaftskrieg zwischen Nationen und um Wirtschaftsspionage mit geostrategischem Ausmass. Aufgrund dessen ist dieses Gebiet aus dem Schattendasein der Sicherheitsfachleute in das Blickfeld von Politik und Öffentlichkeit geraten. Es ist Aufgabe der Sicherheitsdisziplinen, hier mit zeitgemässen Antworten aufzuwarten. Der vorliegende SecurityRadar soll dabei als Ideenquelle, Argumentarium und/oder Entscheidungshilfe Unterstützung leisten. Ich wünsche Ihnen Freude und Inspiration beim Lesen des SecurityRadar 2014. Herzliche Grüsse Marco Marchesi
bis 800 MA 32% 12% Behörden und Verwaltungen 39% Bankenund Versicherungen mehr als 7.000 MA 31% Wie gross sind die Unternehmen? Welche Unternehmen wurden befragt? CIOs 17% Wer wurde befragt? 19% Industrie 29% Dienstleistungen 27% Sicherheitsbeauftragte 31% 24% bis 7.000 MA 20% bis 2.500 MA 17% CISOs Personen mit Sicherheitsaufgaben Bis 10 57% 26,6% Ja Keine Mehr als 350 Bis 80 Bis 150 5% 9% je 3% Anzahl aufgedeckter Sicherheitsvorfälle pro Unternehmen. 23,4% Nein 23,4% Evt. mit kleineren technischen Anpassungen 17,2% Technische Massnahmen vorhanden, aber Konzept fehlt In der Lage, mit den vorhandenen Mechanismen, z. B. im Logging & Monitoring- Bereich, unberechtigtes Eindringen in ein nicht öffentliches Netzwerk systematisch zu erkennen? Nein, aber in Planung Ja, seit Längerem Nein, auch nicht geplant 19% 33% 20% 29,0% Ja, Massnahmen implementiert oder geplant 29,0% Ja, absolut dieses Thema erscheint in unserem Risikoinventar 22,6% Ja, wir sprechen darüber, aber keine Massnahmen vorgesehen Ja, vor Kurzem angeschafft 11% 6,5% Eher nicht aufgrund unseres Geschäfts sollten wir kein Ziel sein 4,8% Nein, wir sind von diesem Risiko eher nicht betroffen Im Einsatz: Intrusion und APT (Advanced Persistent Threat) ausgerichtete Detektions- Technologien. 1,6% Nein habe mir hierzu noch keine weiteren Gedanken gemacht. Netzwerk durch Cyber-Attacken bedroht?
Highlights und Auszüge aus den Ergebnissen des SecurityRadar 2014 In einigen Branchen sind Regeln und Regulatorien im Sinne von Quasi-Standards noch restriktiver geworden und entsprechend aufwändiger zu erreichen. Im Umgang mit neuen Herausforderungen der letzten Jahre wie BYOD (Bring Your Own Device), Cloud oder Soziale Medien ist eine erste Welle der Selbstregulierung mit verbesserter Risikostrategie eingetreten bzw. haben sich die technischen Möglichkeiten im Umgang mit Gefahren in wichtigen Bereichen verbessert. Die regelmässigen Veröffentlichungen über Datenschutz- und Sicherheitsvorfälle beschleunigen den Trend, den Fokus nicht nur auf technische und organisatorische Aspekte zur richten, sondern auch weiche Faktoren wie z. B. Reputation oder Awareness proaktiv anzugehen. Während Angriffe von Internen abgenommen haben, ist die Zunahme von externen Angriffen die markanteste Veränderung gegenüber 2012. Diese Zunahme ist auch auf vermehrte Entdeckungen durch bessere Detektionssysteme und transparentere Kommunikation von Vorfällen zurückzuführen. Nicht alle Unternehmen sind diesem Angriffsvektor gleichermaßen gewachsen. Bauchschmerzen bereitet die Professionalisierung der organisierten Wirtschaftskriminalität, nicht nur weil Hacks zunehmend von Nachrichtendiensten mithilfe innovativer technischer Werkzeuge durchgeführt werden, sondern weil auch gezielt Social Engineering (etwa via Soziale Medien) eingesetzt wird. Letzteres ist ein Thema, dem man vielerorts mit einer gewissen Hilflosigkeit begegnet. Das Social Engineering vermag die positiven Entwicklungen im Bereich DLP (Data Leakage Protection) mindestens teilweise zu kompensieren. Unternehmungen müssen rasch und deutlich soziale Einfalltore bei Mitarbeitenden identifizieren und Negativwirkungen abschwächen (z. B. durch Awareness). Manche weitere in der Studie genannten Schmerzpunkte lassen sich unmittelbar oder mittelbar mit den oben genannten Themen in Verbindung bringen. Genannt wurden Spionage, DDoS-Attacken, Phishing, Datendiebstahl, Zero-day-exploits, etc. Trotz zunehmender Erkenntnis hinsichtlich der Bedeutung weicher Faktoren, werden im Zuge der Risikominimierung häufig klassische Maßnahmen (Verschlüsselungstechnologien, Policy-Frameworks etc.) der Sensibilisierung von Mitarbeitenden vorgezogen. Viele Risiken werden im Kontext von Big Data genannt. Letzteres wird jedoch nicht nur als Gefahr, sondern durchaus auch als Chance für Unternehmungen wahrgenommen. Unter dem Strich schätzt nur knapp die Hälfte der Probanden die Sicherheitslage in ihren Unternehmen als (sehr) gut ein. Dies ist ein leichter Abwärtstrend, der vermutlich vor allem auf die zunehmenden Wirksamkeitsüberprüfungen von Sicherheitsmassnahmen zurückzuführen ist. Trotz teilweise neuer Risiken und Probleme scheint der Fatalismus der letzten Jahre gebremst, da deutliche Bemühungen festzustellen sind, zahlreiche der negativen Entwicklungen einzuholen. Dies geschieht u. a. durch einen integrativen, strategisch ausgerichteten Methodenansatz. Beispiele von Themenbereichen, bei denen sich neue Sicherheitsansätze abzeichnen, sind Virtualisierung, Cloud Services und mobile Kommunikation. Es ist zu erwarten, dass in diesen Bereichen in naher Zukunft weitere Fortschritte gemacht werden.
Folgende Entwicklungen im Bereich der Wirtschafts- und Internetkriminalität bereiten mir Bauchschmerzen. Advanced Persistent Threat. APT, 0-Day Exploits, BYOD (zumeist gefordert vom höheren Management unter gleichzeitiger Minderung der Sicherheitsanforderungen), APT s, Zero-Day-Attacken, High Tech im Cybercrime-Bereich. Social Media (in unserem Business nicht wirklich als Risiko begriffen). Hacking von Steuerungssystemen. Datenklau. Datendiebstahl. Datenklau ohne Spuren zu hinterlassen. Datendiebstahl, PDF Trojaner, eigene Domain black listed, etc. Einschleusen von Viren, Zugriff auf Patientendaten (Erpressung). Trojaner, Hacker, Spionage. Spionage. Organisierte Kriminalität mit sehr gutem Know-how, sei es durch legitimierte staatliche Organisationen oder durch illegale Organisationen. Kann man z. B. amerikanischen Security-Produkten überhaupt noch trauen...? PRISM. Zunehmende Risiken im Bereich Cybercrime, v. a. im mobile computing. Ungenügende Sensibilisierung von (mit-)verantwortlichen Stellen. Sensibilisierung aller Mitarbeitenden. Technik allein löst das Problem nicht. Daten werden durch interne Mitarbeitende unkontrolliert aus den Systemen geholt und an Unberechtigte weitergegeben. PRISM und andere Spionageprogramme, steigende Schlagkraft (Organisationsstrukturen, Budget) der kriminellen Organisationen. Staatlicher Datenschutz, Die Beurteilung des Risikos aus der Vielzahl der Bedrohungen mit der stetig steigenden Komplexität der Informationssysteme. Data Loss Prevention. Dass (un)bekannte Schwachstellen immer rascher ausgenutzt werden respektive es dafür einfach zu bedienende Tools gibt. Die Professionallisierung der Angriffe. Die Professionelle, auf das Unternehmen Advanced persistent threats in Form von Spionage und um zu versuchen, Kontrolle über kriti- technisch (via Internet), physisch abgestimmte Angriffe; egal, ob rein weltweite Vernetzung sche Infrastrukturen zu erlangen. oder eine Kombination davon. von Angreifern oder Systemen, die einen Angriff machen. Hackerangriffe, DoS-Attacken. Nutzung von weltweiten Cloud-Services ohne entsprechende Sensibilität der Endbenutzer. Digitalisierung der momentan noch analogen proprietären Kommunikationstechnologien. Zunahme Angriffe/Abnahme Komplexität der Angriffe. Gezielte Angriffe auf das Unternehmen. Die immer besser werdenden Angriffe von verschiedenen Seiten aus dem Internet, z. T. targeted und z. T. random. Der sorglose Umgang mit Social Media und die Machtlosigkeit gegenüber den Geheimdiensten (z. B. NSA), die Flut an Daten und Informationen die ohne Eigentümer offen liegen. Das gezielte Ausspähen von wichtigen Entscheidungsträgern der Firma. Das staatlich legitimierte Schnüffeln in allem und jedem (PRISM & Co.); von Kriminalität spricht jedoch in diesem Kontext kaum einer. PRISM & Big Data intransparenter Staat Black Box Cloud mit US-/UK-Partnern. Die Durchdringung der privaten Tools und des privaten Nutzungsverhaltens in die professionellen Bereiche hinein. Zero day exploits. Unerkannter Datenabfluss. Dass die Angriffe zunehmen und nur schwer erkennbar sind. Dadurch sind ständig neue Technologien notwendig, um der Situation gerecht zu werden, was die Komplexität und den Aufwand massiv steigert. Zunehmende Profesionalität und Verfügbarkeit krimineller Services. BYOD und Sicherheit. Können wir uns jederzeit und rechtzeitig vor W- und I-Kriminalität schützen? Sind wir nicht immer einen Zug hinterher? Der Schutzbedarf bei richtiger Umsetzung verschlingt eine hohe Summe Geld. Wirtschaftlichkeitsbetrachtungen müssen eventuell neu definiert werden. Social Network, Phishing. Der Umgang von Behörden und Institutionen (Microsoft, Apple etc.) auf Druck von Regierungen mit Daten (s. NSA). Keine, solange Budget und qualifiziertes Peronal zur Verfügung stehen. Professionalisierung und Personalisierung. Targeted Attacks (mit Phishing und Social Engineering). Gezielte Social-Engineering- Attacken, Spearhead Phising. Hacken von Firewalls durch andere Staaten. Spionageaffären, welche seitens Behörden initiiert werden. Zunehmender Kostendruck Öffnung der Unternehmensgrenzen, Cloud Computing Gezielte persönliche Angriffe über Mitarbeiter per Telefon/E-Mail, um Schadsoftware auf den Firmencomputern zu platzieren. Targeted Social Engineering; die Furcht vor u. a. solchen Entwicklungen führt leider auch zur Kriminalisierung der Mitarbeitenden auf Vorrat und zu merkwürdigen Massnahmen, welche mit Compliance gerechtfertigt werden. Die Regulatorien an sich. Das Bankgeheimnis lockert sich mit jedem Tag und auf der anderen Seite schützen wir die Daten mehr und mehr, bis die eigenen Mitarbeiter gar nicht mehr richtig arbeiten können. Wir schiessen mit Kanonen auf TOTE Spatzen. Keine.
Igor Kovalchuk - Fotolia.com Themenübersicht des SecurityRadar 2014 Das erwartet Sie im Studienband: Status quo der Informationssicherheit in der Schweiz Das Risiko als ständiger Begleiter erkennen und managen Der Faktor Mensch Spezial: Cyber Risk Resilience Sicherheit mobiler Endgeräte Die nächsten Schritte in die Zukunft Budget-Management und -Verteilung Studiengrundlage / Demografische Daten Änderung Erscheinungsjahr Liebe Leserinnen und Leser Aus organisatorischen Gründen konnte der SecurityRadar dieses Mal erst im Juni 2014 herausgegeben werden. Die Studieninhalte entstammen dem Jahr 2013, 2014 bezieht sich auf das Erscheinungsjahr. Auch zukünftig werden wir uns im Titel jeweils auf das Erscheinungsjahr beziehen. Besten Dank für Ihre Kenntnisnahme. Die Netzwoche ist das Schweizer ICT-Magazin für Business-Entscheider und Medienpartner des ISPIN SecurityRadar 2014. Als ICT-Fachzeitschrift berichtet die Netzwoche regelmässig über aktuelle Sicherheitsthemen, welche Unternehmen beschäftigen. Dazu gehören auch die Brennpunkte, die der aktuelle SecurityRadar herausgeschält hat. Im Rahmen der Medienpartnerschaft mit ISPIN AG wird die Netzwoche zudem IT-Sicherheitsverantwortlichen und CISOs den Puls fühlen und sie mit den Ergebnissen der Studie konfrontieren. www.ispin.ch Kontakt und Anfragen zum SecurityRadar 2014 Rainer Kessler und Frank Burmistrzak Studienteam des SecurityRadar 2014 E-Mail: securityradar@ispin.ch ISPIN AG ZURICH Grindelstrasse 6 CH-8303 Bassersdorf Tel.: +41 44 838 31 11