close
close

Der CrowdStrike-Vorfall zeigt, dass wir Cybersicherheit neu denken müssen

Wenn Ihr Unternehmen Gegenstand negativer Nachrichten wird, ist es wichtig, effektiv und strategisch zu reagieren, um den Schaden zu minimieren und das Vertrauen der Stakeholder wiederherzustellen.

Aus solchen Erfahrungen zu lernen und Pläne zu schmieden, um künftige Vorfälle zu verhindern, sind wichtige Erkenntnisse. In unserer Branche können Sicherheitsmängel katastrophale Folgen haben, wenn Organisationen nicht mehr funktionieren können, wie der jüngste CrowdStrike-Vorfall gezeigt hat. Trotz vieler Erfolge war CrowdStrike in der Vergangenheit mehrfach in der Kritik, unter anderem während der Hacker-Untersuchung des Democratic National Committee im Jahr 2016, weil es den Angriff voreilig Russland zuschrieb. In jüngster Zeit führte ein fehlerhaftes Update ihrer Falcon-Plattform zu weitverbreiteten Systemabstürzen, von denen Unternehmen wie der NHS, HSBC und mehrere britische Flughäfen betroffen waren. Die 500 größten US-Unternehmen erlitten dabei geschätzte Verluste von 5,4 Milliarden Dollar, Microsoft ausgenommen.

Die Leute kommen oft zu dem Schluss, dass jedes Problem ein Sicherheitsproblem ist, weil sie davon ausgehen, dass ein „böser Kerl“ beteiligt sein muss. Aber was genau meinen wir mit einem Sicherheitsproblem? Ist es nur dann ein Sicherheitsproblem, wenn ein böswilliger Akteur beteiligt ist?

Diese Denkweise ist für Sicherheitsteams kontraproduktiv und für Unternehmen bei der Bewältigung von Informationssicherheitsrisiken nicht hilfreich. Sie beeinflusst, wie sie das Thema Sicherheit innerhalb ihrer Unternehmenskultur und gegenüber ihren Mitarbeitern angehen.

Cyber-Profis stehen vor vielen Herausforderungen

Cybersicherheitsexperten stehen über ihre täglichen Aufgaben hinaus vor zahlreichen Herausforderungen, darunter Fachkräftemangel, Zeitdruck und unzureichende Budgets oder Schulungen. In Großbritannien ist diese Qualifikationslücke offensichtlich: Die Hälfte der Unternehmen verlässt sich bei der Cybersicherheit auf nur eine Person. Selbst größere Organisationen haben selten Teams mit mehr als fünf Mitarbeitern. Cyber-Experten haben Schwierigkeiten, ihre Fähigkeiten auf dem neuesten Stand zu halten oder Talente zu rekrutieren, da sie unterbesetzt, unterfinanziert und unter Druck sind.

Von den 53 % der Unternehmen im Cybersektor mit offenen Stellen seit 2021 gaben 67 % an, dass es ihnen schwerfällt, diese zu besetzen. Dies steht im Einklang mit früheren Ergebnissen der Ipsos-Studie „Cyber ​​Security Skills in the UK Labour Market 2022“. Die größten Herausforderungen sind ein Mangel an Kandidaten mit technischem Fachwissen und das Angebot niedriger Löhne oder Zusatzleistungen im Vergleich zu den Anforderungen der Stellen.

Cyber-Experten sind mit ihrer Arbeitsbelastung überfordert, was teilweise an Lösungen liegt, die als umfassende Lösungen vermarktet werden, aber lediglich ihre Managementaufgaben erweitern. Cyber-Teams sind ständig bestrebt, mit weniger mehr zu erreichen. Die Hälfte der Cybersicherheitsexperten nennt ihre tägliche Arbeitsbelastung als großen Stressfaktor, während 30 % wegen der Bedrohung durch Cyberangriffe schlaflose Nächte haben.

Auch die Cybersicherheits-Community steht unter enormem Druck, ihren Ruf tadellos zu halten, was die hohen Anforderungen und Erwartungen unterstreicht, die an sie gestellt werden. Die meisten Teams sind so sehr mit unmittelbaren Bedrohungen beschäftigt, dass ihnen die Bandbreite fehlt, um zukünftige Herausforderungen vorherzusehen. Erschwerend kommt hinzu, dass wir von einigen wenigen Technologiegiganten abhängig sind: Microsoft dominiert die Office-Software und ist neben Amazon auch führend bei Cloud-Speicher, sodass Organisationen nur begrenzte Auswahlmöglichkeiten haben.

Eine übermäßige Abhängigkeit von großen Anbietern wie Microsoft oder Amazon kann für Unternehmen zu mehreren Herausforderungen führen, darunter die Abhängigkeit von einem bestimmten Anbieter, eine geringere Verhandlungsposition und erhöhte Sicherheitsrisiken. Aufgrund der Standardisierung dieser Plattformen kann dies auch Innovationen behindern und die Anpassungsmöglichkeiten einschränken. Die Abhängigkeit von einem einzigen Anbieter erhöht die Anfälligkeit für Dienstausfälle und kann im Laufe der Zeit zu Kostensteigerungen führen. Darüber hinaus können Unternehmen Schwierigkeiten haben, den Datenschutz und die Einhaltung von Vorschriften in verschiedenen Rechtsräumen sicherzustellen. Um diese Risiken zu mindern, ist es für Unternehmen ratsam, ihren Technologie-Stack zu diversifizieren und eine Multi-Vendor-Strategie zu verfolgen, um Flexibilität und Belastbarkeit zu verbessern.

Sicherheitsteams sind nicht nur dazu da, böswillige Akteure zu bekämpfen; sie spielen auch eine wichtige Rolle bei der Bewältigung von Sicherheitsvorfällen und der Eindämmung von Problemen, die durch unzureichende Schulung oder eine schlechte Organisationskultur entstehen. Sich ausschließlich auf die Schuldzuweisung zu konzentrieren, untergräbt effektive Sicherheitspraktiken und schafft ein toxisches Umfeld. Wenn das Ziel darin besteht, Sündenböcke zu finden, wird dies talentierte Personen davon abhalten, in einem derart strafenden Umfeld arbeiten zu wollen. Stattdessen sollten wir eine Kultur der Verantwortlichkeit und Zusammenarbeit fördern, in der Sicherheitsteams befugt sind, zu schützen und aufzuklären, anstatt nur zu reagieren und zu verteidigen. 50 % der Cyber-Experten gaben an, dass ihre beiden Hauptstressquellen ihre tägliche Arbeitsbelastung sind, während 30 % nachts wach liegen, weil sie an einen Cyber-Angriff denken.

Was macht einen Cyber-Vorfall aus?

Natürlich wurde der CrowdStrike-Vorfall zunächst als kein Cybersicherheitsproblem eingestuft, aber er sollte als solches betrachtet werden, da er dazu führte, dass ein oder mehrere Informationssysteme nicht mehr verfügbar waren. Diskussionen rund um Cybersicherheit konzentrieren sich häufig eng auf Datenschutzverletzungen und persönliche Informationen, während andere nur IT-Systemausfälle berücksichtigen. Was wir brauchen, ist eine umfassende Definition, die all diese Aspekte umfasst. Jeder ungeplante Systemausfall, der den legitimen Zugriff stört, gilt als Informationsvorfall. Wenn wir daher „Cybervorfall“ als „Informationsvorfall“ neu definieren, erfasst dies genau die Art der CrowdStrike-Situation.

Der Glaube, dass ein Cybersicherheitsvorfall einen böswilligen Akteur erfordert, übersieht die Auswirkungen versehentlicher interner Fehler oder Fehlkonfigurationen unserer IT-Teams oder Lieferkettenpartner. Wenn wir uns auf den Begriff „Cyber“ fixieren, laufen wir Gefahr, den größeren Umfang der Bedrohungen zu ignorieren und unsere Effektivität bei der Bewältigung von Vorfällen zu verringern. Wir müssen erkennen, dass Cybersicherheit sowohl externe Angriffe als auch interne Pannen umfasst, und unsere Strategien entsprechend anpassen, um umfassenden Schutz zu gewährleisten.

In Unternehmen kann es zu Überschneidungen zwischen Cyber- und Informationsmanagementteams kommen, da Cybersicherheitsrahmen wie die von NCSC und NIST mehr als nur die IT umfassen. Diese Rahmen umfassen Elemente wie Menschen, Eigentum, Geschäftskontinuität und Informationen, die traditionell als Teil der Informationssicherheit betrachtet werden. Die Bezeichnung all dieser Elemente als „Cyber“ stellt IT-Teams vor Herausforderungen, denen möglicherweise die Fähigkeiten fehlen, Bereiche wie Lieferkettensicherheitsprüfungen zu verwalten. Für Unternehmen ist es von entscheidender Bedeutung, diesen Unterschied zu erkennen und sicherzustellen, dass Cyberteams ein klares Verständnis ihrer Verantwortlichkeiten haben, um nicht in Rollen einzugreifen, die traditionell von Informationsmanagementteams wahrgenommen werden.

Wenn Unklarheit darüber herrscht, wer für die Cyber- und Informationssicherheit verantwortlich ist, muss die Unternehmensleitung eingreifen, um die Rollen zu klären und Anweisungen zu geben. Es liegt nicht allein in der Verantwortung der Cyber-Teams, Sicherheitsverstöße zu verhindern; die Geschäftsleitung muss auch dafür sorgen, dass alle Mitarbeiter die bewährten Sicherheitspraktiken einhalten. Microsoft hat dieses Problem kürzlich deutlich gemacht, indem es Sicherheit für jeden Mitarbeiter zur obersten Priorität gemacht hat, nachdem es jahrelang Kritik geübt hatte und die US-Regierung Microsoft kürzlich scharf gerügt hatte, weil sie Microsoft als „nationale Sicherheitsbedrohung“ bezeichnet hatte.

Lieferantenintegration

Obwohl sich die neueste Geschichte auf CrowdStrike konzentriert, sind CrowdStrike und Microsoft im Bereich der Cybersicherheit durch ihre komplementären Sicherheitslösungen und Partnerschaften miteinander verbunden. CrowdStrike bietet erweiterten Endpunktschutz und Bedrohungsinformationen, während Microsoft eine Reihe von Sicherheitstools wie Microsoft Defender anbietet. Ihre Produkte werden oft integriert, um eine mehrschichtige Verteidigungsstrategie für Organisationen zu erstellen.

Zu den jüngsten Sicherheitsverletzungen bei Microsoft gehörten erhebliche Probleme wie die Offenlegung vertraulicher Daten und Schwachstellen in ihren Systemen. Insbesondere ein kritischer Fehler im Microsoft Exchange Server, der von Angreifern ausgenutzt wurde, führte zu weit verbreiteten Datenverletzungen, von denen zahlreiche Organisationen betroffen waren. Darüber hinaus wurden auch Schwachstellen in den Cloud-Diensten von Microsoft angegriffen, was Bedenken hinsichtlich des Datenschutzes und der allgemeinen Sicherheit aufkommen ließ. Diese Vorfälle haben die Notwendigkeit verbesserter Sicherheitsmaßnahmen unterstrichen und Microsoft dazu veranlasst, der Sicherheit bei all seinen Produkten und Diensten höchste Priorität einzuräumen.

Organisationen wie Microsoft und CrowdStrike, die großen Einfluss auf globale Sicherheitssysteme haben, müssen einen unantastbaren Sicherheitsstandard aufrechterhalten. Angesichts ihrer zentralen Rolle beim Schutz unzähliger Systeme sollten ihre Prozesse und Verfahren streng darauf ausgelegt sein, Verstöße und Vorfälle zu verhindern. Diese Unternehmen sollten den höchsten Standards in puncto Verantwortlichkeit und Qualität unterliegen, die der kritischen Natur ihrer Sicherheitsverantwortung Rechnung tragen.

Geschäftskontinuität und die Cloud

Jahrelang wurde uns versichert, dass die Cloud im Vergleich zu hauseigenen Lösungen eine bessere Sicherheit und Belastbarkeit bietet, was dazu führte, dass wir die Kontrolle über unsere eigene Belastbarkeit aufgeben. Wenn Vorfälle wie der jüngste CrowdStrike-Ausfall eintreten, wirft dies eine kritische Frage auf: Haben wir solche Szenarien in unsere Geschäftskontinuitäts- und Belastbarkeitsplanung einbezogen? Oder haben wir fälschlicherweise blind auf die Unfehlbarkeit der Cloud vertraut und angenommen, dass sie immer zuverlässig sein wird?

Alle Organisationen sollten ihre Geschäftskontinuitätspläne noch einmal durchgehen und sicherstellen, dass sie eine Resilienzplanung für derartige Vorfälle enthalten. Das anfängliche Versprechen der Cloud war verlockend: geringere Kosten, höhere Agilität und verbesserte Innovation. Die Realität zeichnet jedoch ein anderes Bild. Laut einer Umfrage von Citrix stellten 43 % der IT-Leiter fest, dass die Verlagerung von Anwendungen und Daten in die Cloud teurer war als erwartet. Cloud-Repatriierung ist die Bezeichnung für die Verschiebung, die wir bei Organisationen beobachten, die ihre Dienste wieder ins Unternehmen zurückholen, um sie selbst verwalten zu können.

Unsere Geschäftskontinuitätsplanung muss robust genug sein, um potenzielle Ausfälle zu bewältigen und den Trugschluss zu vermeiden, große Cloud-Anbieter seien unfehlbar oder von Natur aus überlegen. Sich darauf zu verlassen, dass Sicherheit automatisch in unsere Cloud-Lösungen integriert ist, kann irreführend sein, ähnlich wie frühere Erfahrungen mit Sicherheitsausrüstung. Wir müssen Schwachstellen kritisch bewerten und uns auf sie vorbereiten, anstatt blind auf die Zuverlässigkeit der Cloud zu vertrauen.

Geben Sie Cyber-Teams nicht die Schuld für größere Probleme

Wir sollten nicht die Cybersicherheitsbranche für die Versäumnisse der großen Technologieunternehmen verantwortlich machen, denen es möglicherweise an tiefgreifender Cybersicherheitsexpertise mangelt. Denken Sie daran, dass große Technologieunternehmen vor allem auf Profit setzen und ihre komplexen Systeme, die aus riesigen Mengen an Code bestehen, immer anfällig für Schwachstellen und Codierfehler sind, die zu Ausfällen führen können. Es liegt in unserer Verantwortung als Cybersicherheitsexperten, sicherzustellen, dass unsere interne Widerstandsfähigkeit stark genug ist, um solche Vorfälle zu bewältigen. Angesichts unserer Abhängigkeit von diesen Anbietern ist dies zwar eine Herausforderung, aber es ist unerlässlich, strenge interne Abwehrmaßnahmen aufrechtzuerhalten.

Die Erfolge von Cybersicherheitsexperten werden oft nicht anerkannt und erst wahrgenommen, wenn Probleme auftreten. Um unsere Sichtbarkeit und Wahrnehmung zu verbessern, müssen wir unsere Selbstdarstellung verbessern und uns effektiver in das Unternehmen integrieren. Das Stereotyp von Cybersicherheitsteams als isoliert und defensiv ist teilweise auf die häufige Schuldzuweisung und Kritik zurückzuführen, die sie bei Vorfällen erfahren. Viele Aspekte dessen, was heute als „Cyber“ gilt, liegen außerhalb der direkten Kontrolle der meisten Cybersicherheitsteams, dennoch werden sie oft zu Unrecht für Probleme zur Rechenschaft gezogen und bestraft, die außerhalb ihres Einflussbereichs liegen.

Effektive Führung ist entscheidend, um klare Verantwortlichkeiten innerhalb unserer Teams zu definieren und sicherzustellen, dass die Führungskräfte verstehen, was unsere Cybersicherheitsteams kommunizieren. Die Führung gibt den Ton an, und die Cybersicherheitspraktiken folgen dieser Anleitung. Führungskräfte müssen mit den wichtigsten Cybersicherheitsrisiken vertraut sein und aktiv mit ihren Teams zusammenarbeiten, um die Rollen im Risikomanagement und bei der Risikominderung zu klären. Es ist wichtig, dass die Führung sowohl die Nuancen des Cyberrisikos als auch die geschäftlichen Auswirkungen versteht, während Cybersicherheitsexperten in Bezug auf Geschäftsrisiken effektiver kommunizieren müssen. Oft haben Führungskräfte Schwierigkeiten, die umfassenderen Auswirkungen zu erfassen, und erkennen möglicherweise nicht, dass einige Probleme Entscheidungen erfordern, die außerhalb der Kontrolle des Cyberteams liegen. Cybersicherheit sollte in jeden Aspekt des Geschäfts integriert werden, anstatt als Randthema betrachtet zu werden.

You may also like...