Seit Juli 2017 ist das überarbeitete Rundschreiben 2008/21 der eidgenössischen Finanzmarktaufsicht FINMA in Kraft, bei dem es u.a. um den Umgang mit elektronischen Kundendaten geht. Neuer Bestandteil ist unter anderem die explizite Anforderung an ein Risikomanagement-Konzept für den Umgang mit Cyberrisiken. Die entsprechenden Randziffern orientieren sich hierbei stark am NIST Cyber Security Framework (CSF). Grund genug, Ihnen in unserem Cyber Security Blog diesen Standard etwas näher vorzustellen – und das vollkommen branchenunabhängig.
5 Funktionen – 360° Abdeckung für Ihre Cyber Security
Das Cyber Security Framework wurde bereits im Jahr 2014 von NIST – dem National Institute of Standards and Technology, eine Bundesbehörde der USA – veröffentlicht. Ursprünglich gedacht zum Schutz kritischer Infrastrukturen, wurde das CSF auch rasch in der Privatwirtschaft zum gängigen Standard im Umgang mit Cyberrisiken. Dies nicht zuletzt auch deshalb, weil es durch den stufenweisen Aufbau – fünf Funktionen und deren spezifische Kategorien – gut verständlich ist und trotzdem viel Substanz in Form von spezifisch technischen sowie organisatorischen Funktionen besitzt. Das CSF bündelt auf der obersten Stufe die fünf folgenden, grundlegenden Funktionen im Bereich der Cyber Security. Wir erklären Ihnen, was diese konkret beinhalten und worauf Sie dabei achten sollten!
Identify
Die erste Funktion befasst sich mit der Entwicklung für das organisatorische Verständnis des eigenen Unternehmens. Dabei liegt der Fokus auf der Identifikation von business-kritischen Systemen, Daten und Funktionen. Ohne zu wissen, wo sich die «Kronjuwelen» befinden, kann ein Unternehmen diese auch nicht angemessen schützen. «Identify» bildet somit die absolute Grundlage für die weiteren Bausteine des CSF. Grundsätzlich befasst sich Identify mit der Identifizierung der unternehmenswichtigen Informationen und den Gefährdungen. Wissen Sie, welche das in Ihrem Unternehmen sind? Folgende Fragen sollten Sie sich dazu stellen:
- Wo befinden sich Ihre Daten?
- Wer nutzt sie?
- Welchen Wert haben sie?
- Wie sind sie derzeit geschützt?
- Sind sie angreifbar?
- Wenn ja, woran liegt das?
Protect
Nachdem die kritischen Systeme und Funktionen identifiziert sind, kann man sich um die Entwicklung sowie Implementierung angemessener Schutzmassnahmen kümmern. Die Funktion «Protect» unterstützt die Fähigkeit zur Begrenzung und Eindämmung der Auswirkungen eines möglichen Cyber Security-Vorfalls unter Berücksichtigung von Technologien, Prozessen und den Mitarbeitenden. Folgende Bereiche können dabei unterteilt werden – und unsere Cyber Security-Experten liefern Ihnen auch gleich eine Auswahl von möglichen Massnahmen und Empfehlungen:
- Zugriffsprozesse und Zugriffsschutz: Erstellen Sie ein rollenbasiertes Berechtigungskonzept
- Perimetersicherheit: Setzen Sie hier penibel auf eine periodische Firewall-Regel-Überprüfung
- Endpoint-Sicherheit: Hier empfiehlt sich eine geeignete, auf Ihre Bedürfnisse abgestimmte Antivirus-Lösung
- Systemhärtung (basierend auf Best Practice) und Wartung (Change & Patch Management)
- Verschlüsselung, Datensicherheit – «Data at Rest & Data in Transit»: Verwenden Sie hierbei verschlüsselte Kommunikationsprotokolle
- Sensibilisierung und Schulung der Mitarbeitenden: Bewährte Methoden sind hier Security Awareness Veranstaltungen oder auch Live Hacking Shows zur Demonstration
Detect
Bereits die dritte von insgesamt fünf Funktionen bietet einen relativ neuen Blickwinkel auf die Cyber Security. Traditionelle Ansätze konzentrieren sich oftmals auf den Bereich «Protect». Die Devise lautete: Schutz vor Bedrohungen von aussen. Doch unsere Erfahrung zeigt, dass Unternehmen heutzutage davon ausgehen müssen, bereits Ziel eines – meist erfolgreichen – Angriffs geworden zu sein oder in Zukunft zu werden.
Und woher weiss ein Unternehmen nun, ob es infiltriert ist? Genau hier setzt «Detect» an. Dabei geht es um die Entwicklung und Umsetzung von Fähigkeiten sowie die Identifikation eines möglichen Vorfalls. Das kann beispielsweise die Überwachung der internen Infrastruktur sein um sicherheitsrelevante Ereignisse aufzudecken, und in einem zweiten Schritt deren Analyse mittels Korrelation und Aggregation.
Respond
Ist eine Cyberattacke einmal aufgedeckt, geht es darum, möglichst schnell darauf reagieren zu können, um die Auswirkungen einerseits zu verstehen, aber auch möglichst rasch zu minimieren. Zu den Kernkompetenzen von «Respond» gehören:
- Reaktionsplanung
- Kommunikation & Koordination
- Analyse der Attacke & Mitigation
Recover
Wie in jedem Unternehmen muss nach einer Attacke wieder in den «Modus Operandi» zurückgefunden werden. Betroffene Systeme und Daten müssen wiederhergestellt werden, und nicht zu vernachlässigen ist auch der kontinuierliche Verbesserungsprozess. Denn aus jedem Vorfall können wichtige Rückschlüsse für die Zukunft gezogen und die Sicherheit so optimiert werden.
NIST CSF Gap Assessment – ein InfoGuard Security Consulting Service
Nicht nur für kleinere Unternehmen ist es eine stetige Herausforderung, den eigenen Status Quo in den fünf Funktionen zu bestimmen, Stärken sowie Schwächen zu identifizieren und daraus eine strategische Richtung inklusive konkretem Umsetzungsplan abzuleiten.
Genau das (und natürlich noch viel mehr) kann das Consulting-Team von InfoGuard für Sie bewerkstelligen. Wir analysieren Ihre momentane Situation und bestimmen Ihren Maturitäts-Level im Vergleich zu einem definierten SOLL-Zustand und/oder dem Branchendurchschnitt. Die dabei zu identifizierenden Stärken und Schwächen stellen wir für Sie in einem Risiko-Heatmap zusammen und leiten draus konkrete Massnahmen zur Behebung potentieller Schwächen ab. Dank dem grossen Know-how und der Erfahrung unserer Cyber Security Consultants können wir Sie im Nachgang bei der Implementation konkreter Massnahmen unterstützen. Kontaktieren Sie uns – wir beraten Sie gerne!
