Bei zunehmendem Digitalisierungs- und Vernetzungsgrad im Unternehmen kommt es mehr denn je auf einen ganzheitlichen Cyber-Security-Ansatz an. Um finanziellen und ideellen Schaden vom Unternehmen abzuwenden, ist eine genaue Betrachtung der IT und deren Resilienz gegen Cyber-Attacken nötig. Das C-Level muss hier seiner Sorgfaltspflicht nachkommen, um kritische Assets bzw. Geschäftsprozesse zu schützen und damit den Unternehmenserfolg zu sichern.

Cyber Security und Pflichten im Kontext

Die Geschäftsleitung eines Unternehmens kann sich der zunehmenden Digitalisierung und somit entstehender Risiken nicht mehr entziehen. Im Gegenteil: Da sie dafür persönlich haftbar sind, kommt der proaktiven Absicherung eine essenzielle Bedeutung zu.

Allgemein besagt die Sorgfalts- und Treuepflicht, dass ein Geschäftsleitungsmitglied im Rahmen seiner Entscheidungen stets geltendes Recht und Gesetz einzuhalten hat und höchste Sorgfalt an den Tag legen muss. Wird eine dieser Pflichten verletzt, haftet sie oder er gegenüber der Gesellschaft für den Schaden. Das bedeutet im Kontext der Cyber Security, dass sich neben der eigenen Sorgfalts- und Treuepflicht auch die Pflicht zur Einrichtung von Überwachungssystemen und zum Aufbau sowie Betrieb von Sicherheitsmanagementsystemen ergibt.

Dabei gilt: Je bedeutsamer die IT für das Unternehmen und je gravierender die Auswirkungen eines Angriffs auf die Systeme sind, desto mehr Informationen haben Geschäftsleitungsmitglieder einzuholen. Und damit ist klarer denn je, dass die Absicherung der eigenen IT als fester Bestandteil auf die Agenda gehört.

Normen, Regularien und Standards im Überblick

ISO/IEC 27001:

Die internationale Normenfamilie ISO/IEC 27001 ermöglicht es Organisationen jeder Art, Vermögenswerte wie Finanzdaten, geistiges Eigentum, Daten von Mitarbeitenden oder Dritten sowie anvertraute Informationen sicher zu verwalten. Sie bildet die Basis für den Aufbau und Betrieb eines Informationssicherheitsmanagementsystem (ISMS).

NIST Cybersecurity Framework:

Die US-Bundesbehörde National Institute of Standards and Technology (NIST) gibt mit dem sogenannten „Cybersecurity Framework“ eine Reihe von Richtlinien heraus, mit denen Unternehmen Bedrohungen besser erkennen und abwehren können. Auch Richtlinien zur Prävention und Wiederherstellung nach einem Angriff sind enthalten.

Risk Management:

Da ein entscheidender Teil der Risikoprävention im Schutz der IT-Infrastruktur liegt, sind Massnahmen zu veranlassen, die ein angemessenes Schutzniveau gewährleisten. Um diese zu bestimmen, bedarf es jeweils einer individuellen Risikoanalyse.

Wie kann mich ein Security Operations Center dabei unterstützen?

Um die regulatorischen Anforderungen zu erfüllen und negative Auswirkungen zu minimieren, sind die Prävention und Erkennung von Sicherheitsvorfällen wie auch der geeignete Umgang damit wichtiger denn je. So setzen immer mehr Organisationen auf die Leistungen eines Security Operations Center (SOC). Als zentrale Leitstelle hat es die Aufgabe, Prozesse, Technologien und Mitarbeitende zum zentralen Schutz der IT-Infrastruktur eines Unternehmens zu vereinen und deren Zusammenwirken intelligent zu organisieren. Da ein SOC aber nicht auf der „grünen Wiese“ entsteht, gilt es, seine Stellung im Gesamtgebilde, die Aufgaben und Verantwortungen sorgsam zu definieren. Darauf aufbauend sind die Erwartungen ans SOC (Mission) und seine gewünschte Entwicklung (Vision) herauszuarbeiten. Damit es dann auch möglichst effizient arbeiten kann, kommt es auf ein reibungsloses Zusammenspiel aus verschiedenen Einflüssen an.

People – gefragte Kompetenzen

Die Mitarbeitenden sind das Herzstück eines SOC. Dabei handelt sich um erfahrene Cyber-Seurity-Spezialisten, die Angriffe erkennen, analysieren, Gegenmassnahmen einleiten und die Mitigation unterstützen. Auftretende Anomalien werden tiefer analysiert, False Positives aussortiert und Vorfälle nach vordefinierten Prozessen abgearbeitet.

Prozesse – reibungslos und integriert

Die Prozesse eines SOC stellen das Bindeglied zwischen den Cyber-Security-Analysten und den Tools dar, wobei die Einbindung in bestehende Unternehmensprozesse essenziell wichtig ist. Zudem muss geklärt sein, wie und wann welche Reports vom SOC an die Stakeholder präsentiert und welche KPIs dafür erfasst werden. Weitere wichtige Prozesse sind das Threat Modeling, die darauf basierende Überwachung, Triage und Alarmierung sowie das Incident Handling – also das Vorgehen des SOC bei tatsächlichen Sicherheitsvorfällen.

Tools – verbindende Technologie

Die besten Fachkräfte und ausgefeiltesten Prozesse nützen wenig, wenn sich Bedrohungslagen nicht rechtzeitig erkennen und bewerten lassen. So braucht es entsprechende Tools wie ein Security Information and Event Management (SIEM), welches alle Informationen sammelt, diese mit Threat Feeds abgleicht und in Echtzeit auf Angriffe untersucht. Hinzu kommen Tools zum Erfassen, Verwalten und Dokumentieren von Sicherheitsvorfällen und zugehörigen Abläufen.

Make or Buy – Vorteile und Nachteile

Klar ist: Mit einem SOC kann das C-Level seinen sicherheitsrelevanten Pflichten besser gerecht werden. Klar ist aber auch, dass die grösste Herausforderung meist in den begrenzt verfügbaren Ressourcen liegt. Spezielle Technologien haben ihren Preis und qualifizierte Cyber-Security-Analystinnen und -Analysten sind im Cyber Defense Umfeld extrem gefragt. So stellt sich die Frage, das SOC selbst aufzubauen und intern zu betreiben (Make) oder es zum Teil oder ganz bei einem geeigneten Managed Security Service Provider zuzukaufen (Buy).

Die Buy-Option entschärft Herausforderungen wie den Zeitdruck, die Mitarbeitendenrekrutierung und Installation geeigneter Technologien.

Die Make-Option verlangt eine Evaluation der Technologie sowie die Definition und Realisation aller Prozesse sowie die Rekrutierung neuer Rollen.

is die entsprechenden Expertinnen und Experten intern oder extern gefunden, eingestellt und geschult sind, ergibt sich ein längerer Vorlaufprozess.

Die Buy-Strategie bietet hingegen den grossen Vorteil, dass sämtliche Themenpunkte der SOC Vision bereits definiert und realisiert sind.

Somit ist ein „SOC as a Service“ eine valide Alternative, die Cyber-Security-Engpässe von Fachkräften und Budgets zu überwinden.

Was bei der Wahl eines SOC as a Service Providers wichtig ist

Wenn das SOC als zentrale Einheit für sämtliche Informationen im Unternehmen etabliert ist, nimmt es die wichtigste Schlüsselrolle in Bezug auf sicherheitsrelevante Themen ein. Dementsprechend sorgfältig sollte ein SOC Provider ausgewählt sein.

Verfügt der Managed Security Service Provider über qualifizierte Mitarbeitende, um auch die Herausforderungen der steigenden IT/OT-Konvergenz zu bewältigen? Arbeitet er mit den richtigen Tools, kann er Prozesse reibungslos integrieren und einen Service 24/7 erbringen? Verfolgt er die definierte Mission und Vision? Und nicht zuletzt: Können Sie ihm vertrauen? Über all diese Faktoren sollte sich die Geschäftsleitung im Voraus Gedanken machen, wenn sie sich für einen ganzheitlichen Cyber-Security-Ansatz mittels eines Security Operations Center entscheidet. Gerne unterstützt Axians Unternehmen hierbei, kommen Sie jederzeit gerne auf uns zu.

Kurzvita Mathias Bücherl

Mathias Bücherl, Chief Technology Officer bei der Axians Cyber Security & BI AG. Mathias Bücherl verfügt über langjährige Erfahrung im Bereich Managed Cyber Defense und Security Operation. In seiner Rolle leitet er die Bereiche Consulting, Product Management und Delivery und verantwortet den Aufbau des IT/OT SOCs der Axians in Basel. Zuvor war Mathias Bücherl sieben Jahre für die T-Systems International GmbH in München und Singapur im Bereich Cyber Security beschäftigt. Er war führend beim Aufbau des International Business & Portfolios in EMEA, APAC und Americas tätig. Sein Verantwortungsbereich reichte von Design, Implementierung und Verbesserung von globalen Consulting und Delivery Prozessen, Beratung von Kunden auf C-Level bis zum Lead beim Aufbau des SOCs in Singapur und Mexico-City. Neben seinem beruflichen Engagement ist Mathias Bücherl als Dozent an der Hochschule Luzern und DHBW Stuttgart im Fachbereich Cyber Security tätig.

 

Über Axians in der Schweiz Die Axians-Unternehmensgruppe in der Schweiz ist Teil des globalen Markennetzwerks für ICT-Lösungen von VINCI Energies. Mit einem ganzheitlichen ICT-Portfolio unterstützt Axians Unternehmen, Kommunen, öffentliche Institutionen, Netzbetreiber und Service Provider bei der Modernisierung ihrer digitalen Infrastrukturen und Lösungen. In den Geschäftsbereichen in der Schweiz sorgen Berater, Entwickler und Techniker dafür, das Leben von Menschen zu verbessern – etwa durch Breitbandausbau, Cloud- und Data-Center-Infrastrukturen, Cybersicherheit, Enterprise Netzworks, IoT-Plattformen und führende Software die öffentliche Verwaltung. 2020: 839 Mitarbeitende // 20 Standorte www.axians.ch Über Axians Axians unterstützt privatwirtschaftliche Unternehmen, öffentliche Einrichtungen, Netzbetreiber und Service Provider bei der Modernisierung ihrer digitalen Infrastrukturen und Lösungen. Ob Applikationen oder Data Analytics, Unternehmensnetze, Shared Workspace, Data Center, Cloud-Lösungen, Telekommunikationsinfrastrukturen oder Internetsicherheit – Axians ist Spezialist für alle aktuellen Informations- und Kommunikationstechnologien! Durch Beratung, Planung, Integration und eine breite Palette von Dienstleistungen erschließt Axians den vollen Mehrwert dieser Technologien in Form bedarfsgerechter Lösungen für den Kunden. Axians ist eine Marke von VINCI Energies. 2020: 2,6 Milliarden Euro Umsatz // 12.000 Mitarbeiter // 25 Länder www.axians.com Über VINCI Energies Netzwerke, Performance, Energieeffizienz, Daten: In einer sich ständig verändernden Welt legt Vinci Energies den Fokus auf die Implementierung neuer Technologien. Zwei Entwicklungen werden besonders unterstützt: digitale Transformation und Energiewende. Die 1.800 regional verankerten, agilen und innovativen Business Units von Vinci Energies erhöhen jeden Tag die Zuverlässigkeit, Sicherheit und Effizienz von Energie-, Verkehrs- und Kommunikationsinfrastrukturen, Fabriken, Gebäuden und Informationssystemen. 2020: 13,7 Milliarden Euro Umsatz // 83.800 Mitarbeiter // 1.800 Business Units // 55 Länder www.vinci-energies.com ZUM ARTIKEL DER NETZWOCHE