Inhaltsverzeichnis:
Cyberangriffe zielen mit alarmierender Geschwindigkeit auf Unternehmen ab. Die schwerwiegenden Verstöße bei Target im Dezember 2013 und Neiman Marcus im Januar 2014 haben die Unzulänglichkeiten, die viele Einzelhandelsgeschäfte in ihrer Sicherheitsinfrastruktur aufweisen, in den Vordergrund gerückt. Infolgedessen verspüren immer mehr große und kleine Unternehmen das Bedürfnis, ihre Anstrengungen zu verstärken und ein engagiertes Sicherheitsteam zu haben.
Laut einem von Reuters im Mai 2014 veröffentlichten Bericht sind einige große Unternehmen wie Pepsi und JPMorgan Chase & Co. auf der Suche nach neuen Chief Information Security Officers (CISOs), um die Sicherheitspraktiken zu stärken. Darin spiegelt sich ein stärkeres Sicherheitsbewusstsein und dessen Bedeutung auf der Führungsebene des Unternehmens wider.
CISOs und Chief Cybersecurity Officers sind in die Sicherheit ihrer Technologie sowohl für Arbeitgeber als auch für Kunden vertieft, aber ihre Rollen und Verantwortlichkeiten werden in den Augen der breiten Öffentlichkeit, nicht nur in der Sicherheitsgemeinschaft, immer ausgeprägter und wichtiger.
"Vor fünf Jahren hat die Informationssicherheit kaum die Top 10 der Boards geknackt. Vor einem Jahr war sie die Nr. 2. Interessanterweise handelt es sich jetzt um Datensicherheit und nicht nur um Informationssicherheit", sagt David Boehmer, regionaler Managing Partner bei der Personalagentur Heidrick & Kämpfe, in einem von der Firma produzierten YouTube-Video.)
Was ein CISO macht
Die Rolle eines CISO kann sehr weit gefasst sein und sie tragen oft viele verschiedene Hüte. Die Aufgabe umfasst alles von der internen Sicherheit, wie zum Beispiel die Verwaltung der Sicherheit des geistigen Eigentums, bis hin zur Verantwortung für die Kundensicherheit.
"Ich arbeite auch mit unserem Produktteam und dem Entwicklungsteam zusammen, um Funktionen in dem Produkt zu implementieren, die für Sicherheitskäufer interessant sein könnten", sagt Joan Pepin, CISO bei Sumo Logic.
Während die Zielverletzung im letzten Jahr sicherlich viele Leute zum Reden brachte, erklärte Pepin, dass sie nicht allzu überrascht war - und auch nicht die meisten Sicherheitsleute. Das soll nicht heißen, dass die Sicherheitsgemeinschaft keine "Wendepunkte" hatte, in denen jeder seine Arbeit vorantreiben musste.
Die RSA-Verletzung im Jahr 2011, bei der Hacker die Server des Informationssicherheitsunternehmens durchbrachen und Authentifizierungstoken stahlen, die den Zugriff auf vertrauliche Regierungs- und Unternehmensdaten ermöglichten, ließ viele Sicherheitsfachleute staunen. Wie kann ein Sicherheitsunternehmen solchen Hackern zum Opfer fallen? Nur zwei Jahre später würde sich diese Sorge auf ein Ziel verlagern, das zuvor unter dem Radar geflogen war: Einzelhandelskunden. Angriffe wie bei Target und Neiman Marcus lenkten die Aufmerksamkeit auf die Sicherheit für den täglichen Kunden.
"Wenn Sie einen massiven Einzelhandelsbetrieb mit Tausenden und Abertausenden von Mitarbeitern haben, all diese verschiedenen Standorte, Verkaufsautomaten, dann ist das eindeutig die ärmste Art von System und die Tatsache, dass diese Arten von Angriffen nicht stattgefunden haben Art der Skala früher ist eigentlich ein bisschen eine Überraschung für mich ", sagte Pepin.
Das Problem rührt daher, dass die Sicherheit als Kontrollkästchen betrachtet wird, das Unternehmen aktivieren und deaktivieren müssen, anstatt ständig überwacht zu werden. Dies bedeutet nicht, dass Cyberkriminelle nachlässig sind und einfach reingehen können. Tatsächlich werden Cyberkriminelle immer kompetenter.
"Es war eine ziemlich raffinierte Verletzung, die es ermöglichte, sich als BMC-Agent auszugeben, und solche versteckten Dinge. Seitwärtsbewegungen im gesamten Target-Netzwerk zu betreiben, war ziemlich clever", sagte Pepin.
"Ich möchte das nicht ändern, aber in Bezug auf Zielschwierigkeiten würde ich niemals eine Einzelhandelskette auf eine Liste harter Ziele setzen. Sicherheitsunternehmen sind harte Ziele, die Regierung ist ein hartes Ziel." Bei einer Einzelhandelskette, die Socken verkauft, würde ich nicht erwarten, dass sie ein super sicherer Laden sind. "
Die Landschaft für Sicherheitsexperten
Im Juni 2014 stellte Target seinen ersten CISO, Brad Maiorino, ein ehemaliger Geschäftsführer von General Motors, ein, der die Überarbeitung der Sicherheitspraktiken des Unternehmens überwachen wird.
Unternehmen, unabhängig von ihrem Tätigkeitsbereich oder ihrer Größe, müssen ihr Sicherheitsspiel zur Kenntnis nehmen und verbessern, um auf ständig wachsende Bedrohungen mit größerem Bewusstsein und mehr Autorität zu reagieren, um potenzielle Verstöße zu bekämpfen.
"Es war klar … im Fall Target, dass Warnungen generiert wurden, auf die niemand geantwortet hat und die nach meiner Erfahrung aus der verwalteten Sicherheit äußerst typisch sind", sagte Pepin.
"Das beste Intrusion Detection-System der Welt weist immer noch eine sehr hohe Falsch-Positiv-Rate auf. Daher werden Sicherheitsbeauftragte von ihren Systemen so geschult, dass sie ihre Systeme ignorieren. Dort gibt es eine technologische Lücke in der menschlichen Interaktion, in der Ersthelfer für Tausende von Menschen taub werden." Warnungen, die sie erhalten, sind Müll. Im Fall von Target gab es einige Anzeichen, die nicht weiterverfolgt wurden, was dazu beigetragen hätte, die Auswirkungen viel früher zu minimieren. "
Wie so oft kann ein Sicherheitsexperte nicht sofort auf ein Problem reagieren, da er die Freigabe oder Genehmigung einer anderen Person in der Hierarchie benötigt. Dies müsse sich ändern, sagt Pepin und erklärt, dass das Sicherheitsteam eines Unternehmens mehr Autonomie und Autorität haben müsse, um die Initiative zu ergreifen.
"Ich bin der Meinung, dass es nach wie vor ein Governance-Problem ist, wenn Chief Information Security Officers nicht an CIOs berichten sollten", sagt Tom Kellermann, Chief Cybersecurity Officer bei Trend Micro. "Sie sollten dem Chief Risk Officer oder dem CEO direkt Bericht erstatten." Dies vermeidet viele Zwischenhändler und sorgt für eine schnellere Reaktion auf potenzielle Notfälle.
Pepin stimmt zu, dass Sicherheitsexperten in ihrem Unternehmen "Bericht erstatten" sollten. "Ich habe das Glück, dass ich unserem CEO Bericht erstatte. Das funktioniert sehr gut und das würde ich wirklich jedem Unternehmen empfehlen, das seine Sicherheit ernst nimmt."
Sonstige Budgets und Sicherheit für KMU
Die Einstellung eines CISO und die Erweiterung Ihres Sicherheitsteams ist in Ordnung und gut, wenn Sie über das Budget verfügen. Aber wie steht es mit kleineren Unternehmen? Obwohl ein Angriff auf eine kleine Kette oder Ihr lokales Eisenwarengeschäft für Hacker nicht die gleichen Vorteile bringt wie das Treffen eines Ziels oder Neiman Marcus, ist es immer noch unklug, sich in irgendeiner Weise verwundbar zu machen. Was können Sie also tun, um das Angriffsrisiko zu verringern? Pepin empfiehlt dringend, die Dienste eines Auftragnehmers oder Beraters für die Reaktion auf Vorfälle in Anspruch zu nehmen.
"Wenn Sie angegriffen werden, können Sie jemanden anrufen, damit Sie Google nicht öffnen und nach Informationen suchen müssen", sagte sie.
Dies sei für ein kleineres Unternehmen wirtschaftlicher, da das Unternehmen die Dienste nur dann in Anspruch nehme, wenn sie benötigt würden. Diese Dienste sind auch sehr darauf spezialisiert, dort abzuholen, wo Ihre Mitarbeiter aufgehört haben.
"Man kann ein fantastisches Team für Triaging haben, das versteht, dass man angegriffen wird, aber es sind nicht genau die gleichen Fähigkeiten erforderlich, um auf diesen Angriff zu reagieren, sie aus dem Netzwerk herauszuleiten und die Beweise auf eine Weise zu sammeln, die es kann." vor Gericht verwendet werden. "
Unternehmen verfügen über zahlreiche Ressourcen zur Bekämpfung der Internetkriminalität. Die jüngste Geschichte deutet darauf hin, dass ein weiterer großer Angriff unmittelbar bevorsteht.
