Thought Leadership
Cohesity: IT und Sicherheitsteams müssen besser zusammenarbeiten
Mark Molyneux, EMEA CTO bei Cohesity, fordert eine bessere Zusammenarbeit. IT und Sicherheitsteams würden sonst scheitern:
»Es ist wie im Film `täglich grüßt das Murmeltier´. Jeden 31. März spielt die Musik und werden wir am World Backup Day an das Versprechen erinnert: `I solemnly swear to backup my important documents and precious memories.´ Ein edles Ziel, dem jede Firma und jeder User sofort zustimmen.
Aber schon in den Wochen davor und gewiss einige Tage nach dem World Backup Day werden wir aus den Medien erfahren, dass Firmen gehackt und ihre Daten von Ransomware gekapert wurden. Das große Versprechen, die Daten aus dem Backup wiederzuherstellen und damit resistent gegen jeglichen Erpressungsversuch zu sein, wird dann wieder gebrochen.
Die Zahlen sprechen eine klare Sprache, wie der jüngste Branchenbericht der ENISA zum Transport-Sektor zeigt. Im vergangenen Jahr war Ransomware mit 38 Prozent aller erfassten Attacken die dominierende Gefahr, Datenlöschung (30 %) und Malware (17 %) folgten auf den Plätzen zwei und drei. Der Bericht betont dabei, dass wegen des Ukraine Krieges staatengestützte Akteure und Hacker gezielte Attacken gegen den Transportsektor in Europa ausgeführt haben. Ein klarer Beleg, dass sich die Motivation hin zu »Betrieb stören« oder »zerstören« verlagert. Firmen sollten zudem nicht nur auf Ransomware allein schauen. Denn es muss nicht immer ein feindlicher Akt sein, der den Sinn von Backups und Disaster Recovery Prozessen verdeutlicht. Als Anfang Februar bei Bauarbeiten ein Bagger wichtige Glasfasern am Flughafen Frankfurt kappte, wurde der Betrieb wunderbar auf redundante Systeme und Leitungen umgeschifft. Als man aber versuchte, wieder in den Normalbetrieb zurückzuschalten, wackelte das Primärsystem und musste für mehrere Stunden abgeschaltet werden. Mehrere Tausend Flüge fielen aus und der Ruf der Lufthansa litt.
Zusammenarbeit entscheidend
Warum tun sich Firmen mit dieser Aufgabe seit Jahren so schwer? Ein Grund ist die zunehmende Komplexität ihrer Umgebungen und die wachsende Abhängigkeit von Software und Daten, die immer stärker verteilt sind. Diesem Wildwuchs versucht man, mit einem Wildwuchs alter Backup- und Disaster-Recovery-Lösungen in den Griff zu kriegen. Die Folge: Manche Applikationen werden übersehen, fallen durchs Raster und das Sicherheitsnetz. Prozesse müssen im Ernstfall manuell durchgespielt werden von Menschen, die hochgestresst sind. Fehler passieren, die am Ende die Wiederherstellungszeit in die Länge ziehen. Hier sollten Firmen ansetzen und modernisieren, indem sie den Wildwuchs mit einer zentralen Data-Security- und Management-Plattform ersetzen.
Neben der technischen Antwort sollten Firmen außerdem unbedingt dafür sorgen, dass ihre Sicherheitsteams enger mit den Infrastrukturteams zusammenarbeiten, die am Ende für die Wiederherstellung der Daten zuständig sind. Denn beide Teams müssen an einem Strang ziehen, um bei einem erfolgreichen Angriff die Folgen der Attacke einzudämmen und zugleich den Kernbetrieb aufrechtzuhalten. Und sie müssen sich eng abstimmen, um Systeme sauber und gehärtet wiederherzustellen, damit sie nicht in der nächsten Sekunde erneut von der gleichen Attacke kompromittiert werden.
Auf diese vier Grundsätze sollten sich beide Teams verständigen:
1. IT-Infrastruktur- und Sicherheits-Teams sollten die gleichen Ziele für Cyber-Resilienz bekommen
Die Ziele für Cyber-Resilienz sollten objektiv und messbar definiert sein und idealerweise von einer kombinierten CISO / CIO-Rolle verwaltet werden. Die Cyber-Resilienz-Ziele sollten ambitionierte Werte für RPO (Recovery Point Objective – die maximale Datenmenge, deren Verlust das Unternehmen tolerieren kann) und RTO (Recovery Time Objective maximale Zeitspanne, die die Wiederherstellung des normalen Betriebs nach einem Ausfall oder Datenverlust dauern darf) umfassen.
Die IT- und Sicherheits-Teams müssen in der Lage sein, kritische Dienste und Daten auch während eines Cyber-Vorfalls wie eines Ransomware-Angriffs wiederherzustellen und den Kernbetrieb aufrechterhalten zu können. Die RPO und RTO liefern beiden Teams klare Indikatoren, welche Kontrollen und KPIs nötig sind, um das gewünschte Sicherheitsniveau zu erreichen.
2. Gemeinsame Planung ausgerichtet an den Zielen
Sobald sich beide Teams auf die gemeinsamen Ziele geeinigt haben, können sie eine faktenbasierte Diskussion dazu führen, wie sie die Investitionen in Abwehrmaßnahmen, Kontrollen und Technologien ausbalancieren müssen, um die Folgen erfolgreicher Attacken maximal eindämmen zu können. Beide Teams können so die richtigen Prioritäten definieren, um ihre Cyber-Resilienz effizient zu stärken.
3. Umfassendes Verständnis der Angriffsfläche
Beide Teams müssen das gleiche Verständnis der potenziellen Angriffsfläche haben. Dazu müssen beide Teams genau wissen, welche Daten das Unternehmen speichert und wo sich alle Systeme und Umgebungen befinden (Cloud, Public-Cloud und On-Premises). Beide Teams sollten auch das gleiche Verständnis für den Reifegrad ihrer Organisation in Bezug auf die Sichtbarkeit von Daten haben. Dadurch können sie das potenzielle Risiko von Cyberangriffen und Datenverlust besser verstehen.
4. Koordination zwischen ITOps/SecOps mit Incident Response
Schließlich müssen sowohl die IT- als auch die Sicherheits-Teams ihre Zusammenarbeit aktiv verbessern, um sich im Ernstfall reibungsloser, schneller und besser abzustimmen. Um dies zu erreichen, müssen beide Teams in den Incident-Response-Prozess eingebunden sein. Damit beide Teams die Qualität ihrer Interaktion bewerten und potenzielle Probleme identifizieren können, sollten sie miteinander regelmäßige Übungen und Simulationen durchführen.
