Aufrufe
vor 4 Monaten

Cybersecurity 2020

  • Text
  • Cybersecurity
  • Februar
  • Malware
  • Mitarbeiter
  • Angriffe
  • Sicherheit
  • Schweizer
  • Cyber
  • Schweiz
  • Unternehmen

« Der Diebstahl von

« Der Diebstahl von Credentials ist eine der grössten Gefahren » Statische Sicherheitsrichtlinien, Projektgates und Checklisten eignen sich nicht für Cloud-Lösungen, sondern die Sicherheit muss in jede Phase des Lifecycles integriert werden. Was berücksichtigt werden muss, erklärt Michael Plüss, Expert Consultant bei Avectris. Interview: Coen Kaat DOSSIER KOMPAKT IN KOOPERATION MIT AVECTRIS Was ist bei der Einführung von Cloud-Infrastrukturen zu beachten? Michael Plüss: Wichtig ist, dass die Sicherheitsaspekte nicht isoliert betrachtet werden. Oftmals gibt es eine Silo-Bildung in den Unternehmen: die «alte» On-Premise-Welt und die «neue» Cloud-Welt. Dieser Ansatz birgt Risiken: Es entstehen entweder blinde Flecken, Ineffizienzen durch den isolierten Zukauf von neuen Tools, oder Prozesse werden nicht durchgängig entworfen. Zudem muss das Monitoring über alle Assets, ob Cloud oder On-Premise, möglich sein, da man ansonsten mögliche Gefahren übersieht. Früher wurde der Fokus auf den Perimeterschutz gelegt. Ist dies noch der richtige Ansatz? Identität ist der neue Perimeter. Eine der wichtigsten Erkenntnisse ist, dass der Perimeterschutz allein nicht mehr genügt. Die meisten Unternehmen kommen zur Erkenntnis, dass der Bereich Identity Management miteinbezogen wird. Ein erfolgreicher Zugriffsschutz durchgängig über alle Systeme ist dabei von grosser Wichtigkeit. Dabei ist zu beachten, dass vor allem auch privilegierte Accounts speziell geschützt werden, da der Diebstahl von Credentials einer der grössten Gefahren darstellt. Welche Massnahmen empfehlen Sie zur Erhöhung des Schutzes? Erstens: Visibilität schaffen über alle Assets – in der Cloud sowie On-Premise. Zweitens: die Evaluation, welche zusätzlichen Risiken/Angriffspunkte sich durch die Einführung einer Cloud-Umgebung ergeben. Drittens: die Ermittlung des aktuellen Sicherheits-Levels und der eingesetzten Tools. Viertens: die Bewertung der identifizierten Lücken, wie beispielsweise sensible, ungeschützte Ressourcen, keine Verschlüsselung, fehlende Updates, fehlende Firewalls für die Cloud Assets oder «vergessene» Cloud Assets. Fünftens: die gezielte Ergänzung von entsprechenden Tools und Prozessen, wie etwa Cloud Access Security Brokers, kurz CASB. Und sechstens: ein integriertes Monitoring über alle Assets, zum Beispiel über ein eigenes oder über einen Managed Security Service Provider. der DevOps-Ansatz mehr Chancen, um die Sicherheit von Softwaresystemen zu verbessern. Container und Microservices sind heute ein wichtiger Bestandteil von DevOps-Initiativen, und die Sicherheit von DevOps muss sich anpassen, um den Sicherheitsanforderungen nachzukommen. Statische Sicherheitsrichtlinien, Projektgates und Checklisten eignen sich nicht für Cloud- Lösungen, sondern die Sicherheit muss in jede Phase des Lifecycle integriert werden. Zentral ist dabei die Schaffung von Security-Know-how innerhalb der integrierten Teams. Wohin bewegt sich die Security-Landschaft? Mit dem Eintritt der Hyperscaler ändert sich diese im Bereich Cybersecurity-Plattformen als PaaS- oder sogar SaaS-Lösungen massiv. Viele Kunden suchen nicht mehr die Best-of-Breed- Lösung in den einzelnen Bereichen, sondern setzen auf die Lösung, welche die beste Integration bietet. Da viele Unternehmen verschiedene Security-Lösungen nutzen, kann diese Strategie, wenn richtig eingesetzt, eine effizientere Lösung darstellen. Mit den Cloud-Lösungen treten auch immer mehr automatisierte softwaredefinierte Security-Lösungen durch Managed- Security-Anbieter in den Vordergrund. Auch die automatisierte Security Incident Response wird noch an Bedeutung gewinnen. Wir empfehlen den Blick auf das Thema Security zu erweitern: von den Informationssicherheits-Policies über den Schutz in einer hybriden Umgebung, Monitoring durch Managed-Security- Services-Spezialisten und der Security Incident Response inklusive Forensik. Unsere erfahrenen Security Consultants unterstützen gerne dabei. Wie sollen die Unternehmen mit dem Thema Security in den DevOps-Prozessen umgehen? DevSecOps als neues Thema hat sich etabliert. Dabei bietet Michael Plüss, Expert Consultant, Avectris. 25

« Ich denke, dass man so wenig wie möglich regulieren sollte » MARKET Mit Florian Schütz hat die Schweiz erstmals einen Delegierten des Bundes für Cyber-Sicherheit. Im Interview spricht er über das Zusammenspiel zwischen Forschung, Wirtschaft und Bund sowie über die aktuelle Sicherheitslage im Land. Interview: Coen Kaat Sie sind nun seit August 2019 im Amt. Haben Sie die Schweiz seitdem schon sicherer gemacht? Florian Schütz: Ob die Schweiz sicherer ist oder nicht, lässt sich nicht einfach messen. Ich denke aber, dass meine Kollegen und ich Schritte in die richtige Richtung machen. Zum Beispiel arbeiten wir gerade daran, die Umsetzung der Ziele der «Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS)» in KPIs zu messen. Bislang gab es nur eine Meilensteinplanung. Wie ist es Ihnen in der Zeit ergangen? Gut. Wir konnten bereits Erfolge erzielen. Die departementsübergreifende Arbeit macht wichtige Fortschritte. Auch die Anlaufstelle konnten wir aufbauen und so die anderen Teams von Melani entlasten. Zudem konnten wir einige knappe Deadlines für politische Geschäfte – dank Sofortmassnahmen – einhalten. Es gibt aber immer noch viel zu tun. Zum Beispiel müssen wir die Organisation im Bund detaillierter beschreiben, mit allen abstimmen sowie Prozesse und Key Performance Indicators (KPIs) formalisieren, um unsere Leistung zu messen. Wie haben Ihre bisherigen Aufgaben bei Ruag und Zalando Sie auf diese neue Rolle vorbereitet? Bei Ruag habe ich vor allem gelernt, für Endkunden zu arbeiten, Businesspläne zu erstellen und eine Organisation Stück für Stück aufzubauen. Ausserdem konnte ich wertvolle Erfahrungen im Bereich Cyber- und Sicherheitspolitik im In- und Ausland sammeln. Bei Zalando lernte ich vor allem, welche Herausforderungen sich in einer komplexen Technologiefirma ergeben. Ich musste eine Organisation aufbauen, welche stark skaliert und messbar ist. Eine Skalierung wird vor allem für den Aufbau vom Nationalen Zentrum für Cybersicherheit (NCSC.ch) ein wichtiger Erfolgsfaktor sein. Wie verlief die Umstellung von der Privatwirtschaft in die Politik? Ziemlich reibungslos. Ungewohnt war für mich, dass die Vorbereitungen von Massnahmen, die man umsetzen will, etwas länger dauern. Es gilt, politische Prozesse einzuhalten, sämtliche wichtigen Akteure in den Diskurs einzubeziehen und zu berücksichtigen. Die Kunst besteht darin, einen für alle akzeptablen Rahmen zu schaffen. In der Umsetzung nutze ich dann einen agileren «fail fast»-Ansatz, um wieder Zeit gutzumachen. Wo gab es nach Ihrem Amtsantritt den dringendsten Handlungsbedarf? Den dringendsten Handlungsbedarf sah ich darin, die Zusammenarbeit zwischen den verschiedenen Teams in der Verwaltung reibungsloser zu gestalten. Um dies zu erreichen, braucht es für jedes Team vor allem eine scharf definierte Aufgabe. Dies erzeugt Transparenz, und die Ergebnisse werden messbar, was wiederum autonome Teamentscheidungen ermöglicht, ohne Konflikte mit anderen Teams zu schaffen oder Arbeit zu duplizieren. Und wie packten Sie diese Herausforderung an? An diversen Stellen wurden erste KPIs etabliert, und ich habe in meiner Geschäftsstelle mit dem Aufbau eines Projektmanagement-Office begonnen. Ausserdem arbeite ich mit meinen Führungskräften aus dem unmittelbaren Umfeld daran, die Teams entsprechend weiterzuentwickeln. Aktuell definieren wir gerade unsere Formate für die Zusammenarbeit – zum Beispiel «Daily Stand-ups» und «Retrospektiven». Wie sieht der Arbeitsalltag des Delegierten des Bundes für Cybersicherheit aus? Den typischen Alltag gibt es nicht. Und genau das ist es, was mir an meiner Tätigkeit gefällt. Ich diskutiere mit Verbänden über Herausforderungen in der Industrie oder evaluiere mit Experten Lösungsmöglichkeiten. Dann beschäftige ich mich mit Organisationsentwicklung und mache Vorschläge für Leistungskataloge. Oder es steht ein politisches Geschäft an, bei welchem ich mein Fachwissen einbringe. Wie muss man sich das Nationale Zentrum für Cybersicherheit (NCSC.ch) vorstellen, das Sie leiten? Das Nationale Zentrum für Cybersicherheit (NCSC.ch) ist die Anlaufstelle für Meldungen über Cybervorfälle. Diese ist seit 1. Januar 2020 aktiv und hat in den ersten zwei Wochen 192 Meldungen bearbeitet. Es wird Best Practices verfügbar machen, welche Unternehmen und Privatpersonen helfen, sich besser zu schützen. Das NCSC.ch stellt ausserdem die Koordination zwischen den Bundesbehörden sicher und steuert die Umsetzung der «Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS)». Zudem planen wir Leistungen, welche heute nur kritischen Infrastrukturen zur Verfügung stehen, auch anderen Unternehmen zugänglich zu machen. Dafür benötigen wir aber noch etwas Zeit. 26

Archiv