Threat-Driven Security (2) : Eine agile CISO-Organisation

Von Florian Oelmaier und Bernhard Mathar, München

In Zeiten wachsender Sicherheitsbudgets wächst auch die Sicherheitsabteilung beziehungsweise CISO-Organisation – dabei wird sie immer mehr zu einem Machtfaktor im Unternehmensgefüge. Zunehmende gesetzliche Regelungen bedeuten zudem immer mehr Standardaufgaben. Doch ist eine standardorientierte, klassische Unternehmensabteilung die richtige Organisationsform, um den Kampf im Cyberspace zu gewinnen? Zwei Beispiele aus der Beraterpraxis der Autoren mögen hier einen Anhaltspunkt liefern:

Anfang 2018, ein Anruf bei der Cyberhotline: Ein Administrator entdeckte drei Tage zuvor, an einem Freitagabend, während eines Serverumzugs „komische Services“ – nach eingehender Prüfung stellte er fest, dass auch noch andere Systeme betroffen waren. Er holte sich Hilfe bei einem Netzwerkadministrator, der die Systeme nicht vom Netz nahm, aber so weit wie möglich separierte. Parallel wurde die Prokuristin, die erst vor Kurzem die Rolle des CISO übernommen hatte, informiert und ein Softwareentwickler hinzugezogen. Keiner in diesem jungen Team hatte spezielle IT-Sicherheitserfahrung.

Dann ging alles sehr schnell: Eine Sandbox wurde aufgebaut, das Logging hochgedreht und ausgewertet, die befallenen Systeme separiert, der Netzwerktraffic überwacht, kleine Tools zum Auffinden der Malware im gesamten Netz und zur Auswertung der Logfiles geschrieben. Die CISO hielt allen den Rücken frei, übernahm die Kommunikation mit dem Management und kümmerte sich um einen „Plan B“. Gleichzeitig vertraute sie den jungen Kollegen und motivierte sie. Als die zu Hilfe gerufenen Berater am Montag mit diesem Viererteam zusammensaßen, war die hochmotivierte Crew der Meinung, dass das Problem seit Sonntag gelöst sei. Und in der Tat: Man konnte nur staunen, wie professionell und schnell – aber nicht hektisch – dieser Sicherheitsvorfall analysiert, recherchiert, bearbeitet und behoben worden war.

Am folgenden Mittwoch ging erneut ein Anruf bei der Cyberhotline ein, diesmal vom Geschäftsführer eines großen Unternehmens. Er berichtete von exakt dem gleichen Vorfall: allerdings mit bis dato drei Tagen Totalausfall der Unternehmens-IT, obwohl die Virenscanner schon seit Montagnachmittag die Malware erkannten, ein Vorgehen zu Bereinigung angeboten wurde und ein fast 30 Mann starkes Team – bestehend aus internen und externen Sicherheitsberatern sowie IT-Fachleuten – versuchte, die Lage in den Griff zu bekommen.

Überraschungen als Tagesgeschäft

Angriffe auf IT und die Informationsbasis steigern sich nicht nur quantitativ, sondern auch qualitativ. Mehrmals pro Jahr taucht ein neues Angriffsmuster auf. Unternehmen sind regelmäßig überrascht von der Art der Attacken, denen sie sich gegenübersehen – Golden-Ticket-Attacks, Ransomware, Fake-Presidents, Industriespionage per Advanced Persistent Threats (APT), Payment-Diversion und vieles mehr. Das ist nicht weiter verwunderlich: Solange wir keine Methoden der künstlichen Intelligenz einsetzen, wird ein menschlicher Angreifer eine auf technischen Tools basierende Verteidigung immer wieder überraschen können.

Das bedeutet: Unsere technische Verteidigung kann nur dazu dienen, bereits bekannte Angriffe und ihre Variationen mit vertretbarem Aufwand abzuwehren. Wie aber reagiert eine Sicherheitsorganisation auf neue Angriffe? Typischerweise wird ein vorher durchdachter, großer und gegebenenfalls recht schwerfälliger Security-Incident-Management-Prozess aus der Schublade geholt oder ein entsprechender Notfallprozess initiiert.

Doch in einer „neuen Welt“ voller klar definierter Bedrohungen, wie sie der erste Teil dieses Beitrags beschreibt, kennen wir die Täter und ihre Motivation. Eine neue Angriffsmethodik darf uns da nicht überraschen – im Gegenteil: Eine angepasste, schnelle und wirksame Reaktion auf eine neuartige Bedrohung ist in diesem Modell vielmehr die Kernaufgabe einer Sicherheitsorganisation.

Agile Abwehr

Doch wie entwirft man eine solche Organisation? Wie überall in der modernen Wirtschaft gilt auch für den Kampf im Cyberspace: Nicht groß schlägt klein, sondern schnell schlägt langsam. Gefragt sind also kleine, schnelle Abwehreinheiten mit definierten Aufgabenbereichen.

Analog zu den agilen Methoden der Softwareentwicklung und den Ideen zur Zusammenführung von Entwicklung und Betrieb (DevOps) sollte man auch in der Sicherheit überschaubare, schlagkräftige Teams bilden. Die Bedrohungsanalyse nach Teil 1 dieses Beitrags hat verschiedene Tätergruppen und die damit assoziierten Bedrohungen identifiziert. In einem zweiten Schritt kann man diese nun in zwei bis acht Kategorien gliedern und jeweils einem „Abwehrteam“ zuordnen (vgl. erweitertes Beispiel in Tab 1). Selbstverständlich können die Abwehrteams dabei sowohl nach Tätergruppen als auch nach Motivation oder Hauptangriffsvektor strukturiert werden.

Aus dem Beispiel der Tabelle 1 ergibt sich folgende Zuordnung zu zunächst fünf Teams:

• Team Blau kümmert sich um Bedrohungsgruppen rund um den Täterkreis „Mitarbeiter“, „Insider“ und „ehemalige Mitarbeiter“
• Team Grün hat die Aufgabe, direkte Cyberangriffe durch organisierte Kriminalität oder Hackergruppen zu entdecken und abzuwehren
• Team Orange ist für Bedrohungsgruppen mit Fokus auf die Angriffsvektoren „Social-Engineering“ und „unabsichtliche Fehlbedienung“ zuständig
• Team Gelb verteidigt gegen Ausspähen durch externe Dritte
• Team Lila wehrt alle Bedrohungen ab, die mit Rufschädigung arbeiten

Zusätzlich wird ein Team benötigt, das die technischen Sicherheitssysteme betreut und bereits bekannte Angriffe abwehrt – also quasi ein Security-Operations-Center (SOC). Ein weiteres Support-Team kümmert sich um die Organisation der formalen Sicherheit: Policies, Compliance, Standards und so weiter. Denkbar wäre es auch, ein SOC in der IT-Operations-Abteilung (IT-Betrieb) einzurichten und die Organisation der formalen Sicherheit in die Hände des Legal-Teams (bzw. der Rechtsabteilung o. Ä.) zu legen.

Wichtig ist, dass allen klar wird: Die Frage, ob ein Unternehmen gut geschützt ist oder nicht, entscheidet sich nicht vorrangig durch die Qualität der technischen Sicherheitssysteme oder die Menge an produziertem Papier, sondern hängt hauptsächlich von der Schlagkraft der Sicherheitsexperten ab.

Interdisziplinär und ohne Denkverbote

Jedes Abwehrteam ist eine kleine, eingespielte Gruppe, die sich fokussiert und flexibel um eine bestimmte Bedrohungsart kümmert. Ein solches Team braucht eine dauerhafte Besetzung – diese kann auch nur aus zwei oder drei Kern-Mitarbeitern bestehen – sowie eine festgelegte Zahl an Mitgliedern, die temporär dazustoßen.

Dabei ist kein Unternehmensbereich ausgeschlossen! Natürlich sollte in jedem Team mindestens ein erfahrener Sicherheitsexperte vertreten sein – mit der entsprechenden Fähigkeit, sich in einen Angreifer hineinzuversetzen. Denn auch der Gegner verfügt über fähige Leute, Zeit und Geld.

Für die Verteidigung ist aber auf jeden Fall auch eine interdisziplinäre Zusammenarbeit nötig: Je nach Team sind klassische Security, Personalabteilung, Rechtsanwälte und Kommunikationsexperten wichtig. Auch Fachleute für IT-Betrieb und Softwareentwicklung können die Abwehr sinnvoll ergänzen.

Ziel und Anspruch

Das Ziel solcher Abwehrteams ist dabei nichts Geringeres, als „vor die Lage“ zu kommen – auf Überraschungen bestmöglich vorbereitet sein. Derzeit kann die IT-Sicherheit meist erst auf Angriffe reagieren, wenn es bereits die ersten Opfer gegeben hat. Dies kann doch aber unmöglich unser Anspruch sein?!

Die „neuen“ Teams müssen daher – zumindest dort, wo es für die jeweilige Bedrohung relevant ist – die ganze Klaviatur des Gesamtkomplexes Sicherheit bespielen. Dazu gehören unter anderem die folgenden Aspekte:

• sicherheitstechnische Segmentierung und Design einer sinnvollen Defense-in-Depth-Strategie
• Einbau von Sollbruchstellen, Überwachung von Schnittstellen und technischen Brüchen
• Betrachtung aller Phasen: Konzeption (Geheimhaltung von Dokumenten), Entwicklung (Stichwort: Backdoor), Test (Sicherheitstests funktional und nicht-funktional) während des Regelbetriebs und im Notfall
• Betrachtung aller Akteure: Mitarbeiter, Geschäftspartner, Zulieferer, Berater, externe Mitarbeiter, Kunden
• Aufbau und Bedienung von Meldeprozessen, gegebenenfalls Aufbau eines internen oder externen Bug-Bounty-Programms
• Schulung und Awareness-Maßnahmen
• Betrachtung von Themen der klassischen Security (zum Beispiel Gebäudesicherheit, Zutrittskontrollen) und gegebenenfalls auch Safety (speziell bei Maschinensoftware relevant)
• rechtliche Aspekte
• Infiltration von Hackerforen und Gegnergruppen
• Herstellung und Pflege von Kontakten zu Experten, Dienstleistern, Behörden und ähnlichen Gruppen
• Audits und Überprüfung von neuralgischen Punkten im Unternehmen

Der Grundgedanke bei der Organisation eines Abwehrteams bleibt aber die Aufstellung einer kleinen, fokussierten Mannschaft, die zielgerichtet zusammenarbeitet, um das jeweilige Problem im Griff zu behalten.

Eine interdisziplinäre Aufstellung hilft dabei, Hürden zwischen den Unternehmensbereichen aus dem Weg zu räumen. So erreicht die Verteidigung dieselbe Schlagkraft, über die auch Angreifer verfügen. Außerdem kommen im Team vielfältigere Einflüsse und Ideen zusammen, wodurch die Expertise der Abwehr steigt. Durch die Fokussierung auf die Abwehr einer Bedrohung statt auf Standards und Compliance entstehen zudem passgenaue, im Unternehmen leichter durchsetzbare Maßnahmen.

Fazit

Eine starre, ständig wachsende Sicherheitsorganisation, die hauptsächlich zur Erfüllung von Standards und Compliance-Richtlinien dient und nebenbei technische Sicherheitssysteme betreibt, ist nicht mehr zeitgemäß.

Hauptaufgabe der Sicherheitsorganisation muss die schnelle und flexible Abwehr von neuen Bedrohungen sein. Die Anpassung möglichst wartungsarmer technischer Sicherheitssysteme zur Verteidigung gegen bereits bekannte Angriffsmuster und die Befriedigung von Standards und Compliance können höchstens Nebenaufgaben darstellen.

Um eine solche Abwehr sinnvoll organisieren zu können, sind kleine, schlagkräftige Teams nötig, die sich jeweils auf bestimmte Bedrohungen konzentrieren. Angelehnt an die agilen Methoden in der Softwareentwicklung und das DevOps-Konzept müssen interdisziplinäre Expertengruppen entstehen, die zunehmend professionellen Angreifern Paroli bieten können. Dadurch werden gleichzeitig bestehende Denkverbote außer Kraft gesetzt und die firmenpolitischen Kompetenz- und Budgethürden überwunden.

Dipl.-Inf. Florian Oelmaier ist Leiter, Bernhard Mathar stellvertretender Leiter IT-Sicherheit und Computerkriminalität bei der Corporate Trust – Business Risk & Crisis Management GmbH.