Cyberkriminelle machen auch 2023 immer wieder mit spektakulären Attacken Schlagzeilen: Erst musste Yum! Brands – der Eigentümer der Fast-Food-Ketten Taco Bell, KFC und Pizza Hut – nach einem Angriff 300 Restaurants schließen. Dann meldete T-Mobile die Kompromittierung von 37 Millionen Kundendatensätzen. Und schließlich gestand die Royal Mail, dass man ihre Exportsysteme in die Knie gezwungen hatte. Viele Unternehmen denken angesichts dieser Meldungen über neue Investitionen in Cybersecurity nach – aber ist der Tech-Stack wirklich das Problem? Nein, sagt James Hadley, CEO beim Cyber-Resilienz-Spezialisten Immersive Labs: Viel wichtiger sei es, in die Security-Skills der Mitarbeitenden zu investieren und diese zur stärksten Verteidigungslinie auszubilden.
Herr Hadley, mit Blick auf die hohe Zahl der Angriffe ist Cyber-Resilienz das Gebot der Stunde. Das Thema beherrschte die Gespräche in Davos, und aktuelle Studien belegen, dass ihm viele Entscheider höchste Priorität einräumen. Aber was macht ein widerstandsfähiges Unternehmen aus?
James Hadley: Wenn Sie mit Security-Experten – vor allem auf Seiten der Hersteller – sprechen, rücken diese den Fokus bei der Diskussion der Cyber-Resilienz sehr stark auf die technologische Seite: auf Lösungen wie SIEM, DLP, Anti-Phishing und Firewalls. Aber wenn wir uns die erfolgreichen Cyberattacken der jüngeren Vergangenheit ansehen, stellen wir fest, dass diese immer öfter die vermeintliche Schwachstelle „Mensch“ ins Visier nehmen – etwa, indem Mitarbeitende mit raffinierten Phishing-Angriffen zur Preisgabe von Zugangsdaten verleitet werden. Da liegt es doch nahe, auch beim Thema Resilienz nicht nur über Technologie zu sprechen. Weltweit erkennen immer mehr Business-Entscheider, dass die Cyber-Skills, das Wissen und das Urteilsvermögen ihrer Mitarbeitenden, und zwar der gesamten Belegschaft, nicht nur des Security-Teams, eine entscheidende Rolle für die Sicherheit des Unternehmens und der sensiblen Daten spielen. Unternehmen müssen ihre Mitarbeitenden als ihr größtes Kapital betrachten, nicht als das schwächste Glied der Kette.
Aber können die Unternehmen überhaupt einschätzen, wie es um die Cyber-Skills ihrer Workforce bestellt ist?
Hadley: Das ist in der Tat ein kritischer Punkt. Viele der Unternehmen, die gerade mit Hochdruck daran arbeiten, die Cyber-Resilienz ihres Teams zu verbessern, müssen auf die harte Tour lernen, dass es ungemein schwierig ist, erzielte Fortschritte und Erfolge gegenüber dem Management zu belegen. Und das sogar in doppelter Hinsicht: Zum einen ist es generell nicht leicht, die Cyber-Resilienz der Workforce zu quantifizieren. Und zum anderen tun sich viele Unternehmen natürlich schwer damit, die – hoffentlich erzielten – kontinuierlichen Verbesserungen nachzuweisen. Denn mit den in der Branche üblichen einmaligen Schulungen und Zertifizierungsprogrammen lassen sich keine Fortschritte tracken. Und mit einer langen Liste besuchter Webinare und Akkreditierungen ist den Vorständen und Führungskräften in der Regel nicht geholfen.
Wie sieht denn ein moderner Ansatz zur Quantifizierung und Qualifizierung der Skills, des Wissens und des Urteilsvermögens der Mitarbeitenden aus?
Hadley: Der Schlüssel, um die Cyberfähigkeiten ihrer Mitarbeitenden belastbar zu validieren, sind aus unserer Sicht kontinuierliche Übungen mit einem konsequenten Benchmarking – eine bewährte Technik, die viel mehr Unternehmen einsetzen sollten. Auf diese Weise können sie ihr Team an der Einhaltung von gängigen Best-Practice-Vorgaben messen, etwa von Branchenstandards wie den MITRE ATT&CK-, NIST- und NICE-Frameworks, und erhalten so einen aussagekräftigen Überblick über eventuelle Wissenslücken. Diese Daten liefern CISOs und anderen Cyber-Verantwortlichen anschließend auch eine robuste Basis, um ihre Cyber-Resilienz-Strategien weiter zu optimieren und an den tatsächlichen Skills und am Schulungsbedarf der Mitarbeitenden auszurichten. So lässt sich gewährleisten, dass das gesamte Unternehmen auf den Ernstfall eines Cyberangriffs vorbereitet ist.
Worauf gilt es bei der Implementierung eines solchen Benchmarking-Programms zu achten?
Hadley: Um ein erfolgreiches Benchmarking-Programm einzurichten, sollten die Mitarbeitenden zunächst an realitätsnahen Cybersimulationen und Cyberszenarien trainieren, um den Status-Quo der Cyber-Skills fundiert beurteilen zu können. Anschließend wird die Leistung des Teams mit Branchenstandards abgleichen, um Kompetenzlücken zu finden und zu schließen. Auf diese Weise erhalten die Verantwortlichen übrigens auch wertvolle Daten, um die Cyber-Resilienz und deren Entwicklung dem Vorstand oder Management gegenüber zu dokumentieren. Diesen Prozess gilt es natürlich zyklisch zu wiederholen, um mit der dynamischen Bedrohungslandschaft Schritt zu halten.
Was können Unternehmen denn konkret tun, um ihre Cyber-Resilienz zu stärken?
Hadley: Ein wichtiger erster Schritt, um die Cyber-Resilienz nachhaltig zu verbessern, ist die kontinuierliche Bewertung und Dokumentation der Cyber-Skills im Unternehmen auf der Basis robuster Security-Frameworks. Konkret heißt das: Das Management muss jederzeit in der Lage sein, die Stärken und Schwächen seines Teams zu benennen und mit Branchenstandards abzugleichen.
Der zweite Schritt ist es, zu trainieren, schneller und souveräner auf neue Threats zu reagieren – auch hier wieder ausgerichtet an den bewährten Best-Practices der Security-Branche. Wichtig ist dabei, dass die Mitarbeitenden im Notfall ruhig bleiben, einen kühlen Kopf bewahren und die Kontrolle behalten. Das ist nur auf der Basis kontinuierlicher Weiterbildungen möglich.
Drittens muss es dem Unternehmen gelingen, die richtigen Top-Talente zu rekrutieren, zu binden und weiterzuentwickeln. Mit Blick auf den Fachkräftemangel müssen die Unternehmen in der Lage sein, motivierte Mitarbeitende zu gewinnen und zu halten – und sie müssen diese intern zu Cyber-Champions aufbauen.
Der vierte Schritt ist es schließlich, Schwachstellen in eigenen Software-Anwendungen und in der Cloud über den gesamten SDLC hinweg zuverlässig zu identifizieren – denn diese sind die häufigste Ursache von Angriffen. Dafür müssen sie einen konsequenten Shift-Left-Ansatz ermöglichen und die Weichen für sicheres Coding stellen. In vielen regulierten Branchen, etwa im Bankwesen, ist es ja schon heute Standard, dass Entwickler strenge Kompetenznachweise erbringen müssen, bevor sie die Arbeit aufnehmen.
Und wer diese vier Bereiche im Griff hat, ist für die Zukunft gewappnet?
Hadley: Ja, damit hat man auf jeden Fall ein sehr gutes Fundament für eine resiliente Zukunft geschaffen. Und das darf man mit Blick auf die steigenden Erwartungen von Vorgesetzten und anderen Stakeholdern nicht unterschätzen. Immerhin stehen Sicherheitsverantwortliche aufgrund der jüngsten Angriffe unter hohem Druck, die Cyber-Skills über alle Unternehmensbereiche hinweg zu optimieren. Dafür bedarf es eines kontinuierlichen Schulungsprogramms mit robustem Benchmarking, das den Verantwortlichen handlungsrelevante Einblicke liefert – und ihnen hilft, an den richtigen Stellen zu investieren, um die Workforce zur richtigen Zeit mit den richtigen Skills auszustatten. So wird Cyber-Resilienz zum kontinuierlichen Prozess – und vom leeren Schlagwort zum konkreten Ziel.
#ImmersiveLabs
