Carsten Fabig, Vineyard Management Consulting GmbH, über IT Security Trends und Frameworks in der Praxis.
1. Herr Fabig, warum sind Sie als Management Berater mit Ihrer Firma tiefer in das Spezialthema IT Security Management eingestiegen?
Nun, vom Kern des Vineyard Management Consulting Leistungsangebots her war dies zunächst nicht forciert worden. Doch dann hat es mich in einem Kundenprojekt schlichtweg erwischt. Sprich ich wurde auf Basis unserer Kernkompetenzen Komplexitäts-, Prozess- und Projektmanagement angesprochen, ob ich das Thema Data Leakage Prevention unterstützen könnte. Und so startete das erste Projekt, in dem ich in der Breite Security Know-how und das inzwischen über Jahre spezialisierter aufbauen konnte.
2. Was reizt Sie an der Herausforderung IT Security Management?
Ich denke, es ist eines der IT-Trend-Themen, die uns noch lange in den Unternehmen aber auch im privaten Umfeld zunehmend beschäftigen werden. Oftmals wird im ersten Schritt zwar eher nur an Tools gedacht, doch mit der Nutzung durch den ersten User beginnen die eigentlichen Change-Herausforderungen für die Organisation.
3. Sind die Unternehmen aus Ihrer Sicht aktuell passend aufgestellt?
Alle Unternehmen haben mittlerweile die Herausforderung, aufgrund der inzwischen allgemein anerkannten Wichtigkeit wirklich gutes Personal zu finden. Zum einen stehen nicht genug gut ausgebildete Fachkräfte zur Verfügung, zum anderen ziehen Betreiber kritischer Infrastrukturen entsprechend zusätzlich die spezialisierten Kräfte in ihre Projekte.
4. Welche Trends zeigen sich am Horizont und schon jetzt konkret in aktuellen Beratungsprojekten?
Mit den stetig steigenden Cyber-Angriffen, die nun einer breiteren Öffentlichkeit auch über die Presse mitgeteilt werden, wird natürlich auch der Ruf nach einem effektiven und effizienten Incident Management und speziellen Threat Intelligence-Teams lauter. Hier setzt die Automatisierung gerade erst richtig ein, doch es bleibt eine Herausforderung, in den Datenmengen die falschen Alarme herauszufiltern. Das Zusammenspiel zwischen Technik und den Teams gilt es weiter zu optimieren. Weiterhin ist die Transparenz zum aktuellen Sicherheitsniveau der Organisation ein Dauerthema, die Stichworte sind hier Key Compliance Indicators (KCIs) und Compliance-Check-Tools.
5. Welche IT Security-Initiativen priorisieren Unternehmen bei limitierten Ressourcen und Budgetkürzungen üblicherweise?
Das Thema Data Leakge Prevention hat noch einmal neu an Fahrt aufgenommen. Hierbei gilt es erst einmal die Informationen des Unternehmens in Bezug auf ihre Kritikalität zu klassifizieren: zunächst manuell, in einer späteren Phase dann auch automatisiert. Gleich dahinter sind das Management von Privileged Access Rights, eine effektive Netzwerksegmentierung sowie der Aufbau von Hardware und Software-Inventories in ihrer Verknüpfung mit dem Patch Management entsprechend hoch priorisiert.
6. Welche IT Security-Frameworks sollten Kunden nutzen? Welche sind besonders umsetzungsnah?
Typischerweise sind Unternehmen in Deutschland heute ISO-zertifiziert und richten das Management ihrer Informationssicherheit entsprechend auch an ISO27001/27002 aus. Da die Themen mit den bestehenden Mannschaften aus der Linienorganisation in der Regel kaum vollumfänglich bearbeitet werden können, ist es oft hilfreich, ein für das Unternehmen passendes Framework zu entwickeln und dabei natürlich Quellen wie COBIT5, ISO und SANS als Input und Fokussierung innerhalb eines Gebietes zu verwenden. Gerade SANS20 ist zwar kein holistischer Ansatz, konkretisiert die Implementierung aber dafür auf bestimmte Technologien.
7. SANS20 ist derzeit bei IT Security-Verantwortlichen in aller Munde. Welche Änderungen sind nun mit der aktuellen Version 6.0 vorgenommen worden? Wie sind diese zu bewerten?
SANS20 stellt aufgrund seiner Prioritäten und Implementierungsebene eine enorme Orientierungshilfe dar, insbesondere für kleinere und mittlere Unternehmen. Die neue Version 6.0, die zum 15. Oktober 2015 vom CIS (Center of Internet Security) veröffentlicht worden ist, hat wesentliche Änderungen der Prioritäten der einzelnen 20 Fokusfelder vorgenommen. Hier sind an erster Stelle die deutlichen Heraufstufungen von Security Monitoring und einem kontrolliertem Privileged Access Rights Management zu nennen. Zusätzlich wurde ein neues Fokusfeld eingeführt, das unmittelbar die Data Leakage Risiken adressiert und die Konfiguration und Verwendung von Email-Systemen und Browsern in dieser Hinsicht sicherer machen soll. Nicht weiter erstaunlich ist die Herabstufung des Prozesses zu einer sicheren Softwareentwicklung, da der Einsatz von Fremdsoftware weiter steigt und sich die Risiken letztendlich häufig auf Lücken in Patching- sowie Verschlüsselungs- und Authentifizierungsprozeduren zurückführen lassen.
8. Viele Deutsche Unternehmen setzen weiterhin stark auf ISO27001/2. Sehen Sie das als Widerspruch zu SANS20 bzw. vielleicht diese Ausrichtung auch als rückständig an?
Nein, das ist sicher kein Widerspruch. Die Frameworks ergänzen sich. In SANS20 sind viele organisatorische und prozessuale Aspekte so gut wie gar nicht abgedeckt. Insofern ist es gut und richtig hier entsprechend auf das generelle Management von Informationssicherheit auf ISO und COBIT zu setzen. Insbesondere bezüglich der „Nicht-IT-Kanäle“ wie Voice und Print braucht es ebenfalls entsprechende Awareness, für die SANS20 keine passenden Antworten bereithält.