Cyber Defence Maturity Assessment

Ist Ihre IT Security reif genug?

12.05.2020
Von 
Sebastian Schmerl ist Solution Manager Cyber Defence und Industrial Security bei Computacenter.
IT Security effektiv zu planen ist kein leichtes Unterfangen. Eine systematische Bewertung Ihrer Cybersecurity-Reife kann Ihnen dabei helfen, an den richtigen Stellen zu investieren.

Viele Unternehmen sind unsicher, gegen welche Angriffsmethoden sie sich schützen müssen und ob ihre existierenden Maßnahmen ausreichen, um die Geschäftskontinuität aufrecht zu erhalten. Sie haben Schwierigkeiten, ihren Sicherheitsstatus einzuschätzen und die richtigen Maßnahmen umzusetzen, damit sich das Schutzniveau verbessert.

Unternehmen, die die Lücke zwischen Ist- und Soll-Zustand ihrer IT-Sicherheit messen, können Security-Investitionen zielgenau planen.
Unternehmen, die die Lücke zwischen Ist- und Soll-Zustand ihrer IT-Sicherheit messen, können Security-Investitionen zielgenau planen.
Foto: Falcona - shutterstock.com

Um mehr Klarheit über die Reife der eigenen Cybersicherheit (Cyber Defence Maturity Assessment) zu bekommen, gilt es zuerst, ein erforderliches Sicherheitslevel als Ziel-Zustand zu definieren. Anschließend kann das tatsächliche Schutzniveau - der Ist-Zustand - dazu ins Verhältnis gestellt und Lücken in der IT Security identifiziert werden. Das Schutzniveau hängt jedoch von vielen Faktoren ab, beispielsweise Mitarbeiteraktivitäten, dem Patch-Zustand oder aktuellen Angriffskampagnen. Es bedarf also einer Bewertungsmatrix, die diese komplexen Einflüsse abbilden kann.

Reifegrad der IT-Sicherheit - die Bewertung

Mit einem Cyber Defence Maturity Assessment wird die Widerstandsfähigkeit der gesamten IT-Infrastruktur auf Basis eines definierten Vorgehensmodells analysiert und daraus abgeleitet, wo weitere Maßnahmen notwendig sind.

Um den Ziel-Zustand zu definieren, bieten sich diese Schritte an:

  • Angreiferklassen selektieren, die die Organisation im Fokus haben

  • wahrscheinliche Angriffstechniken ableiten

Anschließend können der Ist-Zustand sowie Verbesserungen ermittelt werden:

  • Abdeckungsgrad bestehender Schutzmaßnahmen in Bezug auf die abgeleiteten Angriffstechniken definieren

  • Maßnahmen zum besseren Schutz budgetieren, auswählen und implementieren

Grundlage für die Bewertung von Angriffstechniken und Schutzmaßnahmen ist das aktuelle MITRE ATT&CK-Framework. Diese Wissensdatenbank führt in einem standardisierten Verfahren alle bekannten Angriffstechniken, Angriffsvektoren und typischen Angreiferklassen anhand der Phasen einer Cyberattacke zusammen. Dabei werden Maßnahmen für Prävention und Erkennung sowie die Response-Fähigkeiten des Unternehmens gegenüber den unterschiedlich motivierten und technisch versierten Angreiferklassen betrachtet.

Cyber Assessment - Ziel-Zustand definieren

Verschiedene Angreiferklassen attackieren mit unterschiedlicher Qualität und Quantität. Sich viral ausbreitende Malware wie Emotet und andere Ransomware wird zwar in hohen Mengen verschickt. Die verwendeten Angriffstechniken sind jedoch vergleichsweise einfach und werden nicht spezifisch auf Opfer zugeschnitten. Ähnlich verhält es sich bei Angriffen von so genannten Basic Attackern. Diese sind nicht so häufig, agieren aber spezifischer und mit höherer Qualität.

Die Qualität und der Zuschnitt der Angriffe nimmt bei den weiteren Angreiferklassen wie Crime Service Attackers, Persitent Attackers und Advanced Persitent Threat (APT) bis hin zu Nation State Attackers weiter zu. Auf Basis einer Visualisierung können Unternehmen nun entscheiden, bis zu welcher Angreiferklasse (rote Linie) sie geschützt sein wollen und in den nächsten Schritten das erforderliche Sicherheitsniveau ableiten.

Angreiferklassen unterschieden sich darin, wie häufig und gezielt sie agieren.
Angreiferklassen unterschieden sich darin, wie häufig und gezielt sie agieren.
Foto: Computacenter

Die unterschiedlichen Angriffstechniken lassen sich dem MITRE ATT&CK-Framework entnehmen. Häufige verwendete Techniken stehen in den weiteren Schritten im Fokus. Werden sie für alle relevanten Angreiferklassen übereinandergelegt, erhalten Unternehmen eine Übersicht, gegen welche Techniken sie sich schützen sollten.

Auswahl der relevanten Angreiferklassen und ihrer Angriffstechniken.
Auswahl der relevanten Angreiferklassen und ihrer Angriffstechniken.
Foto: Computacenter

IT Security - Ist-Zustand ermitteln

Um festzustellen, wie reif die Security des eigenen Unternehmens hinsichtlich dieser selektierten Angreiferklassen ist, müssen anschließend deren Angriffstechniken nacheinander bewertet werden. Im Rahmen von persönlichen Interviews mit den wichtigsten Stakeholder-Gruppen gilt es, die für das Unternehmen relevantesten Angriffstechniken zu analysieren. Dazu zählen etwa Fachabteilungen für Netzwerk, Client/Server, Active Directory, Firewall/Proxy oder Governance, Risk und Compliance. So lässt sich feststellen, wie gut das Unternehmen vor einzelnen Angriffstechniken geschützt ist. Zudem erhält es eine Übersicht über die Leistungsfähigkeit ihrer Cyber Defence gegenüber der Angreiferklassen.

Schließlich sollte für jede selektierte Angriffstechnik die Effektivität der relevanten Schutzmaßnahmen und deren Abdeckung bewertet werden. Dazu dienen entweder komplexe Metriken oder ein einfaches Produkt aus Effektivität (null bis 100 Prozent) und Abdeckungsgrad (null bis 100 Prozent) über alle IT-Assets. Ein Überblick über den Schutz gegen alle Angriffstechniken lässt sich dann einfach visualisieren: Kein Schutz gegen diese Angriffstechnik vorhanden (rot), teilweiser Schutz vorhanden (gelb) und guter Schutz vorhanden (grün).

Farbliche Visualisierung des Status Quo der Schutzmaßnahmen.
Farbliche Visualisierung des Status Quo der Schutzmaßnahmen.
Foto: Computacenter

Sicherheitsverbesserungen budgetieren

Langfristig ist es das Ziel, möglichst selten in kritischen Bereich für Geschäftsunterbrechungen zu geraten. Alle dafür notwendigen Maßnahmen umzusetzen, scheitert aber oft am Budget. Umso wichtiger ist es, dass mit einem Lagebild das Fundament für Entscheidungen gelegt wird.

Das erforderte Sicherheitsniveau sollte nicht unterschritten werden. Befinden sich Unternehmen länger im kritischen Bereich, erhöht sich das Risiko, dass die Geschäftsprozesse unterbrochen werden.
Das erforderte Sicherheitsniveau sollte nicht unterschritten werden. Befinden sich Unternehmen länger im kritischen Bereich, erhöht sich das Risiko, dass die Geschäftsprozesse unterbrochen werden.
Foto: Computacenter

Um die eigenen Schutzmaßnahmen bestmöglich auszurichten, sollten die individuellen Anforderungen möglichst gut abgedeckt sein. Meist zeigt sich bei der Bewertung allerdings, dass die aktuellen Sicherheitsmaßnahmen nicht den erforderlichen Schutz bieten. Für Unternehmen bedeutet dies, dass nicht nur große Teile ihrer IT-Infrastruktur ungeschützt sind, es wird auch Budget für eigentlich unnötige oder redundante Maßnahmen verschwendet. Eine 100-prozentige Abdeckung aller Angriffstechniken ist nicht realisierbar. Unternehmen müssen daher anhand ihres Security-Budgets sehr genau abschätzen, bis zu welcher Angreiferklasse sie sich schützen möchten. Letztendlich gibt es dazu unterschiedliche Möglichkeiten:

  • Sie orientieren sich am Ziel-Zustand, dem erforderlichen Sicherheitsniveau. Dann sind passende Security Controls auszuwählen, um möglichst effizient vom Ist- zum Ziel-Zustand zu gelangen. Das erforderliche Budget kann über die zusätzlichen selektierten Maßnahmen abgeschätzt werden.

  • Sie verfügen nur über ein festes limitiertes Budget. Dann wählen sie auf dieser Basis Security Controls in ihrem Budget-Rahmen aus, mit denen der größte Fortschritt in Richtung des erforderlichen Sicherheitsniveaus zu realisieren ist und implementieren diese.

Natürlich ist das zur Verfügung stehende Budget nie so üppig, wie es Security-Verantwortliche sich wünschen würden. Doch bietet diese Vorgehensweise eine fundierte Hilfestellung, wo der größte Handlungsbedarf besteht. Sind relevante Angreiferklassen, deren Techniken und die Wirksamkeit der bestehenden Security-Maßnahmen in Bezug auf diese herausgearbeitet, liegen die Schutzdefizite auf dem Tisch.

Ein Cyber Defense Maturity Assessment zeigt, ob die aktuellen Maßnahmen den erforderlichen Schutz bieten, oder nicht.
Ein Cyber Defense Maturity Assessment zeigt, ob die aktuellen Maßnahmen den erforderlichen Schutz bieten, oder nicht.
Foto: Computacenter

Das beschriebene Assessment liefert neben der technisch fundierten Einordnung des tatsächlichen Schutzniveaus auch konkrete Ansatzpunkte, wie Unternehmen ihren Sicherheitslevel wirtschaftlich und effizient erhöhen können. Denn auf Basis dieser realistischen Einschätzung von Ist- und Ziel-Zustand lässt sich strategisch entscheiden, mit welchen Security Controls Angreifer von der eigenen IT-Infrastruktur bestmöglich ferngehalten werden können. Zudem bietet diese Vorgehensweise eine fundierte und nachvollziehbare Entscheidungsgrundlage für Investitionen in die IT-Sicherheit. (jd)