ADMIN

2023

10

2023-09-28T12:00:00

Proaktive IT-Sicherheit

SCHWERPUNKT

089

Sicherheit

Business-Impact-Analyse

Mehr IT-Sicherheit durch Business-Impact-Analyse

Keine Überraschungen

von Martin Kuppinger

Veröffentlicht in Ausgabe 10/2023 - SCHWERPUNKT

Proaktive Sicherheit beginnt bei der Kenntnis der Risiken. Ein zentraler Baustein dabei ist die Business-Impact-Analyse. Sie untersucht, welche Auswirkungen Ausfälle von Geschäfts- und Produktionsprozessen auf die Organisation haben. Für die IT-Sicherheit liefert das wiederum die Informationen, welche Bereiche besonderen Schutz bedürfen, um ihre Verfügbarkeit oder einen schnellen Wiederanlauf sicherzustellen.

Bei proaktiver Sicherheit geht es nicht in erster Linie um "protect" im NIST-Sicherheitszyklus als die erste Stufe technischer Schutzmaßnahmen, sondern um die vorgelagerte Phase "identify". Sicherheit beginnt also damit, die Risiken zu identifizieren, um dann zielgerichtet Gegenmaßnahmen über die Phasen "protect", "detect", "respond" und "recover" umzusetzen. Die letztgenannte Phase steht leider viel zu selten im Fokus, auch wenn sie – wie im Kontext der Business-Impact-Analyse (BIA) deutlich wird – eine zentrale Rolle für die Cybersicherheit und im Rahmen von proaktiven Ansätzen spielt.
Der große Rahmen: BRM
Ein guter Ausgangspunkt, um sich dem Thema zu nähern, sind einerseits die Dokumente des NIST (National Institute of Standards and Technology) in den USA – hier insbesondere das NIST CSF (Cybersecurity Framework) – sowie andererseits die Dokumente und Hilfsmittel, die das BSI im Rahmen des Standards 200-4 [1] zum Thema Business-Continuity-Management (BCM) bereitstellt. Gerade das Bundesamt liefert viele nützliche Hilfsmittel bis hin zu Präsentationsvorlagen, die sich für die Durchführung einer BIA eignen.
Der Gesamtrahmen wiederum ist das BRM (Business-Resilience-Management), bei dem es um die generische Erhöhung der Widerstandsfähigkeit von Unternehmen über die IT hinaus geht. Dabei liegt der Fokus auf allen Arten von Krisen, die eine Organisation bedrohen können. Dazu zählen Naturkatastrophen, Kriege oder schwerwiegende wirtschaftliche Krisen, aber eben auch die IT-Risiken. Die vielen Vorfälle der vergangenen Jahre haben ja überdeutlich gezeigt, dass Angriffe weitreichende Folgen für die Arbeitsfähigkeit von Unternehmen wie von Behörden haben können.
Bei proaktiver Sicherheit geht es nicht in erster Linie um "protect" im NIST-Sicherheitszyklus als die erste Stufe technischer Schutzmaßnahmen, sondern um die vorgelagerte Phase "identify". Sicherheit beginnt also damit, die Risiken zu identifizieren, um dann zielgerichtet Gegenmaßnahmen über die Phasen "protect", "detect", "respond" und "recover" umzusetzen. Die letztgenannte Phase steht leider viel zu selten im Fokus, auch wenn sie – wie im Kontext der Business-Impact-Analyse (BIA) deutlich wird – eine zentrale Rolle für die Cybersicherheit und im Rahmen von proaktiven Ansätzen spielt.
Der große Rahmen: BRM
Ein guter Ausgangspunkt, um sich dem Thema zu nähern, sind einerseits die Dokumente des NIST (National Institute of Standards and Technology) in den USA – hier insbesondere das NIST CSF (Cybersecurity Framework) – sowie andererseits die Dokumente und Hilfsmittel, die das BSI im Rahmen des Standards 200-4 [1] zum Thema Business-Continuity-Management (BCM) bereitstellt. Gerade das Bundesamt liefert viele nützliche Hilfsmittel bis hin zu Präsentationsvorlagen, die sich für die Durchführung einer BIA eignen.
Der Gesamtrahmen wiederum ist das BRM (Business-Resilience-Management), bei dem es um die generische Erhöhung der Widerstandsfähigkeit von Unternehmen über die IT hinaus geht. Dabei liegt der Fokus auf allen Arten von Krisen, die eine Organisation bedrohen können. Dazu zählen Naturkatastrophen, Kriege oder schwerwiegende wirtschaftliche Krisen, aber eben auch die IT-Risiken. Die vielen Vorfälle der vergangenen Jahre haben ja überdeutlich gezeigt, dass Angriffe weitreichende Folgen für die Arbeitsfähigkeit von Unternehmen wie von Behörden haben können.
Deshalb ist die Resilienz oder Widerstandsfähigkeit von Unternehmen gegen Krisen essenziell, um den Betrieb aufrechterhalten oder schnellstmöglich in Krisensituationen wiederherstellen zu können. Diese Wiederherstellung ist dann das BCM.
Proaktive IT-Sicherheit muss in diesem Rahmen eingebettet sein, weil die zu ergreifenden technischen Maßnahmen der Cybersecurity davon abhängen, welche Geschäftsrisiken es gibt und wie sich mögliche Angriffe abschwächen lassen. Eine rein technische Betrachtung mit Fokus auf die üblicherweise genutzten Sicherheitstechnologien reicht nicht aus, wenn sie nicht in den größeren Rahmen von BRM über BIA bis hin zu BCM eingebettet und damit auf die Geschäftsrisiken ausgerichtet ist.
BIA ist dabei eine Kernphase innerhalb von BRM. Dazu gehören Schritte wie die Definition von Richtlinien, die Notfallplanung, eine vorbereitete Krisenorganisation und Tests, um die Konzepte zu verifizieren und optimieren zu können. Wer beispielsweise keine Krisenorganisation definiert hat, wird im Fall einer Krise zwangsläufig sehr viel Zeit verlieren.
Kernelemente der Business-Impact-Analyse
Bei der BIA geht es darum, die möglichen Auswirkungen von Vorfällen auf Geschäftsprozesse und, davon abgeleitet, auf das Unternehmen als Ganzes zu ermitteln. Dazu gehört die Identifikation von Schadensszenarien wie die Beeinträchtigung der Aufgabenerfüllung, regulatorische Verstöße und ihre Konsequenzen, Reputationsrisiken, physische Schäden für Mensch und Maschinen und die finanziellen Auswirkungen. Das BSI hat im Standard 200-4 detailliert Schadenskategorien definiert.
Die BIA kann unter unterschiedlichen Blickwinkeln stattfinden. Beim Fokus auf die IT-Sicherheit geht es darum zu verstehen, welche IT-Vorfälle welche IT-Systeme und damit welche Geschäftsprozesse beeinflussen können und damit zu welchen Schäden führen können. Die Analyse läuft allerdings prozessbezogen und wirkungsorientiert ab und berücksichtigt vorhandene Maßnahmen zunächst nicht. Es geht darum zu verstehen, welche Geschäftsprozesse welche Kritikalität haben – um dann im BCM zu definieren, wogegen und wie die Absicherung erfolgen muss. Ein wichtiger Bestandteil von umfassenden BIA- und BCM-Analysen sind dabei heute eben die IT-Risiken. In der BIA laufen folgende Schritte ab:
- Identifikation der zeitkritischen Geschäftsprozesse und Bewertung möglicher Schäden bei deren Störung.
- Identifikation sämtlicher Abhängigkeiten bei und von Prozessen.
- Identifikation von Ressourcenabhängigkeiten, also welche Ressourcen für das Funktionieren der Geschäftsprozesse essenziell sind.
- Identifikation möglicher kritischer Fehlerquellen, insbesondere von "Single Points of Failures".
Zentrale Elemente in der Analyse sind dabei Zeithorizonte und das sogenannte Untragbarkeitsniveau. Es geht also darum zu analysieren, welches Schadenspotenzial in Abhängigkeit von der Ausfalldauer eines Geschäftsprozesses entsteht. Das hat dann wiederum Auswirkungen darauf, welche Maßnahmen nicht nur zum Schutz, sondern auch für die Wiederherstellung ergriffen werden, um Ausfallzeiten möglichst gering zu halten. Das Untragbarkeitsniveau definiert, ab wann ein Ausfall eines Geschäftsprozesses als untragbar für eine Organisation zu bewerten ist.
Das Konzept der BIA definiert eine Reihe von Kenngrößen. Im Kern geht es um mehrere Fragen:
- Was ist als ein definiertes Notbetriebsniveau zu betrachten, in dem Prozesse zumindest so weit funktionieren, dass der Schaden unterhalb des Untragbarkeitsniveaus bleibt?
- Wie groß ist die maximale Zeit zwischen der letzten Datensicherung und einem Schadensereignis, dessen Erkennung, der Alarmierung und einem Wiederanlauf bis zum Notbetrieb und schlussendlich zum Regelbetrieb?
- Wie lange dauert ein Wiederanlauf nach Alarmierung?
So lässt sich analysieren, welche Prozesse besonders kritisch sind. Daraus sind für die IT-Sicherheit dann Maßnahmen ableitbar, sowohl zur Datensicherung als auch zu den Wiederherstellungsprozessen und den erforderlichen Schutzmaßnahmen. Insbesondere ergibt sich daraus automatisch eine geschäftsprozessbezogene Priorisierung von Maßnahmen.
Herausforderungen in der Praxis
Bei der praktischen Durchführung der BIA, gerade dann, wenn sie mit Blick auf Maßnahmen der IT-Sicherheit anläuft, ergibt sich eine typische Herausforderung: Eine BIA funktioniert nie als IT-Maßnahme allein, sondern immer nur als Vorhaben, das alle Geschäftsbereiche einbezieht. Es geht ja genau darum, die möglichen Auswirkungen von Vorfällen und Krisen wie beispielsweise einem schweren Ransomware-Angriff auf die Geschäftsprozesse zu verstehen.
Daher sollten Sie im ersten Schritt zusammen mit der Geschäftsleitung definieren, ob eine BIA als spezifische Maßnahme der IT-Sicherheit oder in einem Gesamtrahmen des BRM für alle Arten von Krisen erfolgen soll. Viele Elemente des BRM sind ja zunächst generischer Natur wie beispielsweise das Krisenmanagement und die Krisenkommunikation, auch wenn sie je nach Art der Krise gegebenenfalls etwas unterschiedlich ausgestaltet sind und beispielsweise für einen Brand der Produktionshallen anders aussehen als bei einem Ransomware-Angriff.
Im nächsten Schritt geht es darum, die Verantwortlichen für die Geschäftsprozesse zu identifizieren, gegebenenfalls unkritische Geschäftsprozesse auszufiltern und dann die Methodik zu erläutern. Auch hier liefern die Materialien des BSI aus dem Standard 200-4 eine sehr gute Grundlage. Eine Unterstützung der Geschäftsprozessverantwortlichen und regelmäßige Zwischenreviews sind dabei zwingend, nicht zuletzt, um eine Einheitlichkeit in der Vorgehensweise und Betrachtungstiefe zu erreichen.
Sehr häufig werden Sie dabei feststellen, dass letztlich andere Geschäftsprozesse als erwartet die höchste Kritikalität haben. Das ist natürlich branchenabhängig. Für Banken ist es essenziell, ihren Zahlungsverpflichtungen zeitgerecht nachkommen zu können, weshalb das Untragbarkeitsniveau beispielsweise für bestimmte Prozesse im Wertpapiergeschäft bereits nach Stunden oder wenigen Tagen erreicht ist. Bei produzierenden Unternehmen geht es insbesondere um die Aufrechterhaltung der Produktion, um Lieferverpflichtungen erfüllen zu können, gerade in der Just-in-time-Produktion. Zudem sind Produktionsausfälle immer mit signifikanten Kosten verbunden, wenn Arbeit beispielsweise in Sonderschichten nachgeholt werden muss. Das kann dann auch zur nicht unüblichen Erkenntnis führen, dass das Steuerungssystem für das Hochregallager in der sogenannten chaotischen Lagerhaltung das kritischste IT-System ist, weil bei dessen Ausfall schlicht keine Teile für die Produktion mehr verfügbar sind.
Auf diese Weise wird deutlich – und das ist der Schritt von BIA zu BCM –, welche Geschäftsprozesse besonders kritisch sind, mit welchen anderen Abläufen diese zusammenhängen, welche IT-Systeme dabei zum Einsatz kommen und worauf der Fokus der IT-Sicherheitsmaßnahmen daher liegen muss. Die Erfahrung zeigt, dass die Priorisierung nach einer umfassenden BIA immer anders ist als das, was das Gefühl davor angenommen hat.
Von der BIA zu konkreten Maßnahmen
Die BIA ist damit die zentrale Grundlage für proaktive Sicherheit, weil sie die Informationen liefert, um risikoorientiert technische IT-Sicherheitsmaßnahmen zu planen und umzusetzen und bestehende Schwachstellen identifizieren zu können.
Darauf aufbauend lassen sich dann die zu ergreifenden Maßnahmen für den Schutz durch Firewalls, Endgerätesicherheit, IAM (Identity- und Access-Management) mit starker Authentifizierung, XDR (Extended Detection & Response) und weitere technische und organisatorische Lösungen priorisieren, beginnend bei der Gap-Analyse.
Bei dieser geht es darum zu untersuchen, welche Maßnahmen es bereits gibt, ob diese ausreichen und welche Lücken zu schließen sind. Oft ist dabei die OT-Sicherheit (Operational Technology), also der Schutz von Produktionsumgebungen, eine Schwachstelle, die besonders kritisch ist. Darauf basierend lässt sich dann in strukturierten Ansätzen eine Gesamtsicht auf die zukünftige IT-Sicherheit ("Bebauungsplan"), eine Architektur und eine Roadmap für die risikoorientierte, priorisierte Umsetzung technischer Maßnahmen entwickeln, um zu einer Cybersecurity-Fabric zu kommen, die alle kritischen Geschäftsprozesse in adäquater Weise zu schützen hilft.
Mit Blick auf die zügige Wiederherstellung in einen Notbetrieb und von dort in einen Regelbetrieb spielen dabei Datensicherung und Wiederherstellung eine zentrale Rolle. Bei der Wiederherstellung geht es dabei nicht nur um das Einspielen von Daten in bestehende Systeme, sondern auch um die Fähigkeit zur Wiederherstellung von funktionsfähigen Servern mit Backend-Anwendungen (im On-Premises-Betrieb), gegebenenfalls das Ausweichen auf andere Cloudanbieter und die Wiederherstellung von Endgeräten. Das alles muss vorbereitet und getestet sein und erfordert eindeutig zugewiesene Aufgaben. Kurz: Die Krisenorganisation muss auch diesen Bereich umfassen.
Dabei wird wieder einmal ersichtlich, wie viele Themen proaktive Sicherheit umfasst. Dazu gehören das IT-Assetmanagement bis hin zu SBOM (Software Bill of Materials), um zu wissen, welche Systeme und Anwendungen es gibt und was darauf, bis hin zu den Komponenten, zur Ausführung kommt. Es umfasst das Endgerätemanagement, um diese schnell und automatisiert wiederherstellen zu können. Ebenso enthalten sein muss ein Backup von As-a-Service-Diensten in alternative Clouds, also das Vermeiden von Abhängigkeiten zu nur einem Dienstanbieter. Proaktive Sicherheit ist die Vorbereitung auf Krisenszenarien.
Die Business-Impact-Analyse ist ein wichtiges Element im Gesamtkonzept des Business-Resilience-Managements.
Mehr als technische Sicherheit
Nicht nur die Risikobewertung in der IT-Sicherheit, ausgehend von einer BIA, sondern auch der Blick auf das Gesamtkonzept von BRM und BCM macht deutlich, dass IT-Sicherheit mehr ist als nur technische Sicherheitsmaßnahmen. Die Planung von Krisensituationen erfordert mehr als ein funktionierendes Security Operations Center und regelmäßige Backups. Das Krisenmanagement muss definiert sein, die Krisenkommunikation muss funktionieren und die Maßnahmen zum Wiederanlauf müssen geprobt und getestet sein.
In der Praxis tritt aber stattdessen häufig eine Situation ein, in der keine Liste und keine Verteiler für die Kommunikation mit wichtigen Mitarbeitern in IT und Geschäftsführung über Mobiltelefone zur Hand ist, wenn die E-Mail-basierte Kommunikation nicht funktioniert. Das muss aber vorbereitet sein. Ebenso ist viel zu oft zwar ein Backup vorhanden, die Wiederherstellung im Krisenfall aber weder genau definiert noch geprobt, was dann zu erheblichen Verzögerungen führen kann.
Fazit
Gerade der Teil "identify" im NIST-Cybersicherheitszyklus im Kontext proaktiver Sicherheit kann nicht hoch genug bewertet werden. Dazu gehört die Durchführung einer BIA, um zu wissen, welche Prozesse im Unternehmen besonders kritisch sind.
Das ist die Basis für zielgerichtete Investitionen in die IT-Sicherheit und die Umsetzung eines BRM-Konzepts für die Handlungsfähigkeit in Krisensituationen. Dank diesen sind die Kernprozesse im Unternehmen gut gesichert und nach Vorfällen schnell wieder funktionsfähig.
(ln)
Link-Codes