Ob OT-Security, Cloud-Transformation oder Ransomware-Schutz, die Security-Verantwortlichen waren noch nie so gefordert wie in den letzten zwei Jahren. Und der Trend reisst nicht ab – im Gegenteil. Zusätzlich gelangen nun auch immer häufiger IT-Security Audits auf die Tasklisten der Security-Teams. Wir wollten wissen, wie die Schweizer Unternehmen aufgestellt sind und haben dazu die Firma befragt, die den State of the Nation genau kennt: Saner Çelebi ist Director Cyber Security bei Ernst & Young in Zürich und ist uns für dieses Interview Rede und Antwort gestanden. Wie sich die Gefahrenlandschaft verändert, wo er bei Schweizer Unternehmen noch Nachholbedarf sieht und wie man schmerzfrei ein Audit übersteht, lest ihr in diesem Blog-Post.
Herr Çelebi, das Gebiet der Cyber Security wächst rasant, angetrieben durch immer neue Angriffsvektoren. Wo sehen Sie aktuell die grössten Risiken für Schweizer Unternehmen?
Die Cyber-Risikolandschaft spitzt sich effektiv zu. Wir machen bei Ernst & Young jährlich eine Studie, die Global Information Security Survey (GISS). Im Jahresvergleich zeigt sich deutlich, dass sich die Cyber-Bedrohungen rasant vermehren.
2021 haben über 1000 C-Suite und Business Leaders aus mehr als 40 Märkten an der GISS-Studie teilgenommen – rund 77% der Befragten gaben einen Anstieg der erfahrenen Cyber-Angriffe an. Also auch Kunden berichten, dass sich die Situation zuspitzt.
Angriffe passen sich heutzutage dem Markt an. Es gibt Grossereignisse wie z.B. Covid, auf die sich viele Angreifer dann spezialisieren. Im letzten Jahr wurden in diesem Zusammenhang dediziert Firmen angegriffen, die sich in einer Covid-spezifischen Lieferkette befinden – beispielsweise Lieferanten von Masken oder Impfstoffen. Viele Angriffe fanden aber auch in Zusammenhang mit Homeoffice statt, weil Firmen ihre Cloud-Transformation beschleunigt haben, damit ihre Mitarbeitenden von zuhause aus arbeiten können. Die Security kam dabei oft zu kurz, wodurch sich neue Vektoren für die Angreifer eröffnet haben, die dann auch ausgenutzt wurden. Vielerorts wurden mittlerweile aber bereits Massnahmen ergriffen, diese neuen Sicherheitslücken wieder zu schliessen.
Ein weiterer Trend, der sich bereits seit Längerem abzeichnet, sich dieses Jahr aber nochmals verstärkt hat, sind die industriellen Kontrollsysteme. Diese werden vor allem mit Ransomware angegriffen. Gerade im Bereich von kritischen Infrastrukturen wie Energie oder Medien sehen wir einen enormen Anstieg an Ransomware-Angriffen. Die Situation ist dort besonders kritisch.
Sie haben Ransomware im Industrie-Bereich angesprochen. Was ist das primäre Ziel der Angriffe? Sind die Angreifer immer auf Geld aus?
Es gibt unterschiedliche Motivationen. Früher konnte man die Akteure in klare Gruppen einteilen, die ihre Angriffe auf unterschiedlichen Komplexitäts-Levels durchgeführt und unterschiedliche Ziele verfolgt hatten, so z.B. Script Kiddies, Hacktivisten wie Anonymous oder staatlich finanzierte Angreifer. Das vermischt sich heute immer mehr, wir können Angriffsmethoden und Motivationen nicht mehr klar einzelnen Gruppierungen zuordnen.
Es gibt auch Staaten, die mit sehr primitiven Methoden andere Staaten angreifen oder Script Kiddies, die immer öfter Zugriff auf hochentwickelte Hacker-Tools, Software und Know-how haben. So bekommen auch kleinere oder schlechter organisierte Gruppierungen die Möglichkeit, relativ komplexe Angriffe durchzuführen.
Ob der finanzielle Aspekt immer das Hauptziel ist, lässt sich nicht eindeutig feststellen. Betrachten wir kriminell organisierte Gruppierungen, dann vermutlich schon. Aber es gibt durchaus auch andere Motive wie das Anrichten eines Reputationsschadens oder Industrie-Spionage – staatlich oder durch Firmen gesteuert. Bei Ransomware-Angriffen kann es grundsätzlich in beide Richtungen, finanziell oder Reputation, gehen, wenn nicht sogar, um vom eigentlichen Angriff abzulenken.
Sie haben zahlreiche Firmen gesehen und Kunden beraten. Wie gut sind Schweizer Unternehmen aufgestellt und wo sehen Sie die grössten Schwachstellen?
Schweizer Grosskonzerne sind im globalen Vergleich relativ gut aufgestellt. Sie haben schon vor Jahren ihre Security-Massnahmen verstärkt und verfügen oftmals über ein Cyber-Security-Programm mit starkem Management Commitment und hohem Budget. Dadurch haben sie sich nicht nur eine solide Basis geschaffen, sondern können jetzt dank dieser fest verankerten Sichtweise auch den steigenden Cyber-Risiken angemessen Rechnung tragen.
Bei KMUs sehen wir, dass die rapide Cloud-Transformation, die viele Firmen ohnehin stark vorantreiben, durch Covid nochmals beschleunigt wurde, um Homeoffice zu ermöglichen oder die Collaboration zu stärken.
In den ersten Monaten von Covid ist die Anzahl der Microsoft-Teams-Nutzer um fast das Vierfache angestiegen. Dies verdeutlicht, dass diese neue Richtung mit extrem hoher Geschwindigkeit eingeschlagen wurde.
Das trägt natürlich dazu bei, dass die Security nicht immer ausreichend berücksichtigt wurde und sich daraus neue Schwachstellen ergeben haben. Wie bereits erwähnt, sehen wir, dass viele Firmen die dadurch entstandenen Sicherheitslücken schliessen oder bereits geschlossen haben. Sie merken jetzt, dass man im Bereich von Cloud doch immer den Sicherheitsgedanken berücksichtigen muss. Das betrifft die Grosskonzerne weniger, insbesondere diejenigen in regulierten Umgebungen, da diese in der Transformationsphase bereits weiter fortgeschritten waren.
In der industriellen Security und im Bereich OT-Security sehen wir über alle Firmengrössen hinweg noch immer sehr grosse Sicherheitslücken. Das ist nicht unbedingt ein spezifisches Problem von Schweizer Unternehmen, es ist auch ein globaler Trend. Der Bereich OT-Security ist komplexer und es ist schwieriger, die Security dort hochzufahren. Das hat vorwiegend historische Gründe, OT-Security ist weniger standardisiert als beispielsweise die IT-Security, hat oftmals eine tiefere Maturität, die Benutzer haben eine tiefere Awareness und auch das Patching ist nicht ganz einfach. Es gibt Systeme, die seit Jahrzehnten unberührt auf uralten Windows-Versionen laufen ohne Sicherheitspatches. Die Lieferanten dieser Systeme treiben aber das Patching und die Behebung von Schwachstellen oft nicht proaktiv voran.
Es entsteht eine Konvergenz: OT-Systeme waren früher nicht oder nicht stark vernetzt, wohingegen diese heute durch Themen wie Cloud-Transformation und Automatisierung immer stärker mit der IT-Landschaft verbunden werden und damit auch mit End-User-Geräten und mit dem Internet.
Die Konvergenz entsteht einerseits technologisch: Es gibt immer mehr Schnittstellen, die IT-Landschaft kann somit gefährdet sein durch einen Angriff auf OT und umgekehrt. Konvergenz entsteht aber auch im Bereich der Organisation: Es gibt Verantwortlichkeiten auf Seiten OT und IT und sobald die Security aufgebaut wird, stellt man fest, dass auf beiden Seiten ähnliche Themen behandelt werden, was wiederum eine Zentralisierung erfordert, damit die Aufwände optimiert werden. Das kann zu politischen Auseinandersetzungen oder Protektionismus führen. Und zuletzt entsteht Konvergenz auch bei den Prozessen, bei denen man feststellt, dass sich Hebelwirkungen oder Synergien ergeben. Security-Prozesse, die in der IT bereits bestehen, kann man dann einfach, oder eben nicht immer ganz einfach, auf OT übertragen.
Folgefrage: Gibt es Unterschiede bei den Branchen und Unternehmensgrössen bezüglich Security-Maturität?
Da gibt es definitiv Unterschiede. Wie bereits erwähnt, passen sich Angreifer dem Markt an. Früher, vor ungefähr zehn Jahren, war das finanzielle Motiv am stärksten und es wurden vor allem Finanzinstitutionen angegriffen. Die Konsequenzen daraus sieht man noch heute sehr gut, der Finanzbereich hat als Early Adopter die Nase immer vorn und ist stark aufgestellt im Bereich Cyber Security. Andere stark regulierte Unternehmen gingen diesem Trend nach und haben ihre Security ebenfalls ausgebaut, wie beispielsweise Firmen aus dem Bereich Pharma – einerseits aufgrund von Regulatorien, andererseits aufgrund der OT-Themen, durch welche sie einem erhöhten Risiko ausgesetzt sind. Die Pharma-Branche hat Stand heute eine relativ hohe Security-Maturität. Und dann gibt es natürlich noch den Bereich der kritischen Infrastrukturen wie Transport, Energie und Telekom, die seit einigen Jahren ihre Security-Massnahmen deutlich erhöhen und kontinuierlich verbessern.
Ich gehe davon aus, dass der OT-Bereich irgendwann für Angreifer nicht mehr spannend sein wird, weil die Schutzmassnahmen es zu komplex machen, dann werden vermutlich andere Bereiche in den Fokus rücken, die attraktiver sind für Angreifer und diese Bereiche werden dann entsprechend ihre Massnahmen hochfahren müssen.
Bezüglich Firmengrössen hatten wir die Grossfirmen bereits angesprochen, die relativ gut aufgestellt sind. Die KMU-Landschaft ist sehr heterogen, es ist schwierig, dort eine allgemeine Aussage zu machen. Gewisse KMUs sind extrem stark aufgestellt, oftmals bedingt durch ein einfacheres Setup der IT-Landschaft verglichen z.B. mit multinationalen Grosskonzernen mit diversen Tochtergesellschaften, unterschiedlichen Verantwortlichkeiten und einer hochkomplexen IT-Infrastruktur. Es gibt aber durchaus auch KMUs, die noch immer wenig in IT-Security investieren, weil sie denken, dass ihre Firmen nicht im Fokus von Cyber-Kriminellen stehen. Oftmals werden Budgets nicht gesprochen, wenn man die unmittelbaren Chancen oder Gefahren nicht direkt sieht.
In welche Bereiche investieren Unternehmen mehr, wo sind Budgets eher rückläufig?
Ich muss dazu etwas ausholen. Budgets werden meistens erst gesprochen, wenn sich der Markt zuspitzt und die Cyber-Angriffe zunehmen. Einige Firmen stellen das früh fest und fangen somit früher an, zu investieren. Normalerweise wird aber spätestens dann investiert, wenn die eigene Organisation einen schwereren Angriff erfährt. Es gibt auch Situationen, in welchen erst höhere Investitionen zugesprochen werden, wenn der Regulator oder eine neue Gesetzesverordnung sie dazu zwingt.
Jede Firma hat die Ambition, die Security-Kosten langfristig tief zu halten. Sobald das gewünschte Security-Niveau erreicht ist, gehen die Change-Ausgaben für die Security-Projekte wieder zurück und das Budget sinkt wieder. Im Gegenzug steigen natürlich die Run-Kosten. In diesem Zusammenhang werden Prozesse oftmals optimiert oder gewisse Funktionen als Service bezogen, um eine höhere Kosteneffizienz zu erlangen.
Welche Trends haben Sie in den letzten Jahren festgestellt?
Ein wichtiger Trend ist klar die OT-Security, in die viele Firmen im Industrie-Bereich aktuell investieren. Ein weiterer offensichtlicher Trend ist SOC – viele Firmen haben bereits ein SOC oder befinden sich in der Aufbau-Phase.
DevSecOps ist nach wie vor ein Trend, der weiter anhält. Viele Firmen sind jetzt agiler aufgestellt mit weniger Weisungen und Kontrollen und versuchen, dass sich die Teams und Entwickler-Teams selbst organisieren. Hier ist es immer ein Abwägen, wie viele Security-Vorgaben man machen und wie viel Unterstützung man bieten möchte. Es wird nach dem Paradigma vorgegangen «shift security left» – Security soll möglichst früh im Prozess eingebunden und kontinuierlich weiterentwickelt werden.
Das Thema Cloud ist ein sehr langanhaltender Trend, aber direkte Security-Kosten innerhalb der Cloud-Projekte sind eher schwer zu ermitteln. Mit der neuen Stossrichtung von Zero-Trust beobachten wir aktuell grössere Security-Aufwände.
Zero Trust ist sicherlich erwähnenswert, gerade im Zeitalter von Cloud und Homeoffice. Der Perimeter fällt fast gänzlich weg und der sogenannte Schutzwall muss ganz neu betrachtet werden.
Wir werden im Bereich Zero Trust oft für Beratungs-Projekte angefragt, für viele scheint es noch ein Buzzword zu sein und es ist nicht ganz klar, wie es implementiert wird. Auch in der Praxis sehen wir aktuell wenige Firmen, die Zero Trust bereits eingeführt haben.
Zero Trust mit seiner ganzen Komplexität im Unternehmen einzuführen wird sicherlich eine der grossen Herausforderungen der Security-Verantwortlichen in den kommenden Monaten und Jahren.
Das Thema Cyber Security Audit kommt immer mehr auf. Einige Firmen wünschen den Review selbst, andere erhalten es als Vorgabe. Nicht immer werden die Revisoren mit Vorfreude erwartet. Wie bringt man einen IT-Security Audit am schmerzfreisten über die Bühne? Wie kann man den Audit vorbereiten, damit es für die Firma wie auch für den Auditor rund läuft und man möglichst wenig Aufwand hat? Was erleichtert das Leben des Auditors?
Man muss unterscheiden zwischen externen und internen Audits. Externe Audits werden vielfach von einem Regulator wie z.B. der FINMA getrieben, der die Gewissheit haben möchte, dass Security-Vorgaben eingehalten werden. Ein interner Audit entsteht aus dem eigenen Interesse der Firma bzw. des Verwaltungsrats, um festzustellen, ob interne und/oder externe Richtlinien eingehalten werden. Wurden die internen Security Audits früher tendenziell auch von firmeninternen Personen durchgeführt, stellen wir fest, dass mittlerweile vermehrt externe Firmen mit den internen Audits beauftragt werden. Die Gründe dafür sehen wir in der Komplexität der IT-Security-Landschaft und der Breite der Themen, die abgedeckt werden müssen. Für interne Audit-Teams wird es immer aufwändiger, die Kompetenzen für eine breite Abdeckung der IT-Security Audits aufzubauen, weswegen dann oft externe Anbieter hinzugezogen werden, die den Spezialisierungsgrad erfüllen können.
Tipps und Tricks für das Audit, da gibt es ein ganz einfaches Stichwort: Dokumentation. Je besser festgehalten ist, welche Vorkehrungen getroffen wurden und wie Prozesse gehandhabt werden, desto einfacher kann es der Revisor nachvollziehen.
Idealerweise kann man direkt ein Dokument vorlegen wie z.B. ein Handbuch oder eine Weisung. Das ist nicht immer einfach, einige Firmen haben sehr hohe Prozessaufwände und die Dokumentation ist mühsam und zeitraubend für die Mitarbeitenden. Der Aufwand relativiert sich dann aber beim Audit, wenn alle Nachweise vorhanden sind wie Workflows, die Einhaltung von Compliance-Vorgaben etc. Für den Revisor ist es immer schwierig, wenn im Interview gesagt wird, dass Vorgaben umgesetzt wurden, es aber dafür keine Belege gibt oder man nicht weiss, wo diese sind. Am besten überlegt man sich vorab, was der Revisor sehen möchte, welche Themen wichtig sind und wie man sie am besten präsentieren könnte.
Wir treffen oft die Situation an, dass Mitarbeitende und Verantwortliche sich vor einem Security Audit oder Assessment fürchten, wenige sehen es als Chance. Smarte Assessment- oder Auditbefragte nutzen die Interviews als Chance und legen sehr transparent offen, welche Probleme es gibt und welche Vorgaben nicht umgesetzt werden können. Diese Partner erkennen, dass sie aufgrund der Resultate des Audits, dann Budget und Ressourcen für die Lösung ihrer Probleme erhalten können. Ich finde es wichtig, dass man sich bewusst ist, dass ein Audit immer auch eine Chance ist.
Haben Sie Auswirkungen von Corona bzw. der neuen Situation mit einem Grossteil der Mitarbeitenden im Homeoffice auf die IT-Security festgestellt? Es ist davon auszugehen, dass Homeoffice langfristig bleiben wird – wird diese Situation in den Audits anders beurteilt als früher?
Da durch die Arbeit im Homeoffice der Perimeter-Schutz nicht mehr gegeben ist, werden Themen wie Zero Trust eine stärkere Gewichtung im Unternehmen erfahren. Künftig werden sich die Audits an diese Themenbereiche anpassen und es ist gut denkbar, dass es in Zukunft beispielsweise Zero-Trust-Audits geben wird.
BYOD ist sicher auch ein wichtiges Thema in Zusammenhang mit Homeoffice. Dieses Thema wird von den Firmen allerdings sehr unterschiedlich gehandhabt. Gerade Firmen, die BYOD breitflächig ermöglichen wollen, müssen sich fragen, wie sie das managen können. Als Firma muss man sicherstellen, dass die Mitarbeitenden, die mit ihren eigenen Endgeräten arbeiten, auf dem gleichen oder sogar auf einem höheren Sicherheitsniveau arbeiten, verglichen mit dem Büro. Als Firma hat man viel weniger Kontrolle, wenn die Mitarbeitenden von zuhause und auf eigenen Geräten arbeiten, das kann eine grosse Herausforderung darstellen.
Weiter können auch scheinbar ganz einfache Themen zu einer Herausforderung werden, wenn die Mitarbeitenden im Homeoffice sind, so z.B. Lock Screen. Im Büro ist es klar, dass man immer den Bildschirm sperrt, sobald man sich vom Laptop entfernt – ob das zuhause auch so konsequent gehandhabt wird, ist eine andere Frage. Das WG-Gspänli oder der Hausbesuch ist selten bei derselben Firma angestellt. Im Homeoffice Kontext ist es deswegen umso wichtiger, sensitive Daten vor unbefugten Dritten zu schützen.
Eine ganzheitliche Betrachtungsweise der neuen Arbeitsform aus Sicht der Security ist notwendig und sinnvoll. Security ist nicht nur technisch, sondern betrifft immer People, Process und Technology. Security Awareness und Trainings sind im Kontext von Homeoffice deshalb noch wichtiger geworden.
Zum Schluss möchten wir noch einen Blick in die Zukunft wagen. Was denken Sie, wo wird die IT-Security-Reise hingehen?
IT-Security wird immer komplexer und für die meisten Firmen ist es nicht ihr Kerngeschäft. Es ist somit naheliegend, dass man als Firma die Kompetenzen von extern beziehen möchte. Heute gibt es bereits spezialisierte Firmen, die ihre IT-Security-Kompetenzen als Service anbieten. Es zeichnet sich eine Zentralisierung von IT-Security-Know-how ab. Ich kann mir vorstellen, dass in Zukunft auch Rechenzentren zentralisiert werden. Immer mehr Firmen gehen in die Cloud und wohlmöglich werden nur die grossen Cloudanbieter langfristig überleben, sodass die Computing-Power auf wenigere, dafür immer grössere, Rechenzentren verteilt sein wird. Es wird im Interesse der Staaten sein, diese stetig kritischer werdenden Rechenzentren stärker zu schützen.
Die ganze Cyber-Security-Disziplin wird ebenfalls zunehmend komplexer und dementsprechend auch die Schutzmassnahmen. Für eine Firma wird es immer aufwändiger, alle Fähigkeiten wie Betrieb, DevOps, Audit etc. intern aufzubauen und zu managen. Auch dort gehe ich davon aus, dass der Trend in Richtung Services gehen wird.
Durch diese grossen Trends wie Cloud-Transformation, Zentralisierung und Services werden wiederum Klumpenrisiken für gewisse Branchen und Länder entstehen. Angreifer werden wohl vermehrt nicht die Firmen selbst angreifen, sondern versuchen über Drittparteien ihre Angriffe zu fahren.
Ein sehr interessantes Beispiel hat sich gerade kurz vor Weihnachten abgespielt, als in den USA ein Payroll-Anbieter angegriffen wurde. Also in einer Branche, die noch nicht im starken Fokus der Cyber Angriffe liegt. Der Anbieter, der für kritische Firmen der Region sowie auch für den Staat für die Payroll-Services verantwortlich war, wurde kurz vor Weihnachten gehakt, wodurch viele Menschen ihre Lohnzahlungen nicht erhalten haben und somit keine Weihnachtsgeschenke kaufen konnten.
Cyber-Security-Fähigkeiten werden vermehrt als Services bezogen, so dass es künftig für Angreifer sehr interessant werden kann, Security Service Provider anzugreifen.
Für Firmen wird es in Zukunft noch wichtiger sein, die Risiken ihrer Drittanbieter (Third Party Risk Management) richtig zu managen. Die Sicherheitsanforderungen müssen gestellt, schriftlich festgehalten und regelmässig auf deren Einhaltung überprüft werden.
Über Saner Çelebi
Saner Çelebi hat an der ETH Zürich Informatik studiert und sich während dem Master auf Informationssicherheit fokussiert. Er arbeitet als Director im Cyber Security Beratungsteam von Ernst & Young (EY) wo er für Cyber Security Strategie und Risk Management verantwortlich ist. Er hat mehr als 15 Jahre Erfahrung im Bereich Cyber Security, davon neun Jahre in der Beratung.
Vor seiner Tätigkeit bei EY beriet Saner Çelebi Schweizer Grossunternehmen in den Bereichen Security Management und Cloud Security. In seiner Rolle als Lead Engineer in einem agilen Entwicklungsteam und Architekt war er verantwortlich für das Architekturdesign und die Integration von umfassenden DLP-Lösungen in die Unternehmensinfrastrukturen der sechs grössten Banken in der Schweiz.
Der Beitrag IT-Security Landschaft 2022: State of the Nation und Tipps für’s Security Audit erschien zuerst auf Tec-Bite.