Blog

Nutzen Sie den IKT-Minimalstandard zur Erhöhung der Cyber-Resilienz

/ Kategorie: CISO

Während in anderen europäischen Ländern IKT-Standards verpflichtend sind, ist der IKT-Minimalstandard (Minimalstandard zur Verbesserung der IKT-Resilienz) in der Schweiz lediglich eine Empfehlung, vor allem für Betreiber von kritischen Infrastrukturen, wie z. B. Energieversorgungsunternehmen. Dabei kann und sollte der Standard von allen Unternehmen als Hilfestellung und konkrete Handlungsanweisung zur Verbesserung ihrer IKT-Resilienz herangezogen werden.

Mit der Digitalisierung von Wirtschaft und Gesellschaft gehen enorme Risiken einher, gegen die sich nicht nur die Betreiber kritischer Infrastrukturen, sondern aller Organisationen und Unternehmen bestmöglich schützen müssen. Der Schweizer IKT-Minimalstandard liefert dafür ein vielseitig einsetzbares Hilfsmittel, das dabei unterstützt, die Resilienz der IKT-Infrastruktur zu verbessern. Durch seinen risikobasierten Ansatz ermöglicht der Standard die Umsetzung unterschiedlich strenger Schutzniveaus, angepasst an die Bedürfnisse der Organisation.

Was enthält der IKT-Minimalstandard?

Der Standard ist in drei grosse Themengebiete eingeteilt:

  1. Grundlagen: Dieser Teil dient als Nachschlagewerk und soll Hintergrundinformationen zur IKT-Sicherheit vermitteln.
  2. Das Framework bietet den Anwendern, gegliedert nach den fünf Themenbereichen «Identifizieren», «Schützen», «Detektieren», «Reagieren» und «Wiederherstellen» ein Bündel konkreter Massnahmen zur Umsetzung an. In Summe behandelt das Dokument 106 Massnahmen.
  3. Mit dem Self-Assessment und dem zugehörigen Bewertungstool können die Organisationen und Unternehmen den Umsetzungsstand der Massnahmen beurteilen, respektive auch durch externe Firmen prüfen lassen (Audit). Die Ergebnisse können als Grundlage für ein organisationsübergreifendes Benchmarking verwendet werden.

Defense-in-Depth-Strategie

Die Empfehlungen des IKT-Minimalstandards basieren auf einer Defense-in-Depth-Strategie. Darunter versteht man einen koordinierten Einsatz mehrerer Sicherheitsmassnahmen, um die IKT-Betriebsmittel in einem Unternehmen zu schützen. Die Strategie basiert auf dem militärischen Prinzip, dass es für einen Feind schwieriger ist, ein komplexes und mehrschichtiges Abwehrsystem zu überwinden als eine einzige Barriere. Gleichzeitig werden die Methoden und Vorgehensweisen der potenziellen Angreifer beobachtet, um darauf basierend entsprechende Abwehrdispositive vorzubereiten. Im IKT-Sicherheitsumfeld zielt ein Defense-in-Depth-Konzept darauf ab, Verletzungen der IKT-Sicherheit zu erkennen, darauf zu reagieren, sowie die Konsequenzen der Sicherheitsverletzung zu minimieren. Defense-in-Depth verfolgt einen holistischen Ansatz, welcher alle (IKT-)Betriebsmittel gegen beliebige Risiken zu schützen versucht. Die Ressourcen des Unternehmens sollen so eingesetzt werden, dass ein effektiver Schutz vor bekannten Risiken sowie eine umfassende Überwachung potenzieller zukünftiger Risiken gewährleistet ist. Die entsprechenden Massnahmen müssen die Gesamtheit der IKT-Systeme schützen. Dazu gehören Personen, Prozesse, Objekte, Daten und Geräte. Ein Angreifer stellt erst dann eine Bedrohung für ein IKT-System dar, wenn es ihm gelingt, eine existierende Schwachstelle in einem dieser Elemente auszunutzen. Organisationen und Unternehmen sind gehalten, die Massnahmen laufend zu überwachen und, wo nötig, an neue Bedrohungen anzupassen. Der Defense-in-Depth-Ansatz erschwert direkte Angriffe auf IKT-Systeme und erhöht die Wahrscheinlichkeit, auffälliges oder unübliches Verhalten innerhalb des Systems frühzeitig zu entdecken. Dieser Ansatz ermöglicht auch die Schaffung von gesonderten Zonen für die Implementierung von Technologien, die ein Eindringen ins System erkennen können.

Umsetzung nach NIST Cybersecurity Framework Core

Für die Umsetzung der Schutzmassnahmen richtet sich der IKT-Minimalstandard nach den fünf Funktionen des NIST Cybersecurity Framework Core. Die fünf Funktionen heissen Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen und werden im Standard mit ihren jeweils zugehörigen Subthemen genau behandelt.

  1. Identifizieren: Inventar Management, Geschäftsumfeld, Vorgaben, Risikoanalyse, Risikomanagementstrategie, Lieferketten-Risikomanagement
  2. Schützen: Zugriffsmanagement und -steuerung, Sensibilisierung und Ausbildung, Datensicherheit, Informationsschutzrichtlinien, Unterhalt, Einsatz von Schutztechnologie
  3. Erkennen: Auffälligkeiten und Vorfälle, Überwachung, Detektionsprozess
  4. Reagieren: Reaktionsplanung, Kommunikation, Analyse, Schadensminderung, Verbesserungen
  5. Wiederherstellen: Wiederherstellungsplanung, Verbesserungen, Kommunikation

Überprüfung der Vollständigkeit und Wirksamkeit

Der IKT-Minimalstandard enthält einen Prüfungsteil, der das Vorgehen zur periodischen Überprüfung der Vollständigkeit und Wirksamkeit der eingesetzten Massnahmen beschreibt. Als Ergebnis der Überprüfung soll eine Aussage zum Reifegrad der eigenen Cybersecurity vorliegen. Durch die Prüfung können Lücken erkannt und Verbesserungsmassnahmen durchgeführt werden. Der Standard empfiehlt, die Prüfung mindestens einmal jährlich durchzuführen und gibt ein Bewertungsschema als Grundlage für die Einschätzung des eigenen Resilienzniveaus vor.

Sicherheit als Prozess

Cyberangriffe sind eine ernste Bedrohung für Unternehmen aller Grössen. Jedes Unternehmen ist ein potenzielles Ziel, unabhängig davon, ob es gross oder klein, alt oder neu, lokal oder global tätig ist. Unternehmen müssen erkennen, dass IT-Sicherheit kein Zustand ist, der erreicht werden kann. IT-Sicherheit ist ein Prozess, der laufend ausgeführt, evaluiert, angepasst und verbessert werden muss. Nur wenn Unternehmen bereit sind, kontinuierlich in die Sicherheit ihrer IT-Systeme zu investieren, können sie sich vor den immer ausgeklügelteren Methoden der Cyberkriminellen schützen. Der IKT-Minimalstandard kann und sollte als wertvolle Unterstützung dafür herangezogen werden.

Zusammen. Sicher.

Auf welchem Level befindet sich Ihre IKT-Resilienz? Nutzen Sie den IKT-Minimalstandard und prüfen Sie, wo noch Lücken bestehen oder wo Optimierungen notwendig sind. Kontaktieren Sie uns und unsere erfahrenen Cybersecurity-Experten unterstützen Sie dabei.

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.