{"id":17660,"date":"2024-10-21T11:22:09","date_gmt":"2024-10-21T09:22:09","guid":{"rendered":"https:\/\/sits.com\/?p=17660"},"modified":"2024-11-06T10:41:42","modified_gmt":"2024-11-06T09:41:42","slug":"resilienz-durch-identitaet","status":"publish","type":"post","link":"https:\/\/sits.friendventure.dev\/de\/blog\/resilienz-durch-identitaet\/","title":{"rendered":"Resilienz durch Identit\u00e4t"},"content":{"rendered":"

[vc_row][vc_column]

Resilienz durch Identit\u00e4t<\/h2>[vc_column_text]Resilienz bezeichnet die F\u00e4higkeit einer kritischen Entit\u00e4t, einem Vorfall vorzubeugen, sich dagegen zu sch\u00fctzen, darauf zu reagieren, ihm zu widerstehen, ihn abzumildern, ihn zu absorbieren, zu bew\u00e4ltigen und sich davon zu erholen.<\/p>\n

Wie der \u00dcberblick \u00fcber die neuen Rechtsvorschriften zu Themen der Cybersicherheit in der EU deutlich zeigt, fordern die Regulierungsbeh\u00f6rden mehr Aufmerksamkeit f\u00fcr die Krisenbew\u00e4ltigung. Damit soll das Gleichgewicht in der Sicherheitspraxis wiederhergestellt werden, die sich in erster Linie auf die Pr\u00e4vention konzentriert und die Reaktion vernachl\u00e4ssigt hat. Die Bem\u00fchungen sind Teil einer umfassenderen Entwicklung, wie wir sie auch beim amerikanischen NIST-Rahmenwerk beobachten k\u00f6nnen (siehe unten). Die neue Version, die 2.0, wird 2024 fertiggestellt und formalisiert.<\/p>\n

Wenn Sie das NIST-Bild aufzeichnen, was im Bereich der Cyberverteidigung \u00fcblicherweise getan wird, werden Sie feststellen, dass der gr\u00f6\u00dfte Teil der Industrie, des Budgets und der Aufmerksamkeit auf den Bereich \"Protect\" gerichtet ist, in dem pr\u00e4ventive Tools angesiedelt sind. Das ist unausgewogen. Der Gesetzgeber fordert mehr Aufmerksamkeit auf Identify, Incident Response und Recovery. Die andere auff\u00e4llige \u00c4hnlichkeit ist die Aufmerksamkeit f\u00fcr die Lieferkette, sowohl in NIS2 als auch in NIST 2.0. Dies wird wahrscheinlich zu einer tektonischen Verschiebung in den Zust\u00e4ndigkeitsbereichen f\u00fchren und die Verantwortung f\u00fcr Cybersicherheit von der traditionellen IT-Abteilung weg verlagern.
\n[\/vc_column_text]

<\/div>\n[vc_single_image image=\"17645\" img_size=\"1024x1024\" add_caption=\"yes\" alignment=\"center\" dont_stretch_image=\"yes\" activate_fancybox=\"yes\" title=\"Abbildung 1: NIST 2.0 Framework\"][vc_column_text]Dies ist ein aktueller Strategiewechsel - der Gamechanger ist die harte und teure Lektion von Ransomware, dass, sobald die Pr\u00e4vention umgangen wird, die Reaktionsf\u00e4higkeiten (Response) sich als weitgehend unterentwickelt erweisen und sich Vorf\u00e4lle unn\u00f6tigerweise zu ausgewachsenen Katastrophen entwickeln.<\/p>\n

Dieses strukturelle Ungleichgewicht ist ein logisches, aber unbeabsichtigtes Ergebnis des risikobasierten Ansatzes, bei dem der Schwerpunkt auf der Identifizierung von Risiken im Zusammenhang mit bekannten Werten liegt, bevor eine spezielle Reaktion festgelegt wird. Dies f\u00fchrt dazu, dass unwahrscheinliche Risiken \u00fcbersehen werden, die Lieferkette vergessen wird und es zu einer Voreingenommenheit gegen\u00fcber der Pr\u00e4vention und einer Zersplitterung der Bem\u00fchungen durch punktuelle L\u00f6sungen kommt.<\/p>\n

Im Finanzrisikomanagement wird dies als \" Black Swan-Effekt\" bezeichnet, der dazu f\u00fchrt, dass Unternehmen auf unvorhergesehene Ereignisse oder sogar auf eine Kombination von erwartbaren Ereignissen zur gleichen Zeit nicht vorbereitet sind. Mit NIST 2.0 in den USA und NIS2 in der EU (und dem derzeit in Vorbereitung befindlichen Nachfolgeprojekt) fordern die Gesetzgeber nicht, dass man bei der Pr\u00e4vention nachl\u00e4sst oder die risikobasierte Vorgehensweise vergisst, aber sie fordern mehr Ausgewogenheit. Daher lenkt er die Aufmerksamkeit auf die Reaktion auf Vorf\u00e4lle (incident response), die Kommunikation und die Krisenbew\u00e4ltigung - in Zusammenarbeit mit der Lieferkette und den Beh\u00f6rden. Themen, die f\u00fcr die Cyber-Resilienz von zentraler Bedeutung sind.
\n[\/vc_column_text]

<\/div>\n

Eine kurze Einf\u00fchrung in Incident Response<\/h2>[vc_column_text]Incident Response ist das, was Organisationen tun, wenn etwas schiefl\u00e4uft. Feuerwehrleute l\u00f6schen Br\u00e4nde, Sanit\u00e4ter versorgen Verletzte, Soldaten schie\u00dfen auf den Feind - vorbereitete und organisierte Reaktionen von spezialisierten und benannten Personen, den Incident Responders. Auch im Bereich der Cybersicherheit gibt es Vorf\u00e4lle, die sich zu ausgewachsenen Katastrophen entwickeln k\u00f6nnen, wenn sie unbeachtet bleiben. Deshalb gibt es CSIRTs, Computer Security Incident Response Teams f\u00fcr Cyber-Vorf\u00e4lle. Besser gesagt, viele Unternehmen behaupten, sie h\u00e4tten \"CSIRT-F\u00e4higkeiten\", da sie ein Security Operating Centre haben. Oder sie haben die IT an einen Anbieter ausgelagert, der \u00fcber ein SOC verf\u00fcgt. Oder es handelt sich um einen virtuellen Prozess eines virtuellen Teams, das der IT untersteht. Oft ist der IT-Helpdesk in der Praxis das CSIRT, w\u00e4hrend sich der Rest in der Semantik und der B\u00fcropolitik verliert. Die meisten Unternehmen haben kein CSIRT und tun sich schwer, die \"Gleichwertigkeit\" dessen, was sie haben, zu erkl\u00e4ren.<\/p>\n

Der Begriff \"Incident Response\" ist f\u00fcr die Cybersicherheit vielleicht auch nicht die gl\u00fccklichste Wahl, da es im IT-Support einen Prozess gibt, der fast den gleichen Namen tr\u00e4gt - Incident Management - mit einer marginalen und meist optischen \u00dcberschneidung. Dies f\u00fchrt h\u00e4ufig dazu, dass die IT-Abteilung in einen Topf geworfen wird und f\u00fcr den gro\u00dfen Bereich der Business Resilience verantwortlich gemacht wird, f\u00fcr den sie eigentlich gar nicht ger\u00fcstet ist.<\/p>\n

Wesentlich f\u00fcr ein gutes Verst\u00e4ndnis von NIS2 ist, dass die in diesem Gesetz geforderten Ma\u00dfnahmen zum Management von Cybersecurity-Risiken auf einem \"All-Hazard-Ansatz\" zur Reaktion auf Vorf\u00e4lle beruhen sollten und nicht auf identifizierbare IT-Vorf\u00e4lle innerhalb der eigenen IT-Infrastruktur beschr\u00e4nkt sind: \"Die von der Einrichtung ergriffenen Ma\u00dfnahmen des Cybersicherheitsrisikomanagements sollten nicht nur die Netz- und Informationssysteme der Einrichtung, sondern auch die physische Umgebung dieser Systeme vor Ereignissen wie Sabotage, Diebstahl, Brand, \u00dcberschwemmung, Telekommunikations- oder Stromausf\u00e4llen oder unbefugtem physischen Zugriff sch\u00fctzen, die die Verf\u00fcgbarkeit, Authentizit\u00e4t, Integrit\u00e4t oder Vertraulichkeit gespeicherter, \u00fcbermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder \u00fcber diese Systeme zug\u00e4nglichen Dienste beeintr\u00e4chtigen k\u00f6nnen\".<\/p>\n

Wenn man dar\u00fcber nachdenkt, hat eine Organisation, die auf die Bew\u00e4ltigung von Vorf\u00e4llen wie dem Tonermangel eines Druckers zugeschnitten ist, nur wenig mit dem gemein, was Sie f\u00fcr den Umgang mit einem ausgewachsenen Ransomware-Angriff oder einem Brand im Rechenzentrum Ihres Cloud-Anbieters ben\u00f6tigen.<\/p>\n

Wir haben es hier mit einem Thema zu tun, das manche als \"War Room\" bezeichnen; ein Ausnahmezustand, bei dem alle Mann an Deck sein m\u00fcssen. Der Begriff fasst die Relevanz, die Dringlichkeit und die chaotische Natur dieses Themas treffend zusammen. Der War Room ist das Herzst\u00fcck von NIS2; wir m\u00fcssen aus dem IT-Sicherheitsbereich in die reale Welt heraustreten und den Beschr\u00e4nkungen des Paradigmas der Cyberverteidigung entkommen.
\n[\/vc_column_text][vc_single_image image=\"17650\" img_size=\"large\" add_caption=\"yes\" dont_stretch_image=\"yes\" activate_fancybox=\"yes\" title=\"Abbildung 2: \u00dcberblick \u00fcber die Reaktion auf Vorf\u00e4lle\"][vc_column_text]Wie oben in der \u00dcbersicht \u00fcber die Reaktion auf Vorf\u00e4lle ersichtlich, gibt es drei Hauptgruppen von Prozessen, die koh\u00e4rent funktionieren sollten, um eine Chance auf Erfolg zu haben:<\/p>\n