Die Versorgung der Schweiz mit lebenswichtigen Gütern und Dienstleistungen ist ohne eine funktionierende Informations- und Kommunikationstechnologie (IKT) beinahe undenkbar. Jedoch ist die IKT in der heutigen Zeit zunehmend durch Cyberrisiken bedroht. Der auf dem NIST CSF basierende IKT-Minimalstandard hat zum Ziel, Unternehmen und Organisationen ein Hilfsmittel zur individuellen und risikobasierten Verbesserung ihrer Resilienz gegen Cyberbedrohungen an die Hand zu geben.
Der Einsatz von IKT-Systemen ist immer mit Risiken verbunden. Durch
das Umsetzen adäquater Massnahmen lässt sich dieser Umstand jedoch auf
ein tragbares Mass reduzieren. Besonders bei kritischen Infrastrukturen ist eine angemessene Resilienz der IKT-Systeme gegen Cyberbedrohungen von massgebender Bedeutung. Durch das Umsetzen des IKTMinimalstandard
soll die Widerstandsfähigkeit gegen Angriffe auf die Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Informationen nachhaltig erhöht werden.
Der Minimalstandard der Informations- und Kommunikationstechnologie (IKT) basiert auf dem international anerkannten NIST Cyber Security Framework Core (NIST CSF). Wo sinnvoll, wurde er durch weitere anerkannte Standards wie beispielsweise dem NIST Guide to Industrial Control Systems (ICS), ISO 2700x, NCSS Good Practice Guide von ENISA, COBIT oder dem BSI Standard 200-2 ergänzt. Der IKT-Minimalstandard
ist explizit nicht als Konkurrenz zu bestehenden Standards zu verstehen, sondern ist mit diesen kompatibel bei bewusst reduziertem Umfang. Dadurch soll ein einfacher Einstieg in die Thematik ermöglicht und trotzdem ein hohes Schutzniveau gewährleistet werden. Die Basis zur Einführung des IKT-Minimalstandards bildet dabei eine GAP-Analyse gegen das Framework und die daraus resultierende Risikoanalyse.
IKT-Sicherheitsstrategie – Defence-in-Depth
Die IKT-Sicherheitsstrategie eines Unternehmens ist sinnvollerweise so auszurichten, dass die für die Geschäftsprozesse notwendigen und kritischen IKT-Systeme optimal geschützt werden. Dazu braucht es oft
einen mehrschichtigen Ansatz, welcher unter dem Begriff «Defense-in-Depth» bekannt ist. Dieser folgt dem aus der militärischen Verteidigung bekannten Prinzip, dass es für einen Angreifer schwieriger ist, ein komplexes und mehrschichtiges Abwehrsystem zu überwinden als eine einzige Barriere. Ergänzend werden die Methoden und Vorgehensweisen
von Cyberkriminellen beobachtet, um Abwehrdispositive entsprechend aufzubauen und auszurichten. So zielt das holistische Defense-in-Depth-Konzept darauf ab, Angriffe auf die Systeme frühzeitig zu erkennen,
darauf zu reagieren um die Konsequenzen zu minimieren.
Im IKT-Minimalstandard werden dem Anwender gezielte Handlungsfelder zur Verbesserung der IKT-Resilienz aufgezeigt. Die vorgeschlagenen Massnahmen sind sowohl organisatorischer als auch technischer Natur. So umfassen sie konkrete Handlungsanweisungen wie beispielsweise die
Erstellung eines vollständigen Inventars für Hard- und Software, Schulungen und Trainings von Mitarbeitenden, Vorgaben zum Datenschutz oder Massnahmen zur Früherkennung von Bedrohungen – um nur einige zu nennen. Durch den risikobasierten Ansatz ermöglicht der Standard
die Umsetzung unterschiedlich strenger Schutzniveaus, angepasst an die Bedürfnisse der Organisation.
Dies alles im Griff zu behalten und gegenüber den Interessengruppen jederzeit Auskunft geben zu können, stellt für jeden Informationssicherheitsverantwortlichen eine grosse Herausforderung dar.
IKT-Minimalstandart in der Praxis umsetzen
Die Grundlage für die Festlegung von Informationssicherheits- und Datenschutzmassnahmen bildet das ISDS-Konzept mit seiner Risikoanalyse. Es weist die bestehenden Restrisiken aus, die durch den Betrieb eines spezifischen IKT-Systems entstehen.
Informatiksicherheitsbeauftragte oder CISOs im Bundes(-nahen) Umfeld stehen vielfach vor der Herausforderung, geltende Informationssicherheitsweisungen und -verordnungen umzusetzen, diese regelmässig zu überprüfen und gegebenenfalls zu aktualisieren. Integrierende Dokumente wie die Schutzbedarfsanalyse (Schuban, P041) oder das Informationssicherheits- und Datenschutzkonzept (ISDS, P042), sind bei jeder Veränderung der betroffenen IKT-Schutzobjekte zeitnah
neu zu erarbeiten oder nachzuführen. Ebenfalls ist die Einhaltung des IKT-Grundschutzes periodisch zu überprüfen und die Anpassung sicherzustellen.
Solche integralen Sicherheitsprozesse sind mit einem dezentralen Ansatz meist nur mit grossem personellem oder zeitlichem Aufwand umzusetzen – und somit folglich fast unmöglich. Ebenfalls fehlen konsolidierte Informationen, beispielsweise das Lagebild oder die Risikodarstellung über die gesamte Verwaltungs- oder Organisationseinheit. Objektive Aussagen über die Gesamtsituation der Cybersicherheit im Unternehmen können nur gemacht werden, wenn ISDS-Konzepte und Risikobewertungen sowie der
IKT-Grundschutz aktiv bewirtschaftet und stets aktuell gehalten werden.
IKT-Minimalstandart im Griff behalten
Die Identifikation von Risiken, die Priorisierung des Handlungsbedarfs und die Nachverfolgung von Massnahmen, das Erstellen von konsolidierten Sicherheitsinformationen – all diese Herausforderungen sind auf die Dauer ohne Unterstützung von optimierten Prozessen, welche in spezialisierten und workflowbasierten IT-Anwendungen abgebildet sind, kaum zu bewältigen. Organisationen sollten sich daher über den Einsatz einer IKT-Plattform Gedanken machen, welche zentral die Überwachung, Messung
und Steuerung der Anforderungen aus den ISDS-Konzepten sowie der daraus resultierenden Risiken und Massnahmen unterstützt und sicherstellt. Die Plattform befähigt den Sicherheitsverantwortlichen,
eine organisationsweite und risikobewusste Kultur sowie den «Cyber-Security-Best- Practices» entsprechende Massnahmen aufzubauen und in einer verständlichen Form allen Interessengruppen zugänglich zu machen.
Dies hilft Organisationen, bestehende und potenzielle Bedrohungen aus der Geschäftstätigkeit, dem Wachstum und der digitalen Transformation jederzeit zu erkennen und mit geeigneten und angepassten Massnahmen auf Basis des IKT-Minimalstandards gezielt zu minimieren.
