Cyber-Security-Strategie: Leitfaden für Cybersicherheit

Um ein hohes Schutzniveau in der Informationssicherheit zu erreichen, setzen Unternehmen auf verschiedene technische und organisatorische Maßnahmen. Diese sind zweifelsohne wichtig, jedoch allein genommen nicht richtig effektiv. Was fehlt, ist eine Strategie – ein Leitfaden, der vorgibt, wie getroffene Vorkehrungen gezielt betrieben und eingesetzt werden. Genau deshalb dreht sich unser heutiger Beitrag um die Cyber-Security-Strategie. Sie erfahren, was sich hinter einer solchen Strategie verbirgt, wozu sie dient und wie Sie vorgehen können, um Ihre individuelle Cyber-Security-Strategie zu entwerfen. Beispielhaft schauen wir uns zudem die Cybersicherheitsstrategie an, die die Bundesregierung beschlossen hat.

Cyber-Security-Strategie: Informationssicherheit planvoll angehen

Das Maß an Informationssicherheit in Organisationen hängt nicht nur von Vorkehrungen ab, die getroffen wurden, sondern auch von der Einsatz-Strategie. Um ein hohes Maß an Informationssicherheit nicht nur zu erreichen, sondern auch zu halten, bedarf es eines Plans, der detailliert beschreibt, wie IT-relevante Ressourcen („IT-Assets“) in den kommenden drei bis fünf Jahren geschützt werden. Diesen Plan bezeichnet man als Cyber-Security-Strategie.

Die Cyber-Security-Strategie erlaubt also das Vorausplanen des Schutzes von IT-Assets. Nun ist jedoch kaum ein Bereich schnelllebiger als die IT – und deshalb ist es wichtig, die Cyber-Security-Strategie in regelmäßigen Intervallen auf Aktualität zu prüfen. Je nach Branche, in der Ihre Organisation tätig ist, sind die Intervalle mal kürzer, mal länger; in der Praxis hat sich eine Prüfung einmal jährlich oft als sinnvoll erwiesen. Achten Sie also darauf, einen Workflow zu etablieren, der regelmäßige Prüfungen Ihrer Cyber-Security-Strategie integriert.

Nun ist eine solche Strategie eine Art Grob-Fahrplan. Sie kennen Technologien oder Angriffsszenarien, die in fünf Jahren entwickelt sein werden, heute natürlich noch nicht. Das hat zur Folge, dass Ihre Cyber-Security-Strategie nicht darauf ausgelegt ist, perfekt zu sein. Vielmehr erstellen Sie mit Ihrer Strategie fundierte Annahmen darüber, was aus Ihrer heutigen Sicht möglich und was zu tun ist. Um IT-Assets optimal zu schützen, kann es helfen, von einer reaktiven zu einer proaktiven Strategie zu wechseln: Fokussieren Sie sich idealerweise darauf, sicherheitsrelevante Vorfälle zu verhindern, anstatt auf die Maßnahmen, die nach Vorfällen stattfinden sollten.

Welche Ziele verfolgt eine Cyber-Security-Strategie?

Wie bereits herauszulesen war, gehört es zu den Zielen einer Cyber-Security-Strategie, IT-Assets proaktiv zu schützen. Insgesamt möchten Organisationen, die eine Cyber-Security-Strategie implementieren, ihre Cyber-Resilienz erhöhen. Das bedeutet: Man möchte sich auf schadhafte Cybervorfälle einstellen können und ihnen entgegenwirken, unabhängig davon, aus welchem Angriffsvektor sie stammen.

Im Bereich der Cyber-Resilienz werden vier Dimensionen unterschieden. Man könnte auch von vier Zielen sprechen, die verfolgt werden, wenn die Cyber-Resilienz erhöht wird:

• Bedrohungsschutz (Threat Protection): Hierbei handelt es sich um die klassische Defensive zum Vorbeugen vor Angriffen.
• Anpassungsfähigkeit (Adaptability): Beachten Sie neben dem Stand der Technik auch den Faktor Mensch: Evaluieren Sie Hersteller und Services, die Sie einsetzen. Prüfen Sie vor dem Implementieren neuer Technologien, wie sinnvoll dies ist. Schulen und sensibilisieren Sie Mitarbeitende, damit diese in der Lage sind, Attacken und Sicherheitsrisiken zu erkennen. Kriminelle passen ihre Vorgehensweisen ständig an. Achten Sie darauf, dass Ihre Mitarbeitenden da hinterherkommen.
• Beständigkeit (Durability): Als Beständigkeit wird die Fähigkeit bezeichnet, auch nach erfolgreichen Angriffen sämtliche Unternehmensprozesse aufrechtzuerhalten. Damit es im Falle eines Angriffs keine Unterbrechungen gibt, müssen IT-Verantwortliche eigene Mechanismen fürs Fortführen des operativen Betriebs definieren. Idealerweise sorgt eine Redundanz bei einem Systemausfall für eine unterbrechungsfreie Verfügbarkeit.
• Fähigkeit zur Wiederherstellung (Recoverbility): Der Verlust personenbezogener Daten kann diverse Folgen nach sich ziehen: Abgesehen von drohenden Bußgeldern und Imageschäden verursachen Ausfallzeiten von Systemen oft die größten monetären Schäden. Das Wiederherstellen betroffener Elemente muss reibungslos funktionieren. Wenngleich die Bereiche Durability und Recoverbility in ihrer jeweiligen Ausrichtung verschieden sind, ist es sinnvoll, beide Mechanismen in der Cyber-Security-Strategie zu verzahnen.

Eine Cyber-Security-Strategie hilft dabei, rechtzeitig verhindern zu können, dass aus kleinen Vorkommnissen massive Vorfälle entstehen. Sie unterstützt außerdem dabei, Bedrohungen rechtzeitig zu erkennen. Sinnvoll kann es sein, sich durch die mediale Berichterstattung zu wühlen, um von Opfern von Attacken lernen zu können. Wie Heise beispielsweise über den Emotet-Befall aufklärt, so berichten diverse andere Opfer von weiteren Attacken.

Schritte zur eigenen Cyber-Security-Strategie

Bevor wir auf die einzelnen Schritte zu sprechen kommen, die notwendig sind, um Ihre eigene Cyber-Security-Strategie zu erstellen, erhalten Sie noch einen Tipp: Schauen Sie sich bestehende Leitfäden zur Cybersicherheit an. Viele Unternehmen publizieren ihre Leitfäden aus Marketing-Gründen auf ihren Websites. Lassen Sie sich von diesen Leitfäden inspirieren – Sie müssen das Rad nicht neu erfinden. Um nun Ihre eigene Cyber-Security-Strategie erstellen zu können, sind folgende Schritte notwendig:

• Ist-Analyse: Setzen Sie sich zunächst mit allen Gefahren auseinander, die Ihr Unternehmen derzeit bedrohen. Sind es Phishing-Angriffe, Ransomware, DDoS-Attacken oder ganz andere Vorfälle? Werfen Sie auch einen Blick zu Ihren Mitbewerbern: Hatten diese in jüngerer Zeit IT-Security-Vorfälle? Falls ja: Mit welchen Bedrohungen mussten diese sich auseinandersetzen? Haben Sie diese beiden Punkte erledigt, bringen Sie Ihr Wissen auf den neusten Stand: Prüfen Sie, mit welchen künftigen Bedrohungen Ihre Organisation rechnen muss. Lesen Sie dazu beispielsweise Sicherheitsstudien zu Malware.
• Bewertung bisheriger IT-Sicherheitsmaßnahmen: Im zweiten Schritt kommt eine ehrliche Bestandsaufnahme des Reifegrads Ihrer IT-Sicherheitsmaßnahmen. Sie können sich dafür beispielsweise am IT-Grundschutz des BSI orientieren. Mithilfe dieses Grundschutzkompendiums können Sie die beschriebenen Kategorien und Unterkategorien realistisch bewerten. Idealerweise umfasst diese Bewertung sämtliche Ihrer Technologien. Sie können den BSI-Grundschutz anschließend dafür verwenden, festzulegen, wie der Reifegrad der Kategorien in drei bis fünf Jahren aussehen soll. Beachten Sie hierbei Ihre im ersten Schritt durchgeführte Ist-Analyse: Kam dabei heraus, dass Ransomware eine der für Sie größten Bedrohungen ist, legen Sie Ihr Augenmerk auf das Optimieren Ihrer Backup- und Recovery-Fähigkeiten. Jene Reifegrade, die Sie bei dieser Analyse anstreben, sind Ihre künftigen strategischen Ziele für die Cyber-Security-Strategie.
• Optimieren Ihres IT-Sicherheitsprogramms: Sie kennen nun potenzielle Bedrohungen, wissen, wo Sie stehen und wo Sie hinmöchten. Jetzt ist der Zeitpunkt gekommen, zu definieren, wie Sie Ihre Ziele erreichen. Bedenken Sie dabei, dass jede Optimierung Ressourcen beansprucht, beispielsweise Zeit, Geld usw. Machen Sie sich also auch gleich darüber Gedanken, welche Optionen Ihnen zur Zielerreichung zur Verfügung stehen und mit welchen Vor- und Nachteilen diese einhergehen. Da die Geschäftsführung hinter den Maßnahmen stehen sollte, besprechen Sie diese mit ihr. So erfahren Sie außerdem mehr über anstehende Pläne und darüber, ob diese von Ihren Anstrengungen ebenfalls profitieren.
• Dokumentieren der Cyber-Security-Strategie: Haben Sie die Unterstützung des Managements, stellen Sie sicher, dass Ihre Cyber-Security-Strategie umfassend und mit sämtlichen Details dokumentiert ist. Formulieren oder aktualisieren Sie ältere Sicherheitsplanungen, relevante Richtlinien, Ratgeber, Verfahrensanweisungen und sonstige Bereiche, die Sie benötigen. Legen Sie dar, welche Verantwortlichkeiten jede einzelne betroffene Person übernimmt. Wichtig ist das Feedback von Kolleg:innen, die die Strategie dann in die Tat umsetzen sollen. Anschließend bringen Sie auch alle Awareness-Maßnahmen oder Security-Trainings auf den neusten Stand.

Cyber-Security-Strategie der Bundesregierung

Dass die strategische Ausrichtung der Cybersecurity nicht nur Sache in Unternehmen ist, zeigt die Bundesregierung, die am 08.09.2021 die „Cybersicherheitsstrategie für Deutschland 2021“ beschlossen hatte. Damit hat die Bundesregierung den strategischen Rahmen für ihr Handeln in der Cybersicherheit für die kommenden fünf Jahre festgelegt. In den Prozess der Evaluierung und Fortschreibung, der zwischen Juni 2020 und August 2021 stattfand, nahmen mehr als 70 Akteure aus Wissenschaft, Wirtschaft, Staat und Gesellschaft aktiv teil. Der aktiv gestaltete Charakter der Cyber-Security-Strategie des Bundes soll dazu dienen, ein zielgerichtetes und abgestimmtes Zusammenwirken sämtlicher Akteure zu erreichen.

Cyber-Security-Strategie als Prozess begreifen

Die Bundesregierung und viele Unternehmen machen es vor: Es lohnt sich, eine Cyber-Security-Strategie zu entwickeln und diese umzusetzen. Wichtig ist dabei, zu begreifen, dass eine solche Strategie ein fortlaufender Prozess ist: In regelmäßigen Intervallen sind die festgelegten Maßnahmen und Ziele auf Aktualität zu prüfen. Auch der Reifegrad der umgesetzten Maßnahmen muss kontinuierlich überwacht und immer wieder neu auf den Prüfstand gestellt werden. Neben Ihren technischen Maßnahmen und trainierten „Human Firewalls“ ist die Cyber-Security-Strategie unabdingbar für ein hohes Maß an Informationssicherheit.