Als CISO weiss ich, dass die Sicherheit der IT-Infrastruktur von der Fähigkeit abhängt, potenzielle Bedrohungen nicht nur abzuwehren, sondern vor allem auch frühzeitig zu erkennen. Die Funktion “Erkennen (Detect)” des IKT-Minimalstandards ist für mich daher von zentraler Bedeutung, da sie die Grundlage für eine proaktive Cyberabwehr bildet.
Auffälligkeiten und Vorfälle
In meiner täglichen Arbeit ist die Erkennung von Anomalien und sicherheitsrelevanten Ereignissen der erste Schritt zur Reaktion. Der IKT-Minimalstandard fordert, dass wir Standardwerte für zulässige Netzwerkoperationen und Datenflüsse definieren und diese fortlaufend managen. Für mich bedeutet das, ein tiefes Verständnis für das “normale” Verhalten unserer Systeme zu entwickeln, damit wir Abweichungen sofort identifizieren können.
Wir müssen sicherstellen, dass entdeckte Cybersecurity-Vorfälle hinsichtlich ihrer Ziele und Methoden analysiert werden. Dies erfordert, dass wir Informationen aus verschiedenen Quellen und Sensoren aggregieren und aufbereiten. Meine Erfahrung zeigt, dass die Korrelation von Daten aus unterschiedlichen Systemen entscheidend ist, um ein vollständiges Bild der Bedrohung zu erhalten und die potenziellen Auswirkungen zu bestimmen.
Überwachung
Kontinuierliches Monitoring ist für mich als CISO das A und O der Sicherheitsinfrastruktur. Der IKT-Minimalstandard betont, dass IT-Systeme und alle Betriebsmittel in regelmässigen Intervallen überwacht werden müssen. Dies dient nicht nur dazu, Cybersecurity-Vorfälle zu entdecken, sondern auch die Effektivität der Schutzmassnahmen zu überprüfen.
In der Praxis bedeutet das die Etablierung eines kontinuierlichen Netzwerkmonitorings, die Überwachung physischer Betriebsmittel und Gebäude, und sogar die Überwachung der Aktivitäten von Mitarbeitern und externen Dienstleistern. Besonders wichtig ist die Detektion von Schadsoftware auf allen Geräten. Ich habe festgestellt, dass regelmässige Schwachstellen-Scans unerlässlich sind, um Schwachstellen proaktiv zu identifizieren, bevor sie ausgenutzt werden können.
Detektionsprozess
Die besten Monitoring-Systeme sind nutzlos ohne klare Detektionsprozesse. Der IKT-Minimalstandard legt fest, dass Prozesse und Handlungsanweisungen zur Detektion von Cybersecurity-Vorfällen gepflegt, getestet und unterhalten werden müssen. Für mich heisst das, klare Rollen und Verantwortlichkeiten zu definieren, damit jeder weiss, wer wofür zuständig ist.
Ich stelle sicher, dass die Detektionsprozesse alle Vorgaben und Bedingungen erfüllen und regelmässig getestet werden. Zudem ist es meine Verantwortung, detektierte Vorfälle zeitnah an zuständigen Stellen, intern, aber auch extern an Lieferanten, Kunden, Partner und Behörden, zu kommunizieren und die Prozesse kontinuierlich zu verbessern.
Meine persönliche Meinung
Als CISO sehe ich die Funktion “Erkennen” als das Fundament einer agilen Sicherheitsstrategie. In einer Welt, in der sich Bedrohungen ständig weiterentwickeln, reicht es nicht aus, sich nur zu schützen. Wir müssen in der Lage sein, die leisesten Anzeichen eines Angriffs zu identifizieren, um schnell reagieren zu können.
Die Implementierung robuster Detektionsmechanismen und die Kultur der kontinuierlichen Verbesserung sind für mich entscheidend, um die Widerstandsfähigkeit unserer kritischen Infrastruktur zu gewährleisten und einen Schritt voraus zu sein. Es ist eine fortlaufende Investition, die sich in jedem einzelnen verhinderten oder gemilderten Vorfall auszahlt.