Durchweg geschärfte Sichten

Dort wurde mit hochkarätigen Referenten der Schutz kritischer Infrastrukturen aus verschiedenen Blickwickeln betrachtet und mit den über 240 angereisten Vertretern aus Unternehmen, Institutionen und Wissenschaft diskutiert. Und so zeigte die mittlerweile 28. Auflage der Meet Swiss Infosec, die Gastgeber Reto C. Zbinden, Rechtsanwalt und CEO der Swiss Infosec AG eröffnete, wie Themen um Schutz und Sicherheit pulsieren.

Dr. Stefan Brem, Chef Risikogrundlagen und Forschungskoordination des Bundesamtes für Bevölkerungsschutz (Babs), hielt die Keynote, die die Komplexität des Themas umriss. Der Redner betonte, «dass Gespräche zwischen den Akteuren aus den unterschiedlichsten Bereichen von immenser Bedeutung seien, um mittel- und langfristig ausgerichtete Infrastruktursektoren und die zunehmend schnelleren Entwicklungen in der Gesellschaft und in der Wirtschaft zu erkennen und daraus die relevanten Herausforderungen im richtigen Moment in Angriff zu nehmen». Brem umriss die Bedeutung des Business Continuity Managements und erläuterte die Möglichkeiten, die Advanced Threat Protection und Threat Intelligence eröffnen, informierte über die Arbeit der nationalen Strategie zum Schutz kritischer Infrastrukturen und unterstrich die Bedeutung integraler Sicherheit für eine verbesserte Widerstandsfähigkeit gegen Krisen im Land.

Brem erläuterte weiters, wie eine integrale Sicherheit zu einer stärkeren Resilienz führen kann. Mit der im Juni 2012 vom Bundesrat beschlossenen SKI-Strategie sollen die Widerstandsfähigkeit und die Regenerationsfähigkeit der Schweiz hinsichtlich kritischer Infrastrukturen überprüft und gegebenenfalls verbessert werden. Der Leitfaden SKI definiere das Vorgehen. «Ein eigentliches SKI-Spezialgesetz gibt es nicht», informierte Dr. Stefan Brem und ergänzte, «dass SKI ein interdisziplinäres Thema mit vielen Akteuren und unterschiedlichen Interessen ist. Gerade deswegen lassen sich Sicherheit und Verfügbarkeit von kritischen Infrastrukturen nicht abschließend regulieren und schon gar nicht garantieren.»

Mit der Frage «Vier Stunden ohne Strom?» und sich daraus resultierenden Szenarien gab Reinhard Obermüller, Managing Consultant bei der Swiss Infosec AG, den Anstoss für ein effizientes Business Continuity Management (BCM). Die Empfehlung des Fachmannes, für die geschäftskritischen, identifizierten ICT (Information and Communication Technology)-Systeme Geschäftsfortführungspläne zu erarbeiten, richtete sich durchweg an alle Unternehmen und Einrichtungen des öffentlichen Lebens: «Überschauen Sie möglichst alle Faktoren, die nachteiligen Einfluss haben können. Nur das schafft Sicherheit für das Unternehmen», empfahl Obermüller, der auch in der Pause ein vielgefragter Ansprechpartner war.

Detlev Narr, Senior Consultant Threat Intelligence Services bei Kaspersky Labs, umriss die Möglichkeiten für nachhaltige Sicherheit durch Threat Intelligence. So könne der dynamische Austausch von Know-how in Bezug auf Threats und Attacken nur förderlich sein, «ohne Hacker mit einem Steilpass zu bedienen», denn wer mehr wisse, könne sich auch intelligent schützen. Angesichts dessen, dass pro Tag rund 300‘000 Viren entdeckt werden, sei ein Know-how-Dialog nur förderlich. Die Threat Intelligence besteht aus Threat Data Feeds, wie der Sammlung von Informationen: Malicious oder Phishing URLs, Malware Hashes, Botnet Tracking und Intelligence Reporting, allgemeines und kundenspezifisches Reporting. Narr ergänzte, dass die Threat Intelligence durch Schulungen und Sensibilisierung der Mitarbeitenden optimiert wird.

Für Martin Werner, Presales Consultant, Symantec Switzerland AG, ist Advanced Threat Protection das Gebot der Stunde. So würde es im Schnitt 275 Tage brauchen, bis überhaupt ein Threat entdeckt werden könne, was für das Prädikat «advanced» spreche. Der Experte dazu: «Advanced sind unter anderem Methoden, so über Mitarbeitende via Social Media, mit denen der speziell konzipierte Angriff initiiert wird. Die Tatsache, dass ein Angriff oft nur gerade einmal in dieser Art stattfindet, erschwert die Entdeckung zusätzlich, da Erkenntnisse über anderswo erfolgte Attacken fehlen. Die Angreifer sind sich auch des großen Zeitfensters bewusst, das sich ihnen für ihre Machenschaften bietet und können langsam und deshalb weitgehend unauffällig agieren.» So informierte der Berater, wie Unternehmen für die Optionen «preventdetect- respond» unterschiedliche Kontrollpunkte nutzen können.

Robert Mulsow, TSP Manager bei Avepoint, stellte ein Dokumenten-Management in drei Schritten vor und positionierte dabei die vermeintlich weniger gefährlichen Dokumente in den Mittelpunkt der Betrachtung. Dass diese Dokumente bei einem «unsachgemäßen Management» der Grund für erhebliche Schäden sein können, demonstrierte Mulsow am Zyklus eines einzigen Dokumentes.

In kurzer Zeit hat das Primärdokument mehrere Versionen und ist an mehreren Orten zu finden – oder aber auch nicht. Personen haben in Folge Zugriff auf das Dokument, obwohl sie dafür nicht berechtigt sind. Robert Mulsow zählte die drei wichtigsten Optionen auf: 1. Dokumente/Besitzer finden und klassifizieren (Was? Wo? Wer hat Zugriff?), 2. Datenrichtlinien definieren (Heatmap für sensitive Daten, Risikomanagement, Analyse), 3. Proaktiv Richtlinien durchsetzen. Und er vergass dabei nicht klarzustellen, dass natürlich zwischen einem sicheren Datenschutz-Management und einem produktiven Dokumenten-Management die Balance zu finden sei.

Auf die Frage: «Wie kann man kritische Infrastrukturen schützen?», ging der Chief Information Security & Risk Officer, SBB AG, Marcus Griesser ein. Die Schweizerischen Bundesbahnen, so Griesser, befördern täglich zirka 1,2 Millionen Reisende sowie 210‘000 Tonnen Güter. Mit 3‘500 Gebäuden und einem über 3‘000 Kilometer langen Schienennetz gilt es viel zu schützen. Die SBB AG ist neben dem Energieund Telekommunikations-Netz eine der drei kritischen Infrastrukturen: «Die Gesamt-Komplexität der Bahn lässt sich damit nur erahnen. Sicher ist hingegen, dass das System Bahn durch eine veränderte Risikolage angreifbarer geworden ist und angreifbar bleibt.»

Und Marcus Griesser geht weiter davon aus, «dass Vorgaben und Auflagen in Zukunft eine noch wichtigere Rolle spielen werden, weil insbesondere die Angriffsvielfalt kontinuierlich zunimmt. Dem Balanceakt zwischen Funktionalität und Sicherheit kommt damit eine noch größere Bedeutung zu.» ISMS (Information Security Management Systeme) und eine ICTSecurity dienen als laufende Prozesse, um die angestrebte Balance zu bewahren.

Wenn es um die Herausforderungen der Informationssicherheit in kritischen Infrastrukturen geht, ist Zbinden, der richtige Gesprächspartner. Er riet, integrale Managementsysteme, ISMS und BCMS, sowie eine integrale Sicherheitsorganisation zu forcieren, «indem der logische Perimeter, die Schnittstellen, speziell geschützt und die IT-Sicherheit über die Unternehmensgrenzen hinaus durchgesetzt wird.»

Auch hier gilt: keine Autonomie, keine Isolierung, sondern der Hinweis, umfassend zu agieren und wenn möglich mehrere Managementsysteme aufbauen. Zum Abschluss seiner Ausführungen schlug Zbinden die Schaffung eines Gremiums für integrale Sicherheit auf Geschäftsleitungsstufe vor, «damit die Sicherheitsorganisation gestärkt wird und das Sicherheitsbewusstsein sich qualifiziert.» Die 29. Meet Swiss Infosec ist für den Donnerstag, 23. Juni 2016, angekündigt.