Cyber-Sicherheit – ein Dauerthema in allen Bereichen, so auch in der Bankenwelt. Doch wie ist es um die Branche bestellt? Welche Rolle spielen Analyseverfahren? Und wo steht der Mensch bei all den Sicherheitsanforderungen und -überlegungen? Fragen, die Patrick Steinmetz, DACH Sales beim Unternehmen BitSight, in unserem Interview beantwortet.
Herr Steinmetz, die vielen Meldungen zu angeblichen oder realen IT-Sicherheitsherausforderungen im Bankenumfeld verheißen nichts Gutes. Wie ist es denn aus Ihrer Sicht um die IT-Sicherheit bei Banken und Versicherungen bestellt?
Patrick Steinmetz: Insbesondere die stark regulierten Unternehmen aus dem Finanzsektor investieren jährlich immer höhere Summen in ihre IT-Sicherheit. Sie stellen auch hohe Anforderungen an die Security Posture von Dritten, mit denen sie zusammenarbeiten, weil sie ihnen teilweise Zugriff auf sensible Daten gewähren. Trotzdem nimmt die Häufigkeit von Cyber-Attacken zu.
Viele Verantwortliche fragen sich deshalb ständig, wie gut die eigene IT-Sicherheit eigentlich ist und wie hoch die Effizienz der Ausgaben dafür ist. Und wie bekommen sie eine valide Einschätzung der IT-Sicherheit ihrer Lieferanten und Partner? Oder die von potenziellen Versicherungsnehmern?
Herkömmliche Methoden, um die IT-Sicherheit zu messen, umfassen Checklisten, Audits, Zertifizierungen, Penetration-Tests und Vulnerability Scans. Diese Methoden sind zeitaufwendig, kostenintensiv und darüber hinaus auch nur eine Momentaufnahme der IT-Sicherheit. Sie sind weder vergleichbar, noch standardisiert. Außerdem sind diese herkömmlichen Methoden alleine zur Beurteilung von IT-Sicherheit nicht ausreichend, wie sich durch die wachsende Zahl von Datenlecks zeigt.
Insbesondere das Lieferanten-Cyber-Risiko ist eine immense Herausforderung. In der von BitSight und CeFPro gemeinsam durchgeführten Studie "Third-Party Cyber Risk for Financial Services: Blind Spots, Emerging Issues & Best Practices” haben wir das genauer beleuchtet. Die Studie untersucht aktuelle sowie zukünftige Ansätze und Herausforderungen für das Risikomanagement der von der Lieferkette ausgehenden Cyber-Risiken. Die Studie basiert auf einer Umfrage unter Experten für Finanzdienstleistungen. Sie zeigt, dass die Experten das Risikomanagement von Lieferanten-Cyber-Risiken als geschäftskritisch wahrnehmen. Dennoch fehlt oft ein kontinuierliches Monitoring und ein einheitliches Reporting der Lieferanten-Cyber-Risiken. Zusammen mit weiteren Schwachstellen sorgt dies für Anfälligkeiten von Organisationen für Datenschutzverletzungen und weitere Konsequenzen.
Viele Unternehmen arbeiten mit hunderten oder sogar tausenden von Lieferanten zusammen. Dadurch entstehen neue Risiken, zu deren Bewältigung Unternehmen aktiv handeln müssen. Insbesondere in der Finanzindustrie existiert ein riesiges geschäftliches Ökosystem, das sich aus rechtlichen Organisationen, Wirtschaftsprüfungs- und Human-Resources-Unternehmen, Unternehmensberatungen und Outsourcing-Unternehmen sowie IT- und Software-Anbietern zusammensetzt. Jeder dieser Anbieter stellt eine potenzielle Schwachstelle für die Cyber-Abwehr dar, wenn das von ihm ausgehende Risiko nicht aktiv gemanagt wird.
Nur durch aktives Cyber-Risikomanagement lässt sich der Austausch von Daten und anderen sensiblen Informationen mit den Lieferanten schützen.
Ihr Unternehmen verspricht dem Leser auf seinen Seiten eine weltweit führende Security-Rating-Plattform. Was macht diese Ihrer Meinung nach führend, ohne dabei werblich zu werden?
Patrick Steinmetz: Dazu muss ich gar nicht werblich werden, ich lasse einfach die Fakten sprechen. BitSight ist aus mehreren Gründen Marktführer bei IT-Sicherheitsbewertungen. An erster Stelle steht unser hochwertiger Datensatz. BitSight sammelt seine Daten aus mehr als 120 umfassenden und vielfältigen Datenquellen. Die von BitSight verwendeten Daten sind "öffentlich zugängliche" Daten, also sie werden nicht von innerhalb des zu bewertenden Unternehmens bezogen. Die Daten sind zwar theoretisch öffentlich verfügbar, aber in der Praxis teils nur mit hohem Aufwand zu erlangen – sonst könnte uns ja jeder unkompliziert kopieren.
Ich möchte das an einem Beispiel verdeutlichen: Über unsere Tochterfirma AnubisNetworks betreibt BitSight das weltweit größte Sinkhole. Damit können wir die Kommunikation zwischen mit Malware infizierten Computern und den kontaktierten Command-and-Control (C&C)-Servern analysieren. BitSight kann also genau sagen, welche Computer eines Unternehmens mit Malware infiziert sind. Schon alleine diese Existenz von Malware in einem Unternehmen ist streng genommen ein Breach und ein deutlicher Indikator dafür, dass Sicherheitskontrollen versagt haben. Die Kommunikation zwischen infizierten Computern und C&C-Servern erfolgt also über das öffentliche Internet und ist damit öffentlich, aber nur mit einer weltweit führenden Sinkhole-Infrastruktur wie der unseren lassen sich diese Daten umfassend sammeln und auswerten.
Weitere Daten beziehen wir von Anbietern von Sicherheitsdienstleistungen und über exklusive Partnerschaften mit bewährten globalen Unternehmen. Die Bewertungsinformationen stammen also aus einer Vielzahl von öffentlichen und nur uns zugänglichen Quellen wie Botnet, Spam, Nutzerverhalten, Newsfeed und Social Media. Bevor eine Quelle in das Rating aufgenommen wird, wird sie einer sorgfältigen Überprüfung und Genauigkeitsüberwachung durch unsere Datenwissenschaftler und technischen Experten unterzogen. Die Bewertung selbst wird durch einen Algorithmus erstellt, der die Daten auf Schweregrad, Häufigkeit, Dauer und Vertrauen analysiert.
Für BitSight spricht außerdem unsere Fähigkeit, einzigartige und umsetzbare Datenanalysen zu liefern, und die breite Marktakzeptanz. Wir stellen unsere Daten als kostenpflichtigen Abonnementdienst zur Verfügung. BitSight bietet einen 12-monatigen historischen Überblick über die Cyber-Sicherheitsleistung eines Unternehmens, gemessen anhand 23 verschiedener Risikofaktoren. Andere Anbieter sind davon meilenweit entfernt, sie messen höchsten sechs oder sieben Risikofaktoren.
Last but not least: BitSight hat 2011 den Markt für IT-Sicherheitsratings überhaupt erst geschaffen. Unsere Infrastruktur, unsere Sensoren, unsere Kooperationen, unsere Algorithmen – bei allem haben wir einen enormen Vorsprung gegenüber Mitbewerbern.
Haben Sie für unsere Leser ein Praxisbeispiel, wie diese Lösung funktioniert und vor allem welchen Mehrwert sie verspricht?
Patrick Steinmetz: Gerne erläutere ich zwei konkrete Beispiele aus der jüngeren Vergangenheit. Über unsere Sinkhole-Infrastruktur wurden wir erstens auf eine Domain aufmerksam, die mit dem Android Mobile Advertising Software Development Kit (SDK) Arrkii in Verbindung steht. Bei ihrer Analyse sind unsere Experten zu dem Ergebnis gekommen, dass das SDK Arrkii Funktionen und Verhaltensweisen einer potenziell unerwünschten Anwendung (Potentially Unwanted Application, PUA) aufweist. Wir haben anschließend einen Teil der Infrastruktur dieses SDKs über Sinkholing identifiziert. Dabei wurden insgesamt 15 Millionen verschiedene Geräte (mit 40 Millionen verschiedenen IP-Adressen) über einen Zeitraum von einem Monat gezählt, die aus einem Unternehmensnetzwerk heraus kommuniziert haben. Dies betrifft Geräte in mehr als 6.000 Unternehmen in vielen Branchen. Die überwiegende Mehrheit der infizierten Geräte befand sich zwar in Indien. In Deutschland wurden aber auch noch knapp 200.000 infizierte Geräte gezählt. Unsere Kunden könnten hier also genau sehen, welche ihrer mobilen Endgeräte mit Schadsoftware infiziert sind – oder wie es um die Cyber-Sicherheit der mobilen Endgeräte ihrer Lieferanten steht.
Zweitens haben wir Informationen über die Exposition und den Sicherheitsstatus der Systeme gesammelt, die sich in Unternehmensnetzwerken befinden und für Bluekeep anfällig sind. Weltweit hat BitSight fast eine Millionen Computer mit Internetzugang gefunden, die für die Schwachstelle Bluekeep anfällig sind. Unsere Lösung erlaubt es, die Anfälligkeit für Bluekeep auch nach Ländern aufzuschlüsseln. Die IT-Verantwortlichen in den verschiedenen Ländern haben demnach sehr unterschiedlich auf den Patch-Bedarf ihrer Systeme reagiert. BitSight hat ebenso die Anfälligkeit von Branchen für Bluekeep analysiert. Der Mehrwert für unsere Kunden ist hier, dass sie sich über den Patch-Status ihrer eigenen Systeme weltweit zu dieser kritischen Sicherheitslücke informieren können. Und sie erfahren mehr über den Patch-Status von Lieferanten, Partnern sowie potenziellen Versicherungsnehmern. Und das sind nur zwei Beispiele.
Lässt sich diese Rating-Plattform auch in weiteren Branchen anwenden?
Patrick Steinmetz: Selbstverständlich. Unsere IT-Sicherheitsratings sind für jede Branche geeignet, und unsere Kunden kommen demnach aus den unterschiedlichsten Branchen. Unternehmen aus aller Welt verwenden BitSight IT-Sicherheitsratings. CISOs, CIOs, Sicherheitsmanager und viele andere nutzen BitSight, um ihr eigenes Sicherheitsrisiko oder das Cyber-Risiko ihrer Lieferkette zu analysieren. Globale Versicherer setzen BitSight für das Underwriting und die Risikobewertung von Unternehmen ein, die eine Cyber-Versicherung suchen. Finanzinstitute und Private-Equity-Firmen nutzen BitSight, um das IT-Sicherheitsrisiko einer Investition zu verstehen. IT-Sicherheitsratings ermöglichen aber auch ein verständliches Reporting an den Vorstand und Benchmarking mit Mitbewerbern sowie von Tochterunternehmen. Auf nationalem Level kann beispielsweise ein Staat die IT-Sicherheit seiner kritischen Infrastruktur überprüfen und überwachen – das machen auch schon einige Staaten. Darüber hinaus sind viele weitere Anwendungsmöglichkeiten unserer Lösung denkbar – teilweise sind wir selbst überrascht, für was unsere Kunden die Daten alles einsetzen.
Welche Rolle spielen in diesem Zuge neue Analyseverfahren, wie beispielsweise Predictive Analytics, um zu einer fortschrittlichen Risikomodellierung zu gelangen?
Patrick Steinmetz: Der durch IT-Sicherheitsratings automatisiert erstellte, täglich aktualisierte und umfassende Blick von außen auf die Cyber-Sicherheit der eigenen Organisation oder die von beliebigen anderen Organisationen ist für alle unsere Kunden, insbesondere auch die Neukunden, ein enormer Schritt nach vorne. Sie werden tagesaktuell über ihr Risiko (oder das ihrer Lieferanten) gegenüber den neuesten Bedrohungen informiert.
Mit BitSight Forecasting bieten wir außerdem die erste Analytiklösung im Bereich IT-Security Ratings, die Einblicke in die aktuellen und zukünftigen IT-Sicherheitsinitiativen eines Unternehmens bietet. BitSight Forecasting hilft Kunden, die Effektivität ihrer Investitionen und Initiativen in der IT-Sicherheit zu messen. Die vielfältigen Bedrohungen, denen sich Unternehmen heutzutage ausgesetzt sehen, erschweren es, quantifizierbare Informationen darüber zu liefern, welche Investitionen zu bestmöglichen Resultaten führen. Anwender können dank BitSight Forecasting verschiedene IT-Sicherheitsszenarien modellieren und berechnen lassen, wie sich Änderungen von Prozessen, Technologien und der Unternehmenskultur auf ihre IT-Umgebung auswirken werden. So können Unternehmen die richtige Strategie und die richtigen Ressourcen finden, um Risiken zu minimieren. BitSight Forecasting hilft dabei, die Komplexität der Priorisierung von Investitionsentscheidungsoptionen für messbare IT-Sicherheitsverbesserungen zu managen.
Trotz dieser technologischen Aspekte stellt sich die Frage, wie und wo Sie den Menschen mitnehmen bei Ihrer Lösung, gerade unter dem Aspekt der Awareness und eines organisationsweiten Sicherheitsdenkens?
Patrick Steinmetz: Der Mensch steht im Zentrum einer der vier breit gefassten Kategorien, in die wir die 23 verschiedenen Risikofaktoren aufteilen. Die Kategorien sind kompromittierte Systeme, IT-Cyber-Hygiene, Nutzerverhalten und Veröffentlichungen zu Datenschutzverletzungen. Unter der Kategorie Nutzerverhalten fällt jedes mögliche Risiko, das mit dem messbaren Verhalten von Nutzern in Unternehmensnetzen verbunden ist. Ein Beispiel für gefährliches Nutzerverhalten ist Peer-to-Peer Filesharing. Dabei laden Nutzer Dateien, oft unter Verstoß gegen Urheberechtsgesetze, herunter und öffnen sie eventuell sogar. Sind diese Dateien mit Schadsoftware infiziert, kann die Malware das Unternehmensnetzwerk infiltrieren. Mit BitSight ist es möglich, Nutzer zu identifizieren, deren Verhalten ein Cyber-Risiko darstellt. Auf diesem Wissen aufbauend, können weitere Maßnahmen wie beispielsweise Schulungen beschlossen werden.
An welchen Stellschrauben müssen Unternehmen drehen, um ein qualitatives Mehr an Sicherheit in die eigene Organisation zu bekommen?
Patrick Steinmetz: Die Antwort liegt auf der Hand: Schwachstellen mit dem Blick von außen aufspüren und durch Gegenmaßnahmen schließen. BitSight hat im Rahmen einer Studie die IT-Sicherheitsratings von 27.458 Unternehmen über zwei Jahre hinweg analysiert und mit einem umfassenden Datensatz von 2.671 veröffentlichten Datenschutzverletzungen in diesem Zeitraum in Bezug gesetzt. Die analysierten Unternehmen unterscheiden sich hinsichtlich Größe und Orten ihrer Niederlassungen und stammen aus 22 verschiedenen Branchen. Die Ergebnisse zeigen ganz klar, dass Unternehmen mit einem besseren Rating viel seltener Opfer einer Datenschutzverletzung werden, die öffentlich bekannt wird. Anders herum betrachtet: Unternehmen mit einem niedrigen Rating werden fünfmal häufiger Opfer einer veröffentlichten Datenschutzverletzung als Unternehmen mit einem Rating von 700 oder höher. Unsere Ratings gehen übrigens von 250 bis 900.
Andererseits stellt sich die Frage, ob es in diesem Hase-und-Igel-Rennen zwischen Unternehmen versus Hacker überhaupt einen Sieger geben kann?
Patrick Steinmetz: Natürlich denken sich Hacker ständig neue Methoden aus, aber wenn die Risk Officers, CIOs und CISOs auf die richtigen Tools setzen, haben sie gute Karten. Mit unseren IT-Sicherheitsratings lässt sich das komplexe Thema IT-Sicherheit und Risiko außerdem auch viel verständlicher an den Vorstand kommunizieren und Budgets akquirieren. Beispielsweise so: Wir haben ein Rating von 600, aber unser größter Mitbewerber hat ein Rating von 700, und der Branchendurchschnitt liegt bei 680. Wir sollten also investieren bzw. handeln.
Abschließend Ihre Einschätzung in welche Richtung sich Unternehmen organisatorisch entwickeln müssen, um die eigene Widerstandsfähigkeit (Stichwort: Resilienz) zu erhöhen und sich nicht im Dickicht interner und externer Regulierungsvorschriften zu verheddern?
Patrick Steinmetz: BitSight plädiert für einen risikobasierten Ansatz für Cyber-Sicherheit. Wenn ein Unternehmen einen risikobasierten Ansatz verfolgt, berücksichtigt das Unternehmen bzw. sein CIO, CISO oder Risikomanager bei für die IT-Sicherheit relevanten Entscheidungen das Risiko vor allen anderen Faktoren. Risikobasierte Ansätze werden oft als Gegensatz zu Compliance-orientierten Ansätzen beschrieben. Teams mit risikobasiertem Ansatz arbeiten also stärker darauf hin, die tatsächliche Gefährdung ihrer Organisation durch Cyber-Angriffe und Datenschutzverletzungen zu reduzieren, anstatt Checklisten abzuhaken oder Audits zu bestehen – obwohl diese Ziele weiterhin wichtig bleiben.
Patrick Steinmetz, DACH Sales bei BitSight.
Bevor Patrick Steinmetz zu BitSight kam, war er als Geschäftsführer unter anderem bei NICE Actimize, Trusteer und BAE Systems in Deutschland, der Schweiz und Österreich tätig. Davor hat er unter anderem bei Thomson Reuters in Frankfurt gearbeitet und an der Universität Kiel studiert.