Interview mit Orange Cyberdefense
„ISO 27001 ist nicht mehr ausreichend“
Wer sich ausschließlich auf die Norm verlasse, sei weder auf NIS-2 noch auf die aktuelle Bedrohungslage vorbereitet, sagt Matthias Rosche. Am Rande der Detect & Defend, dem Security-Kongress von Orange Cyberdefense in München, konnten wir Ende April mit dem Managing Director darüber reden.
Die Welt der Cyberbedrohungen hat sich in den letzten Jahrzehnten stark verändert. Matthias Rosche ist seit über 25 Jahren in der IT-Security aktiv und hat diesen Wandel begleitet. Seit August 2018 ist der promovierte Physiker Geschäftsführer der Orange Cyberdefense Germany. Davor war er bereits bei verschiedenen Unternehmen in leitenden Positionen tätig. So baute er bei T-Systems International die Vertriebsorganisation um sowie den Beratungsbereich für Cyber Security auf, bei NTT Com Security/Integralis leitete er verschiedene Geschäftsbereiche – von Security Consulting, Business Development bis hin zu Solution Sales.
Mit diesem Background und einem umfangreichen Netzwerk im Bereich Cybersecurity hat Rosche tiefe Einblicke in die Regularien und deren Auswirkungen auf die Finanzszene, den deutschen Mittelstand und internationale Unternehmen. Für ihn ist ISO 270011 häufig nicht das Papier wert, auf dem es steht. „Wer sich ausschließlich auf diese Norm verlässt, ist weder auf NIS2 noch auf die aktuelle Bedrohungslage vorbereitet“, lautet sein Urteil.
connect professional: Herr Rosche, warum sollten sich Unternehmen nicht auf die ISO 27001 verlassen? Schließlich bildetet die internationale Norm vielen Einrichtungen einen Orientierungspunkt für die Planung, Umsetzung, Überwachung und Optimierung der Informationssicherheit.
Matthias Rosche: Ich bin nun schon etwas länger am Markt und habe damals auch die Anfänge miterlebt, als die 27001 noch BS 7799-2 hieß. Als ehemaliger Leiter einer Beratungsabteilung, die derartige Normen und Zertifizierungen fokussiert hat, weiß ich genau, mit welcher Motivation Kunden solche Projekte angehen und was in der Regel das Ergebnis ist. Natürlich war die Norm damals, vor knapp 25 Jahren, ein Meilenstein. Managementsysteme aufzubauen, Prozesse zu dokumentieren, Policies aufzusetzen – das war damals eine richtige Herausforderung und im Grunde auch Neuland. Die Situation und die Entwicklung der Unternehmen waren natürlich aber auch eine ganz andere. So etwas wie „Security-Beauftragte“ wurden gerade erstmalig benannt oder zumindest wurde die Rolle definiert. Das alles waren also wichtige Punkte, die durch das 27001-Framework unterstützt wurden und somit auch einen signifikanten Beitrag zur Verbesserung der Unternehmenssicherheit geliefert haben.
Jetzt, fast 25 Jahre später, ist das Ganze nicht unwichtig geworden. Allerdings haben sich die Unternehmen und auch die Bedrohungslage weiterentwickelt. Das, was der Standard fordert und definiert, ist letztendlich immer noch notwendig. Aber es ist einfach nicht mehr ausreichend.
connect professional: Die Norm hat sich sozusagen überlebt?
Rosche: Es ist im Grunde wie mit der täglichen Grundhygiene; wie mit dem Zähneputzen. Das sind die Basics, die einfach erwartet werden. Und macht man die nicht richtig, sieht es übel aus. Allerdings kristallisiert sich mittlerweile eine komplett neue Art von Compliance-Standards heraus. Der stärkste, der hier zu nennen wäre, ist DORA (Digital Operational Resilience Act). Er fokussiert die Finanzindustrie beziehungsweise das, was die BaFin in Deutschland beziehungsweise die EZB in Europa als Requirements definiert. Diese Standards sind das, was ich heute auch als „Stand der Technik und der Wissenschaft“ bezeichnen würde. Denn sie machen im Security-Bereich qualitativ den Unterschied, da sie nicht nur eine Dokumentation, einen simplen Nachweis, von Prozessen einfordern, sondern damit auch die Wirksamkeit über einen gewissen Zeitraum hinweg geprüft wird. Das ist ein wesentlicher Unterschied.
connect professional: DORA sieht außerdem vor, dass Finanzunternehmen ihre Informationen und Erkenntnisse über Cyberbedrohungen miteinander austauschen können, nicht wahr?
Rosche: Die Supply-Chain-Thematik führt dazu, dass diese Requirements natürlich dann auch für Dienstleister wie uns gelten. Das heißt beispielsweise: Das Audit findet immer noch bei der Bank statt, welche in der Regel 48 Stunden Zeit zum Antworten hat. Wir haben dann noch 24 Stunden Zeit, der Bank die Information zu geben, die sie vielleicht noch nicht hat. Und das ist schon ein Niveau, auf das man sich im Vorfeld sehr gut vorbereiten muss. Wir tun das zum Beispiel mit der SOC-2-Zertifizierung2. Die ist für Dienstleister mittlerweile auch zum Standard geworden oder wird zumindest hierzulande gerade zum Standard. In den USA ist man da schon ein wenig weiter.
Das Entscheidende ist, dass damit die Wirksamkeit von Maßnahmen tatsächlich auch nachgewiesen wird – zum Beispiel beim Onboarding von Kunden. Früher wurde so etwas schnell abgetan. Da hieß es: „Okay, passt schon. Haben wir auch dokumentiert, ist ISO-konform.“ Jetzt müssen wir das gemeinsam mit dem Kunden in der Echtzeitumgebung für jeden einzelnen Use Case testen und auch die Tests entsprechend nach bestimmten Standards dokumentieren. Und sollte es Veränderungen, Anpassungen oder Updates geben, muss neu getestet werden. Das zieht zwar einen riesigen Aufwand im Vorfeld nach sich – solche Onboarding-Projekte dauern wesentlich länger –, aber die Security befindet sich tatsächlich auf einem anderen Level. Die Qualität der Dienstleistungen ist eine ganz andere.
| Was ist eine SOC-2-Zertifizierung? |
|---|
|
SOC 2 ist ein freiwilliger Compliance-Standard für Unternehmen und steht für „Systems and Organisations Controls“. Im Rahmen einer SOC-2-Zertifizierung wird ein Audit durchgeführt, bei dem das Risikomanagement einer Organisation auf bereits implementierte Kontrollmaßnahmen überprüft wird, um so eventuelle Lücken aufzudecken. Der Standard wurde vom amerikanischen Berufsverband der Wirtschaftsprüfer (American Institute of Certified Public Accountants, kurz: AICPA) entwickelt und gliedert sich in ein Audit Typ I und ein Audit Typ II. Beide SOC-2-Audits werden von externen Auditoren der AICPA vor Ort im Unternehmen durchgeführt. Im Anschluss erhält das Unternehmen einen Bericht (SOC 2 Report) mit einer Bewertung der Informationssicherheit. Wird ein Audit erfolgreich bestanden, erhält das auditierte Unternehmen die SOC-2-Zertifizierung. Folgende fünf Prinzipien (Trust Service Categories, kurz: TSCs) sind die Grundlage für die Compliance nach SOC 2: Datenschutz, Sicherheit, Verfügbarkeit, Vertraulichkeit und Prozessintegrität. Maßgebliche Anleihen für SOC 2 und andere moderne Standards der Informationssicherheit kommen aus der Welt der Wirtschaftsprüfer und fordern dem Prinzip nach ein internes Kontrollsystem. Analog SOC 2 wird nach erfolgreichem Abschluss einer Prüfung nach Prüfungsstandard IDW PS 951 (deutsche Variante) oder ISAE 3402 (international) wird die Angemessenheit (Typ 1) oder die Angemessenheit und Wirksamkeit (Typ 2) des dienstleistungsbezogenen internen Kontrollsystems bescheinigt. Beim häufiger nachgefragten SOC-2-Typ II ist eine jährliche Erneuerung notwendig. Für den Erhalt einer Zertifizierung nach ISO27001 ist hingegen ein einmaliges Zertifizierungsaudit notwendig. Dieses wird nachfolgend durch jährliche Überwachungsaudits ergänzt, die eine weiterhin vorhandene ISO27001-Konformität des ISMS prüfen. |
connect professional: Was bedeutet das mit Blick auf NIS-2? Wäre hier auch SOC 2 der passende Orientierungsansatz?
Rosche: Ich würde es zumindest jedem Dienstleister in dem Segment nahelegen. Das ist im Grunde gleichzusetzen mit Prüfungsverfahren aus anderen Bereichen, wie der Wirtschaftsprüfung beispielsweise. Also das, was ich als Geschäftsführer üblicherweise für mein normales Geschäft hinsichtlich Bilanzzahlen und so weiter mache, sollte ich auch auf die Security anwenden. In der Regel ist es bei Standards wie NIS-2, DORA oder SOC 2 sogar noch intensiver. Da legt man entsprechende Überprüfungszeiträume fest und dann kommt der nächste Zeitraum zur Überprüfung. Man macht das also nicht einmal, wie bei der Fahrerlaubnis in Deutschland, und das hält dann für immer, sondern es gibt eine regelmäßige kontinuierliche Überprüfung. Das ist ein wichtiger Punkt.
Es ist allerdings auch kostenintensiv, sowohl für uns als auch den Endkunden. Man sollte davon ausgehen, dass Aufwand und Investment viel größer als bei einer ISO-Zertifizierung sind. Auch wir investieren hier und gehen gezielt in diese regulierten Märkte hinein. Bald wird es nichts Unreguliertes mehr geben. Das betrifft de facto alle Unternehmen, die wir adressieren – also vorrangig den gehobenen Mittelstand ab 1.000 Mitarbeiter aufwärts. Und auch im öffentlichen Bereich wird es zum Standard werden und betrifft damit eigentlich auch alle größeren Unternehmen.
connect professional: Kommunalverwaltungen und Bildungseinrichtungen fallen aber Stand jetzt nicht unter den Anwendungsbereich der NIS-2-Richtlinie…
Rosche: Die werden noch ein bisschen geschont. Aber auch da wird sich früher oder später das Blatt wenden. Deswegen müssen wir davon ausgehen, dass jeder Bereich in der Form dann reguliert ist und wir schon jetzt teilweise mit gehörigem Aufwand und Schmerzen lernen, was es bedeutet, diese Anforderung zu erfüllen.
Es ist aber auch gut, wenn wir jetzt Zeit und Geld investieren. Denn wir sehen, dass der Markt in diese Richtung gehen wird und gehen schon jetzt die Branchen an. Vor allem die Finanzbranche wird derzeit mit am stärksten reguliert, weil es schon entsprechende Gremien und vor allen Dingen Auditoren gibt.
connect professional: Explizite Audits gibt es mit NIS-2 noch nicht, oder?
Rosche: Genau. Deswegen ist das NIS-2-Schwert auch meiner Meinung nach ein stumpfes. Davon einmal abgesehen, dass wir noch keinen Termin für das Umsetzungsgesetz haben. Das wird zwar kommen, aber wahrscheinlich auch erst im nächsten Jahr. Und dann ist immer noch die Frage, wer es prüft und auditiert. Das BSI ist derzeit gar nicht dafür ausgelegt, so viele Unternehmen prüfen zu können. Nicht einmal stichpunktartig. Deswegen wird sich das Ganze sicherlich auch noch verändern müssen, damit es überhaupt greift. Aber zumindest geht die Entwicklung in diese Richtung und wir sind gut beraten auch als Dienstleister, uns darauf vorzubereiten. Allein schon deshalb, weil verschiedene Ereignisse vor der Tür stehen, die da hineinspielen: Man denke an die Wahl in den USA, da wird es sicherlich wichtige Impulse geben. Oder das Thema Taiwan-Konflikt; auch das ist ein Damokles-Schwert, das jederzeit mit signifikanten Auswirkungen nach unten fallen kann.
| „Die Supply-Chain-Thematik führt dazu, dass diese Requirements natürlich dann auch für Dienstleister wie uns gelten. [...] Und das ist schon ein Niveau, auf das man sich im Vorfeld sehr gut vorbereiten muss. Wir tun das zum Beispiel mit der SOC-2-Zertifizierung. Die ist für Dienstleister mittlerweile auch zum Standard geworden oder wird zumindest hierzulande gerade zum Standard.“ |
|---|
connect professional: Wie viel Budget sollten Unternehmen Ihrer Meinung nach für das Thema Security einplanen?
Rosche: Zu Beginn meiner Karriere, Ende der 90er, ist man noch von drei bis vier Prozent des IT-Budgets ausgegangen. Wir sprechen hier von einem Mittelwert, denn natürlich hängt es auch stark von der Branche ab. Heute hingegen würde ich das Budget doppelt so hoch ansetzen: also eher fünf bis sieben Prozent im Durchschnitt. Hochregulierte Branchen, wie Finanzen oder der Militärbereich, sollten eher 10 Prozent investieren. Andere Branchen hingehen, wie die Baubranche oder Gebäudereinigung und dergleichen, können natürlich auch weniger einplanen – vielleicht eher vier bis fünf Prozent des IT-Budgets.
Die Erfahrung zeigt auch: Sollte ich dieses Geld einsparen, dann kann ich davon ausgehen, dass ich dieses und sogar noch mehr bei einem Sicherheitsvorfall verliere. Und wir haben heutzutage zahlreiche Sicherheitsvorfälle. Im Grunde mittlerweile so viele, dass nicht einmal alle in der Presse landen, weil sie einfach „Commodity“ geworden sind. Wir gehen davon aus, dass jedes Unternehmen mindestens alle zwei Jahre einen größeren Sicherheitsvorfall hat. Das ist wie mit der Kasko-Versicherung, die Sie nicht abschließen: Sobald Sie einen selbstverschuldeten Totalschaden haben, war es das. Das Für und Wider zu dieser Entscheidung liegt auch in der menschlichen Natur beziehungsweise ist letztlich in der Firmenkultur verankert. Denn die Firmen sind relativ unterschiedlich und auch innerhalb einer Branche erlebt man erstaunliche mentale und kulturelle Differenzen im Umgang mit diesem Thema. Nicht selten sind es der Vorstand und die Geschäftsleitung, die den Takt vorgeben. Einige – nicht alle – deutschen Familienunternehmen sind da in der Vergangenheit sehr entspannt mit umgegangen. Bestes Beispiel hierfür ist der Baustroffriese Knauf gewesen, wo es vor ein paar Jahren einen erfolgreichen Cyberangriff gab. Das führte zu massiven Produktionsausfällen, teils über Wochen.
Vor diesem Hintergrund sind Vorgaben wie eine NIS-2 natürlich auch begrüßenswert, da sie an der Stelle eine klare Formulierung vorgeben. Auch wenn die vielleicht so schnell keiner auditiert oder ahndet.
connect professional: Wir führen das Gespräch ja heute auf der Detect & Defend3, die sich dem Thema Security auch spielerisch annähert; Stichwort Gamification. Wie verbindet Orange Cyberdefense Security mit Gamification?
Rosche: Wir bauen tatsächlich so eine Art „Krisenmanagementsystem“ auf, indem wir vier Spielern bestimmte Rollen zuweisen – vom CEO bis zum CFO – und dann eine Cyberangriffs-Situation durchspielen. Dort wird dann Druck erzeugt mit Ton und Interaktionen: Es gilt auf Presseanfragen zu reagieren, die Staatsanwaltschaft will etwas, die Polizei ermittelt, der Produktionsleiter bemängelt den Stillstand. Nichts läuft mehr und jetzt müssen Sie entscheiden, was zu tun ist. Man kommt komplett ins Schwitzen und bekommt ein Gefühl dafür, mit welcher Intensität das Ganze auf einen einprasselt. Von jedem Ende aus zieht und zerrt jemand – und natürlich gibt es auch viele, die dann ignoriert werden müssen, weil sie einfach nicht wichtig sind. Es ist nicht leicht, das Wesentliche vom Unwesentlichen zu trennen, die Dringlichkeit von der Weniger-Dringlichkeit zu separieren. Und dann hoffentlich die richtigen Entscheidungen zu treffen und die richtigen Informationen rauszugeben beziehungsweise auch innerhalb des Unternehmens zu vermeiden und vorbereitet zu sein auf so etwas.
Das bieten wir bereits seit zwei Jahren mit branchenspezifischen Szenarien an. Zum Beispiel mit einem Ransomware-Vorfall à la „Alles ist verschlüsselt. Die Produktion steht still. Was tun?“. Das sind Dinge, die in der Entscheidungsfindung helfen. Deswegen haben wir auch dieses Gamification-Thema noch stärker mit der Detect & Defend adressiert – um es ins Bewusstsein zu rücken.
1 https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/iso-27001-basis-it-grundschutz_node.html
2 https://www.dataguard.de/blog/soc-2-vs-iso-27001
3 https://www.orangecyberdefense.com/de/detect-defend
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Neue Organisationseinheit
Orange gründet Division für Verteidigung und innere Sicherheit
Stresstest für Cyberangriffe
Orange eröffnet Cyber Experience Center in Augsburg
Schutz Kritischer Infrastrukturen
Human-Centered Security Lab öffnet seine Türen
Eset-Umfrage zur EU-Richtlinlie
Deutsche Unternehmen sind nicht auf NIS-2 vorbereitet
Securepoint kritisiert NIS-2-Umsetzung
„Aus unserer Sicht ist NIS2 ein Bürokratie-Gesetz“
Sonatype: Schutz für Open Source
Bislang unentdeckte Sicherheitslücken aufspüren
Interview mit 1&1 Versatel
Untrennbar miteinander verbunden: Digitalisierung und Sicherheit
G Data Academy will Motivation mit Gamification…
Spielerisch zu mehr Wachsamkeit
