6 Must-haves für die Cybersicherheit für innovative Verantwortliche im öffentlichen Sektor

ThoughtLab hat kürzlich eine Benchmark-Studie zur Cybersicherheit veröffentlicht, die deutlich macht, dass die Cybersicherheit branchenübergreifend an einem kritischen Wendepunkt steht. Obwohl nach dem „NIST Maturity Framework“ 60 % der untersuchten Organisationen der öffentlichen Hand bei der Umsetzung bereits in die Kategorie „Mid-Implementation“ fallen, machen die sich gegenseitig verstärkenden Megatrends wie digitale Transformation, Remote Work, Plattformökonomie, IoT, Multi-Clouds, institutionalisierte Cyberkriminalität, Cyberkrieg und neue Vorschriften die Cybersicherheitslandschaft komplexer als je zuvor. 

Es überrascht daher nicht, dass 34 % dieser Organisationen sich nicht gut auf die sich schnell verändernde Bedrohungslandschaft vorbereitet sehen. 

Wo sollten Verantwortliche im öffentlichen Sektor ansetzen, um ihre Performance bei der Cybersicherheit in einer Zeit eskalierender digitaler Risiken zu verbessern? Wir gehen hier auf sechs wichtige Erkenntnisse aus dieser Studie ein.

Fehlkonfigurationen beseitigen

Wenn Organisationen der öffentlichen Hand ihre Abläufe digital transformieren, führen sie häufig neue Plattformen, Systeme, Server und Anwendungen ein, die neu konfiguriert und laufend gewartet werden müssen. All diese Veränderungen bieten mehr Raum für Konfigurationsfehler durch Teams, die möglicherweise überfordert sind oder zu wenige Ressourcen haben – Fehler, die Cyberkriminelle aufspüren und ausnutzen.

Die Studie zeigt, dass Fehlkonfigurationen die Hauptursache für die größten Angriffe sind, denen 49 % der Organisationen der öffentlichen Hand in den letzten zwei Jahren ausgesetzt waren. Daher darf dieser Bereich keinesfalls übersehen werden. Es ist wichtig, diese verteilten Systeme durch Sammeln von Telemetriedaten aus diesen Systemen und Strukturieren der automatischen Erkennung von Anomalien effektiv zu überwachen, um Fehlkonfigurationen auszumachen, bevor sie Schaden anrichten können. Irren ist und bleibt menschlich, aber mit der Möglichkeit, alles zu beobachten und die Problemlösung zu beschleunigen, müssen Fehlkonfigurationen nicht zu zusätzlichen Sicherheitsverletzungen führen.

Outsourcing von SOC und Threat Intelligence in Erwägung ziehen

Die Umfrage ergab, dass das SOC (Security Operations Center) und Threat Intelligence, zwei der ressourcenintensivsten Funktionsbereiche für die Cybersicherheit, in der Mehrzahl der Fälle ausgelagert werden. Einige Organisationen entscheiden sich für die Auslagerung, weil sie zu wenige Fachkräfte für Cybersicherheit haben, für andere sind die Kosten der Hauptfaktor für die Entscheidung. 

Duc Lai, CISO von University of Maryland Medical System, wird in der ThoughtLab-Studie mit den Worten zitiert: „Ein eigenes SOC zu betreiben ist ziemlich kostspielig, und bei der Qualität der heutigen Managed Services ist es eine bessere Entscheidung, in diese Art von Service zu investieren, besonders wenn es um die Verwaltung der Erkennung und Bekämpfung von Bedrohungen auf Endpoints geht.“

Ganz gleich, ob es einer Organisation der öffentlichen Hand an Cybersicherheitspersonal, Budget oder beidem mangelt – grenzenlose Erkennungsfunktionen für moderne SecOps-Teams und verhaltensbasierte Regeln, die mit dem MITRE ATT&CK-Framework abgeglichen sind, sind zusammen eine leistungsfähige Kombination, die die Wahrscheinlichkeit eines Sicherheitsverstoßes reduzieren kann.

Gewährleisten, dass Ihr SIEM Machine Learning verwendet

In der Umfrage gaben 47 % der Befragten aus Organisationen der öffentlichen Hand an, ihre derzeitige SIEM-Strategie ersetzen oder erweitern zu wollen, aber nur 12 % sagten, dass dies zu ihren effektivsten Investitionen gehört. Diese ziemlich geringe Effektivität ist darauf zurückzuführen, dass herkömmliche SIEM-Systeme ohne moderne, auf Machine Learning beruhende Analytics eingesetzt werden. 

Mandy Andress, CISO bei Elastic, weiß: „Heutige IT-Umgebungen liefern eine Flut von Daten. Herkömmliche SIEMs können zwar eine große Menge an Daten aufnehmen, neuere XDR-Plattformen, [die SIEM sowie Endpoint- und Cloud-Sicherheit vereinen] … bieten aber eine Reihe von eingebetteten Funktionen, inklusive Machine Learning, die bei der Erkennung von Anomalien helfen und weitere SecOps-Anforderungen abdecken.“ SIEMs mit Machine Learning spielen für die Überwachung von Workloads im öffentlichen Sektor, die auf die Cloud umgestellt werden, eine immer wichtigere Rolle.

OT-Angriffsoberflächen härten

Die öffentliche Hand ist Eigentümer und Betreiber von Infrastruktur- und Fleet-Systemen, bei denen das Risiko von IoT- und OT-Schwachstellen immer größer wird. Die Umfrage ergab, dass Organisationen in den nächsten zwei Jahren Investitionen zur Härtung dieser Angriffsoberflächen planen. Die Verantwortlichen werden dabei unterschiedliche Ansätze verfolgen, aber auch hier gilt laut Andress: „Der beste Schutz ist nach wie vor eine grundlegende Sicherheitshygiene. Es ist wichtig, die eigene Umgebung zu kennen. Standardeinstellungen sollten geändert und unnötige Dienste deaktiviert werden, eingehender Netzwerkverkehr sollte standardmäßig abgelehnt werden und es sollten stets alle Sicherheitspatches installiert sein.“ 

Weitere Empfehlungen, z. B. zur Datenerfassung und ‑analyse, zum Tech-Transfer von DIL-Umgebungen (Disconnected, Intermittent, Low-bandwidth), zur Compliance und zur Belegschaftsanalyse, finden Sie im zugehörigen Blogpost „4 ‚Hack the Port‘-Lehren zur Cybersicherheit kritischer Infrastruktur“.   

Tools und Technologien auf einer zentralen Plattform zusammenführen

Die Umfrage ergab, dass fast ein Drittel der Organisationen Technologien einsetzt, die als Plattform zusammenarbeiten, statt sich auf individuelle „Best-in-Breed“-Komponenten zu verlassen. Dies gilt vor allem für Organisationen, die nach dem „NIST Maturity Framework“ zu den Kategorien „Early Implementation“ und „Mid-Implementation“ gehören – Kategorien, in die 66 % der in der Studie befragten Organisationen der öffentlichen Hand fallen. 

Die Zusammenführung von Diensten auf einer bewährten Plattform ermöglicht nicht nur mehr Effizienz und Kosteneinsparungen, sondern auch einen höherwertigen Qualitätsansatz und eine einfachere Schulung. Eine von Forrester Consulting durchgeführte Auftragsstudie unterstreicht diesen Punkt: Darin wurde festgestellt, dass die Verwendung einer zentralen Plattform für Observability und Security zehnmal schneller ist und nur halb so viel kostet wie der Einsatz herkömmlicher Einzellösungen.  

Den Menschen in den Mittelpunkt der Cybersicherheit stellen 

Organisationen, die eine auf den Menschen ausgerichtete Cybersicherheit kultivieren, verzeichnen weniger Sicherheitsverletzungen und können Bedrohungen schneller erkennen und bekämpfen. Die Studie arbeitet fünf wichtige Schritte zur Förderung einer Cybersicherheitsstrategie heraus, bei der der Mensch im Mittelpunkt steht:

• Sicherheit für Menschen schaffen
• Eine Kultur schaffen, die auf Cybersicherheit ausgerichtet ist
• Wirksameres Bewusstsein für Cybersicherheit schaffen
• Fachkräfte einstellen, weiterbilden und halten
• Cybersicherheitsteam richtig personell ausstatten

Verantwortliche und Teams in Organisationen der öffentlichen Hand sind bei diesem Unterfangen aber nicht allein – sie können auf eine nach dem Prinzip „kostenlos und offen“ arbeitende Cybersicherheit-Community und Schulungsressourcen zugreifen.

Vollständigen Bericht herunterladen 

Wir empfehlen, den vollständigen Bericht „Cybersecurity Solutions for a Risker World“ herunterzuladen und ihn an Ihr Team weiterzugeben. Wie ThoughtLab hoffen auch wir, dass diese fundierte Cybersicherheitsanalyse Verantwortlichen in Organisationen der öffentlichen Hand und in der Wirtschaft hilft, ihre Cybersicherheitsressourcen zu optimieren, um im Zeitalter des Risikos, in dem wir uns befinden, bestehen zu können.

Möchten Sie gern mehr über Security bei Elastic erfahren? Probieren Sie Elastic kostenlos aus.