Das Cloud Services die Zukunft gehört, brauchen wir an dieser Stelle nicht mehr zu erörtern. Nicht alle sind davon wirklich gleich stark überzeugt wie ich. Aber was denken Sie, wie viele Cloud Services heute bereits in Ihrem eigenen Unternehmen genutzt werden? Sind dies eine Handvoll auserwählte Services? Oder vielleicht Hundert, oder gar ein paar Hundert?
Sie denken “so viele sicher niemals”? Die Firma Skyhigh Networks ist auf das Aufspüren und Risikobewerten von Cloud Diensten im Netzwerkverkehr in Unternehmen spezialisiert. Gemäss ihren Erfahrungen werden in Unternehmen heute pro Monat weit mehr als 1000 Cloud Services genutzt. Klar hängt es auch etwas von der Grösse und dem Grad der Internationalität ab. Aber hätten Sie je gedacht, dass bei einem deutschen Finanzinstitut über 1’500 unterschiedliche Cloud Services ermittelt wurden. Nicht weil die interne IT das so wollte – der Grossteil als SchattenIT von Bentzern aus allen Bereichen. Und dies gerade vor ein paar Wochen?
Die Firma Skyhigh hat in Zusammenarbeit mit der Cloud Security Alliance Unternehmen befragt, ob sie Kenntnisse über vorhandene oder gar realisierte Insider-Bedrohungen haben. Gerade mal 18% der befragten Unternehmen gaben an, von mindestens einem Vorfall Kenntnis zu haben. Durch die laufende Ermittlung der Cloud-Cloud Dienste in europäischen Unternehmen hat Skyhigh bei 87% der Unternehmen Hinweise auf Verhalten von Insider-Bedrohungen festgestellt – und das nur aufgrund von Analysen von aktuellen Daten eines einzelnen Quartals. Die Dienste werden genutzt – ob dies nun der Sicherheitspolicy eines Unternehmens entspricht oder nicht.
Es herrscht ein regelrechter Cyberkrieg. Während man einerseits bemüht ist, alle erdenklichen Massnahmen zu ergreifen, um gefährliche Services und Quellen zu unterbinden, rüsten sich Anbieter von solchen Diensten mit immer neuen Möglichkeiten auf, an die Benutzer zu gelangen. Die Benutzer lieben die Cloud Services und finden immer neue Wege und Produkte, welche aktuell von der IT-Abteilung noch nicht blockiert sind.
Als Beispiel ist hier ein Report von einem deutschen (globalen) Unternehmen in der Branche Transportation. Ganze 1985 Cloud Services wurden von über 2100 Mitarbeitern alleine im Monat Juni 2015 genutzt. Davon waren 161 als High-Risk-Services bekannt und klassifiziert. Zudem wurden im gleichen Zeitraum 32,9 Gigabyte Daten in diese High-Risk-Bereiche verschoben. Und dies ist kein extremes Beispiel. Das ist Durchschnitt.
Das ist heute also die Realität. Wenn wir über Cyber-Risiken sprechen, dann ist es keine Frage mehr, ob es zuschlagen wird – es ist eher eine Frage des wann’ s. Und wenn wir auch alles Erdenkliche unternehmen, um diese High-Risk-Services zu verbannen und abzuwehren, wird das Unternehmen früher oder später auf dem linken Fuss erwischt. Je nach Vorfall kann dies die Existenz eines Unternehmens ernsthaft gefährden.
Dass Cyber-Attacken als eine der 10 wahrscheinlichsten Risiken für die Welt von heute betrachtet wird, habe ich bereits in meinem Blog „Cybersecurity –
die notwendige Disziplin für einen sicheren Umgang mit der Cloud“ hervorgehoben. Es wundert also nicht, dass Regierungen in aller Welt – allen voran hier
auch die USA Milliarden Budgets (Man beachte die 14 Milliarden Dollar Budget für Cybersecurity im 2016 in den USA Link) trotz permanenter Kostenbremse freimachen, um zentrale Infrastruktursysteme, Universitäten, Systemkritische Unternehmen von solchen Angriffen zu schützen. Dieses Geld wandert zu einem grossen Teil auch in Best Practice Frameworks wie NIST Cybersecurity Framework (Link).
Es werden heute auch keine Anlässe ausgelassen, wo nicht auf die Risiken und die Management Verantwortung in Unternehmen aufmerksam gemacht wird. Nun hat also auch Axelos, der neue Eigentümer von ITIL® und Prince2® ein Rahmenwerk herausgegeben, das sich diesem Thema widmet: RESILIA: Cyber Resilience. Noch schnell auf den Zug aufspringen, bevor er endgültig abfährt, denkt man sich dabei.
RESILIA – Das neue Produkt von AXELOS
Nun, dass man damit Geld verdienen will und kann, liegt auf der Hand und ist nicht per se als schlecht einzustufen. Interessant und für mich auch sehr ermutigend für ein neues Produkt ist der Ansatz, welcher Rance Stuart, Mike St. John-Green und Moyn Uddin hier gewählt haben. Sie sind nicht dem Versuch erliegen, neben den grossen Rahmenwerken und Standards wie NIST und ISO27000 einen analogen Leitfaden zu dokumentieren. Dies wäre auch unsinnig, weil dort bereits Erfahrungen aus mehreren Jahren Expertise und Spezialisten aus aller Welt enthalten ist.
Sie haben aber einen Ansatz gewählt, einen einfacheren und für Mitarbeiter, Management und vor allem Nicht-Security-Experten besser verständlichen Zugang zum Thema Cyberkriminalität zu schaffen. Vielfach tun sich Nicht-Sicherheitsexperten sehr schwer mit dem Thema. Es ist für die meisten Mitarbeiter nachvollziehbar und wird als notwendig und unverzichtbar erachteet – aber wie das technisch genau funktioniert und wo die Tücken im System liegen, da tun sich doch die meisten Leute heute schwer. Das Thema einfach den Spezialisten zu überlassen ist aber auch kein Ansatz. Es wird ja überall proklamiert, dass es auf die Agenda des Top-Managements gehört.
RESILIA versucht sich mit Cyber Resilience vom allgemeinem Cyber Security abzugrenzen. Während Cyber Security den Fokus auf den Schutz der Assets legt und möglichst zu verhindern versucht, dass es angegriffen und zerstört wird, geht RESILIA davon aus, dass die Organisation sich zusätzlich auf den Fall einrichtet, dass etwas passiert. Man kann es etwas vergleichen mit den Prozessen Availability Management und Business Continuity Management (BCM). Auch hier haben beide Prozesse scheinbar das gleiche Ziel, nämlich die Verfügbarkeit zu gewährleisten. Nur wird beim BCM auch Vorkehrungen zur Aufrechterhaltung und Wiedererlangung des Services im Ernstfall berücksichtigt.
Zugegebenermassen ist das bei den gängigen Cyber Security Frameworks wie ISO27018 oder NIST nicht so abgegrenzt. Auch dort sind neben der Prävention und dem Entdecken auch korrigierende Aktionen vorgesehen. Aber vielfach ist der Blick auf das System gerichtet, das ein Vorfall hat. Bei RESILIA betrachtet man die Situation auf Service-Ebene. Der Unterschied zwischen Service und System ist den meisten ITSM-Leuten heute ein Begriff (ich weiss – nicht alle, aber den meisten).
RESILIA betrachtet Cyber Resilience als eine Capability eines Unternehmens. Es ist nicht einfach eine Funktion im Unternehmen, welche sich darum kümmert. Sehr wohl braucht es Verantwortliche, welche die Steuerung und Kontrolle innehaben. Aber als Capability, die Fähigkeit widerstandsfähig gegen Cyber-Attacken zu sein, müssen alle Aktivitäten und Prozesse einer Service Organisation auf dieses Thema sensibilisiert und bei Bedarf ergänzt werden. Dazu wurde in RESILIA der bekannte LifeCycle-Ansatz von ITIL® gewählt, weil dieses Modell heute weltweit als führend eingesetztes Rahmenwerk betrachtet wird.
Neben einer ausführlichen Beschreibung des Risiko Management Prozesses (persönliche Anmerkung: wurde mal endlich Zeit, dass dies als Prozess anerkannt wurde – nur dass man wieder einmal neue Begriffe für Risiko-Strategien erfunden hat), wurde auch die Wichtigkeit eines Governance- und Management-Systems erläutert. Es wurde ganz artig über den Haag gefressen und das Konzept der Trennung von Governance- und Management-Praktiken bei COBIT entlehnt.
Dann wird zu jeder Phase (Cyber Strategie, Cyber Design, Cyber Transition, Cyber Operation und Cyber Continual Improvement) die für jede Phase
wichtigen Praktiken und Security Kontrollen identifiziert und erläutert. Zusätzlich zu diesen neuen Aktivitäten wird dann auch ein Link zu den jeweiligen Prozessen und Funktionen der Service Lifecycle Phase behandelt. So fliesst natürlich bei jeder Change Bewertung die Auswirkung auf die Cyber Resilience Kontrollen mit ein. Auch im SLA dürfen keine Anforderungen an die Cyber Resilience fehlen. So gesehen ist Cyber Resilience einfach eine zusätzliche Anforderung wie Verfügbarkeit und Kapazität.
Das Buch RESILIA wurde bereits veröffentlicht und ist bei TSO erhältlich. Axelos ist aber nicht am Umsatz der Bücher alleine interessiert, sondern erhofft sich durch die Popularität des Themas und der Notwendigkeit, möglichst alle Mitarbeiter (zumindest innerhalb der IT) mit dem Thema zu sensibilisieren vor allem einen Schub in das schwindende ITIL® Zertifizierungsgeschäft zu erhalten. Momentan sind zwei Trainings-Stufen vorgesehen:
- RESILIATM Foundation
- RESILIATM Practitioner
Der Foundation Lehrgang ist bereits verfügbar und die Glenfis AG hat sich und seine Trainer qualifiziert und auch akkreditieren lassen. Wir bieten das erste öffentliche Seminar diesen Oktober bereits an. Für Interessierte sei hier auf die Kursauschreibung verwiesen (link). Der Practitioner Lehrgang wird im vierten Quartal erwartet.
Ich bin persönlich sehr stark davon überzeugt, dass das Cyber Resilience für die Zukunft der Unternehmen und der Wirtschaft allgemein sehr wichtig und unverzichtbar wird. Es wird in Zukunft vermehrt Experten in der Organisation brauchen, welche ein spezielles Sensorium dafür entwickeln und die notwendige Ausbildung dafür haben. Und vielleicht ist gerade RESILIA auch tatsächlich der öffnende Schlüssel für die breite Masse zum wachsamen Umgang mit dieser äusserst wichtigen, kritischen und in der Welt der Digitalisierung leider nicht mehr wegzudenkenden Herausforderung.