Stell Dir vor, es ist Cyberkrieg – und keiner sieht hin: Ocean’s99

Dass wir uns inmitten von kriegerischen Auseinandersetzungen im virtuellen Raum, im sogenannten Cyberspace befinden, sind sich die allermeisten Sicherheitsexperten in den Unternehmen sehr bewusst. Ob sich der Rest vom Unternehmen innerhalb und ausserhalb der IT darüber bewusst ist, wird eher in Frage gestellt. Das Thema ist sehr abstrakt und übersteigt das Vorstellungsvermögen hinsichtlich möglichen Gefahren und Risiken der meisten Mitarbeiter.

Zusammen mit 12 Experten aus den Bereichen IT Governance, Information Security, Risiko Management und Compliance von namhaften Unternehmen in der Schweiz haben wir am letzten Donnerstag, den 29. Oktober 2015 in Regensdorf einen Workshop der besonderen Art durchgeführt:

Aktuelle Herausforderungen aus Sicht der Experten
Aktuelle Herausforderungen aus Sicht der Experten

Ocean’s99 – eine Business Simulation zur Förderung des Bewusstseins im Umfeld von Cyber Security und Cyber Resilience. Mit Unterstützung von Jan Schilt, Co-Owner von GamingWorks und Entwickler der Ocean’s99-Simulation sowie mit Dan Cole, Axelos, dem Future Portfolio Lead Axelos Global Best Practice (Resilia – lesen Sie dazu meinen Resilia: Cyber Resilience – Widerstandsfähigkeit bedingt einen ganzheitlichen Ansatz) seitens Axelos haben wir seitens Glenfis diesen Workshop organisiert. Zu Beginn wurden die Experten nach den in ihrer Organisation grösste Herausforderungen im Bereich Cyber Security gefragt. Demnach gehören zu den aktuell grössten Schwierigkeiten, die Sicherheitsprozesse nicht bloss auf dem Papier definiert zu haben, sondern diese im Verhalten der Mitarbeiter nachhaltig zu verankern.

In vielen Organisationen bestehen Sicherheitsrichtlinien und Risiko Management Prozesse, welche eigentlich klare Anweisungen und Verfahren vorgeben, was wie zu tun ist, und wer die Verantwortung trägt. In einem durch Leistung getrimmten Betriebsalltag kommen solche für den Ernstfall konzipierte Strukturen jedoch nicht in den Vordergrund. Die wenigsten Mitarbeiter wissen genau was in der Security Policy steht und wie sie sich bei einem Ereignisfall konkret verhalten sollen. Wer weiss schon, was die kritischen Assets der Organisation sind, wie die Prioritäten bei Entscheidungen zu fällen sind und wer welche Verantwortung trägt? Der Daten-Owner? Der System- oder Service-Owner? Der Security-Officer oder das Business?

Dieses Spannungsfeld wurde auch im Workshop deutlich. Bei Ocean’s99 geht es darum, dass der Besitzer der «Bank of Tokyo» zusammen mit dem «Museum of Tokyo» eine Ausstellung der drei meist begehrtesten Objekte organisieren möchte: Der “Star von Afrika” – einen riesen Diamanten aus London, das Gemälde “Jewish Bride” aus Amsterdam – von Rembrandt sowie einen “Bugatti 59” aus Las Vegas. Jedes dieser Objekte muss aus der bestehenden Lokation in das Tokyo Museum transportiert und für vier Monate ausgestellt werden können, wo es dann viele Leute anlockt und das Image der Bank und die Einnahmen des Museums verbessert.

Die Herausforderung liegt darin, die Objekte nach Tokyo zu bringen: Pünktlich und sicher, damit die Ausstellung gemäss Planung stattfinden kann. Jeder Tag, der zu spät ausgeliefert wird, kostet viel Geld und schadet dem Image und der Reputation der Bank und dem Museum.

Spielfeld Ocean's99
Spielfeld Ocean’s99

Die Simulation hat alle Aspekte eines realen Umfelds integriert: verschiedene interne und externe Parteien mit unterschiedlichen Interessen. Einerseits die Besitzer der wertvollen Gegenstände, die mit ihren eigenen technischen mehr oder weniger sicheren Systemen den Transport überwachen wollen. Andererseits der Security Officer, welcher den Auftrag hat, die ganze Aktion mit höchster Sicherheitsstufe abwickeln zu können. Der Projektleiter, welche die Verantwortung trägt, pünktlich den Transport sicherzustellen. Zudem ein IT-Support, welcher für Störungen und Probleme zur Verfügung steht. Letztlich stehen dem ganzen Team auch ein Lieferant und Berater zur Verfügung, welcher gegen entsprechende Bezahlung neue und sichere Technologien zur Verfügung stellt oder Sicherheitsberatungen und Empfehlungen anbietet. Zudem auch die Auftraggeber und Sponsoren: die Bank von Tokyo und das Museum von Tokyo.

Wer aber trägt nun welche Rolle und welche Verantwortung? Wer muss bei Entscheidungen beigezogen werden? Was sind nun die Assets und welche sind wie kritisch? Gerade im hektischen Alltag wo unter Zeitdruck gearbeitet wird, können unscheinbare Angriffe im Cyberspace sehr gerne übersehen werden. Und hier spielt Ocean’s99 gerne den Spielverderber – Bedrohungen in Form von Phishing Mails, System-Attacken oder Datenklau (Transportrouten, Strategie ect.) stören den Ablauf und bedrohen das Ziel der sicheren und pünktlichen Lieferung. Da prallen die beiden ungleichen Faktoren aufeinander: Chancen versus Risiken. Der Projektleiter, der den Terminplan einhalten muss und der Security Officer, der die Sicherheit zu gewährleisten hat. Ohne klare Rollen und Verantwortlichkeiten, Kenntnisse der kritischen Assets des Unternehmens und eingespielte sowie für jedermann verständliche Verfahren im Ereignisfall, droht das Vorhaben zu scheitern.

Überarbeitete RACI-Chart
Überarbeitete RACI-Chart

Über mehrere Runden reift diese Erkenntnis im Team. Eine wohldefinierte Sicherheitspolicy ist das gedruckte Papier nicht wert, wenn es die Mitarbeiter nicht kennen und nicht verstehen. Oft konzentrieren sich die gesuchten Lösungen nur auf technischen Komponenten. Cyber Resilience ist aber auf allen vier P’s auszurichten: People, Process, Product und Partner. Wenn zwar die technische Lösung perfekt ist, die Mitarbeiter und Prozesse nicht gleichermassen berücksichtigt werden, dann ist die Investition nutzlos.

Der Workshop mit den 12 Experten verlief sehr erfolgreich. Das Team hat die Hürden sehr gut gemeistert und das Projekt vorzeitig und erfolgreich abgewickelt – das klare Verständnis zur Problematik und der Wille nach strukturiertem Vorgehen haben gezeigt, dass die Ansätze richtig sind. Am Folgetag, am 30. Oktober führten wir den gleichen Workshop innerhalb des Glenfis-Teams durch. Hier zeigte sich die Lernkurve viel extremer, da die erste Runde ziemlich im Chaos endete. Und das ist auch das Ziel der Simulation: Erfolg muss belohnt werden. Schlechte Teamarbeit muss zu entsprechenden Rückschlägen führen.

Das Thema Cyber Security und Cyber Resilience darf nicht auf die leichte Schulter genommen werden. Eine Erkenntnis des Workshops aus Sicht der Experten war, dass das Bewusstsein im ganzen Unternehmen gefördert werden muss – nicht bloss innerhalb der IT. Die Kommunikation sowie die Festlegung von klaren Rollen und Verantwortlichkeiten sind dabei eine wesentliche Voraussetzung für ein nachhaltiges Cybersecurity-Konzept. Und alle Experten haben klar bejaht, dass diese Form von interaktivem Lernen anhand einer Simulation eine ideale Unterstützung zur Förderung des Sicherheitsbewusstseins darstellt – damit kann ein rein theoretisches Seminar nicht mithalten.

Stress im Museum of Tokyo
Stress im Museum of Tokyo

Das Erkenntnisse der Simulation mit den Experten wurde in diesem Blog gemeinsam mit Axelos, GamingWorks und Glenfis ausgearbeitet (Link).

Die Glenfis bietet diese Simulation ab sofort als Ocean’s99 – Simulations-Workshop oder auch als integrierte Resilia-Foundation oder Resilia-Practitioner Ausbildung aus.


 

Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert