Im Jahr 2020 wird es einen enormen Anstieg bei der Telearbeit geben, dazu kommen weitere groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer kompromittierten Privatsphäre im Internet - noch nie war das Thema Cybersicherheit so sehr im Fokus der Öffentlichkeit. Infolgedessen haben sich Regierungen auf der ganzen Welt eingeschaltet, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.

Strategische Schutzrichtlinien für die Cybersicherheit sind kein neues Konzept, und Organisationen wie das NIST haben die Richtlinien globaler Regierungsabteilungen über viele Jahre hinweg informiert. Mit dem rasanten digitalen Fortschritt ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen, die Teil einer sich ständig verändernden Landschaft sind, Schritt zu halten.

Ein kürzlich erfolgter Einbruch in 54.000 Führerscheine des Bundesstaates New South Wales aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters hat Tausende von Personen gefährdet, wobei der Sicherheitsforscher, der den Einbruch meldete, einräumte, dass die Daten bereits im Dark Web verkauft worden sein könnten. Das Traurige daran ist, dass es sich um eine einfache Lösung handelt und es unwahrscheinlich gewesen wäre, dass dies überhaupt passiert wäre, wenn diejenigen, die den Cache konfigurieren, die Sicherheit im Blick gehabt hätten.

Die australische Regierung hat vor kurzem die australische Cybersicherheitsstrategie 2020 veröffentlicht, in der neue Initiativen und eine Aufstockung der Mittel um 1,67 Milliarden Dollar für das nächste Jahrzehnt vorgestellt werden, um die "Vision einer sichereren Online-Welt für die Australier, ihre Unternehmen und die wichtigen Dienste, von denen wir alle abhängen", zu erreichen. Dies ist eindeutig eine sehr willkommene Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht:

"Maßnahmen von Unternehmen, um ihre Produkte und Dienstleistungen zu sichern und ihre Kunden vor bekannten Cyber-Schwachstellen zu schützen".

Während sich staatliche Stellen eher auf die Sicherheitsmaßnahmen für die kritische Infrastruktur eines Landes konzentrieren (was sie auch tun sollten) - Bereiche, die reif für einen katastrophalen organisierten Angriff sind - fehlten in der Vergangenheit Richtlinien für die Unternehmen, die täglich unsere Daten sammeln und nutzen.

Wenn es um eine offizielle Strategie wie diese geht, geht es nicht immer um Bier und Kegel. Sie kann ein wenig schwer zu interpretieren und vage in den Details sein, so dass es dem Sicherheitsteam einer Organisation überlassen bleibt, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.

Ein Fokus auf Reaktion, nicht auf Prävention.

Die aktualisierte australische Cybersicherheitsstrategie ist ein relevanterer Aufschwung als die letzte Version aus dem Jahr 2016, mit ziemlich umfassenden Plänen für Unternehmen, insbesondere KMUs. Die Strategie umreißt:

"DieRegierung und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich der Cybersicherheit zu steigern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMUs Informationen und Tools zur Cybersicherheit als Teil von "Bündeln" sicherer Dienste (wie z. B. Bedrohungsabwehr, Antivirus und Schulungen zum Bewusstsein für Cybersicherheit) zur Verfügung zu stellen."

Dies bietet KMUs eine anständige Basis, auf der sie ihr Unternehmen vor Cyber-Bedrohungen schützen können, aber es ist weitgehend ein reaktiver Ansatz, und der Fokus liegt auf Erkennungs-Tools - ein relativ kleiner Teil der Cybersicherheitslandschaft.

Es gibt auch erstaunlich wenig Informationen darüber, wie sich große Unternehmen schützen und ihre Angriffsvektoren reduzieren können. Zwar sind viele von ihnen Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation und Verkehr), doch haben Finanzdienstleistungen, Einzelhandel und viele andere Branchen bei einem erfolgreichen Cyberangriff viel zu verlieren. Vielleicht wird dies Teil der kommenden Gesetzgebung sein, aber selbst dann ist die Hervorhebung der Bedeutung sorgfältiger bewährter Cybersicherheitspraktiken auf Unternehmensebene von grundlegender Bedeutung, um signifikante Veränderungen und einen Rückgang der gefährdeten Daten und der Cyberkriminalität zu erreichen.

Wenn man die Strategie als Ganzes betrachtet, ist sie auf einem reaktiven Ansatz aufgebaut. Die Abwehr von Cyberangriffen, die Unterbrechung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Austausch von Erkenntnissen mit internationalen Verbündeten sind alles wichtige Faktoren, aber stellen Sie sich vor, der landesweite Standard für den Schutz würde sich auf die Prävention konzentrieren. Wenn neben den Schutzmaßnahmen für kritische Infrastrukturen die Sicherheit in jedem Unternehmen an erster Stelle stünde und jede Person, die mit dem Code, der unsere digitale Welt erschafft, in Berührung kommt, richtig ausgerüstet wäre, um Angriffe zu blockieren, bevor sie passieren, wäre die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.

Resilienz ist möglich, aber sie muss geplant werden.

Der Vorstoß der australischen Regierung, sich ernsthaft mit dem Thema Cybersicherheit zu befassen, macht deutlich, dass es auf nationaler Ebene als zentrales Risikofeld identifiziert worden ist. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören könnte, ist die Widerstandsfähigkeit absolut entscheidend - nicht nur, um einem solchen Versuch zu widerstehen, sondern auch, um als Abschreckung zu wirken, damit er überhaupt stattfindet. Letztendlich können auch Bedrohungsakteure faul sein und werden sich ein leichteres Ziel suchen, um ihr Ziel zu erreichen, wenn ihnen zu viele Hindernisse in den Weg gelegt werden.

Im Moment haben wir es mit einem globalen Cybersecurity-Fachkräftemangel zu tun, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko von Strafen (allein Marriott erhielt eine GDPR-Strafe in Höhe von 123 Mio. USD für die Datenschutzverletzung von 2018... und in diesem Jahr gab es eine weitere Sicherheitsverletzung) als je zuvor haben eine Bedarfslücke für Sicherheitsspezialisten geschaffen, die realistischerweise wahrscheinlich nicht geschlossen werden kann. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass er von allen Seiten abgesichert ist.

Sollten wir also die Idee aufgeben, dass wir jemals wirklich vor Cyber-Bedrohungen bestehen werden? Auf gar keinen Fall. Um widerstandsfähig zu sein, müssen wir alle verfügbaren Ressourcen nutzen und einen Schritt voraus denken. Und für viele Unternehmen können ihre Entwickler bereits beim Schreiben des Codes eine leistungsstarke Methode zur Stärkung freischalten. Gepaart mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen entsteht so ein sicheres Fundament, das für viele Angreifer nur schwer zu erschüttern und zu knacken ist. Diese Methode erfordert jedoch, dass man die Vorschläge aus der australischen Cybersicherheitsstrategie als Beispiel nimmt und tiefer in die Frage eintaucht, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.

Zu diesem Zweck ist es wichtig, ein paar der Tipps aufzuschlüsseln:

• Schulungen zum Sicherheitsbewusstsein: Dies wird speziell für KMUs gefordert und zielt im Kontext des gesamten Berichts hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene beizubringen (z. B. Erkennen von Phishing-E-Mails, nicht auf unbekannte Links klicken usw.). Realistischerweise muss sie viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die mit Code in Berührung kommen, wie z. B. Entwickler. Es ist zwingend erforderlich, dass die Schulung des Sicherheitsbewusstseins ein Bestandteil der Präventivmaßnahmen und des Aufbaus von Widerstandsfähigkeit ist
• Bildung: In einer erfrischenden Abwechslung gibt es einen detaillierten Plan, um den Mangel an Cybersicherheitskompetenzen in den nächsten zehn Jahren zu beheben, indem der Schwerpunkt auf Cybersicherheitstraining von der Grund- und Sekundarschule bis hin zur Hochschulbildung gelegt wird. Dies ist dringend notwendig, wenn wir die Sicherheits-Superstars der Zukunft ausbilden wollen, aber aus der Perspektive, die Bedürfnisse der Unternehmen jetzt zu adressieren, ist praktisches Training in sicherer Programmierung für die Entwicklungskohorte eine absolute Notwendigkeit, um mit der Reduzierung allgemeiner Schwachstellen zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.

Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt dabei zu helfen, die Bedeutung des Aufbaus eines internen Sicherheitsprogramms zu verstehen, das über einfache grundlegende Maßnahmen der Awareness hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, nimmt den Druck von überlasteten AppSec-Spezialisten, und sicherzustellen, dass die gesamte Organisation im Rahmen ihrer Rolle so sicherheitsbewusst wie möglich ist, ist entscheidend für die Reduzierung der Angriffsfläche von Software.

Die Weiterbildung von Entwicklern ist gut investierte Zeit, warum also ignorieren so viele Unternehmen dies?

Eine kürzlich durchgeführte Umfrage der DDLS kam zu dem Ergebnis, dass es in australischen Unternehmen nur wenig Sinn für Prioritäten gibt, wenn es um Schulungen zur Cybersicherheit geht. Tatsächlich schaffte es das Thema nicht einmal unter die drei wichtigsten Schulungsprioritäten, obwohl 77 % der Befragten das Bewusstsein für Cybersicherheit als "extrem" oder "sehr wichtig" für ihr Unternehmen einstuften.

Es ist also kein Wunder, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von wichtigen Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.

Hier bietet sich eine enorme Chance für die Regierungen, eine Basiszertifizierung für Sicherheitskompetenzen oder eine Verordnung zu schaffen, und die Strategie deutet dies als eine Möglichkeit an, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für die Zukunft zu handeln, und wir haben die Mittel, um viel früher damit anzufangen, wenn wir uns zuerst auf die Bereiche mit den größten Auswirkungen konzentrieren. Für mich liegt der Hoffnungsschimmer bei den Entwicklungsteams in den einzelnen Unternehmen. Mit den entsprechenden Werkzeugen und Kenntnissen können sie häufige Schwachstellen im Keim ersticken und das Risiko einer Datenschutzverletzung in ihrem Unternehmen erheblich verringern.

Im Jahr 2019 wurden 24 % aller Datenschutzverletzungen durch menschliches Versagen verursacht - nämlich durch Sicherheitsfehlkonfigurationen, die normalerweise relativ einfach auf Code-Ebene behoben werden können. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität gemacht werden, wette ich, dass es weniger CISOs geben würde, die Benachrichtigungen über Datenschutzverletzungen an Tausende von kompromittierten Kunden absegnen.