Mit einfachen Projekten starten. Themen wie Digitalisierung, Predictive Analytics und vor allem Artificial Intelligence machen auch vor dem Information Security Management (ISM) der Finanzdienstleister keinen Halt. Die Risikomanager sind gefordert, die aktuellen Herausforderungen zu bewältigen und sich auf die Trends und Entwicklungen der Zukunft adäquat vorzubereiten.
Als selbstverständlich gilt, dass die regulatorischen Vorgaben wie etwa aus der MaRisk eingehalten werden und dass die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen sowie das Funktionieren der Geschäftsprozesse sichergestellt sind. Sicherheitsstandards in Form von organisatorischen, technischen, physischen oder auch
vertraglichen Informationssicherheitsmaßnahmen sind zu gewährleisten. Es sind angemessene Risikosteuerungsprozesse und Methoden zu entwickeln, um Informationsrisiken rechtzeitig zu erkennen und zu managen. Die Ergebnisse der internen Risiko Assessments sind zur Einschätzung zu verwenden, ob die vorhandenen Sicherheitsmaßnahmen angemessen und wirtschaftlich sind.
Was sind die größten Gefahren der Informationssicherheit und durch welche Maßnahmen
ist ihnen zu begegnen?
Trojaner und Würmer können sensible Daten transferieren oder infizierte E-Mails verschicken. Abwehrmaßnahmen sind z. B. aktuelle Anti-Viren-Programme und der Schutz der Netzwerkarchitektur.
Manipulierte Websites über die Schadsoftware per veralteter Plug-Ins (z. B. Java, Adobe) heruntergeladen wird, öffnen in den betroffenen Systemen für Viren Tür und Tor. Schützen kann man die Systeme nur mit den aktuellsten Versionen der Plug-Ins.
Über infizierte Websites oder mobile Applikationen für Tablets oder Smartphones können sensible Login-Daten ausgespäht werden. Hier können die Plug-Ins deaktiviert werden oder es muss sichergestellt sein, dass nur Applikationen aus einer sicheren Quelle, wie den offiziellen App-Stores installiert werden.
Die Liste ließe sich noch länger mit ähnlichen Bedrohungen wie Bootnetze, Denialof-
Service-Attacken, Phising oder Spam-Attacken verlängern. Aber auch der physische Verlust von Daten wegen Diebstahl von Tablets, dem Verlieren von Handys
oder Zerstörung von Servern durch Wasserschäden oder frustrierte Mitarbeiter ist eine
ernstzunehmende Bedrohung.
Wie können alle diese Bedrohungen vor dem Hintergrund, dass im Bereich ISM oft
qualifizierte Mitarbeiter fehlen oder nicht genügend Budget für Sicherheitsmaßnahmen
vorhanden ist, gemanagt werden?
Wenn es um Cyber-Security geht, ist Artificial Intelligence perspektivisch ein Allheilmittel,
dass diese Probleme lösen kann. Doch kann Artificial Intelligence überhaupt
eingesetzt werden, wenn die Grundlagen fehlen? Wenn Strukturen, Prozesse und Methoden des Information Security Managements noch nicht implementiert sind bzw. noch nicht die volle Wirksamkeit entwickelt haben? Unter diesen Gegebenheiten wird dies schwierig sein. Die Entfaltung eines wirksamen ISM ist ein evolutionärer Prozess, bei dem es nicht
ratsam ist, einzelne Stufen zu überspringen, die in Beziehung zueinander stehen
bzw. aufeinander aufbauen.
Abb.1: das viertstufige Reifegrad-Modell im Überblick
In vier Schritten zum Erfolg
Das STRANGE Reifegradmodell zeigt auf, welche Schritte auf dem Wege zu einem
(künstlich) intelligenten Information Security Management erforderlich sind.
Auf der ersten Stufe des Reifegradmodells wird sichergestellt, dass die relevanten Daten zum Information Security Management in guter Qualität vorliegen. Das System muss effektiv sein, d.h. es muss eine ISM-Struktur und vor allem eine ISM-Methode vorhanden sein, die in der Lage ist, die wesentlichen Bedrohungen und Schwachstellen im Unternehmen zu finden. Im Rahmen der Business Impact Analyse werden die Prozesse identifiziert und bewertet, die eine hohe Kritikalität besitzen, da sie Informationen verarbeiten, die einen hohen Schutzbedarf aufweisen. Die Supporting Assets wie Server, Netzwerk oder Personal, die für den Schutz dieser Informationen relevant sind, bekommen diesen Schutzbedarf
vererbt. So werden die kritischen Supporting Assets ermittelt, die einem Risiko Assessment unterzogen werden müssen. Die Kombination von Bedrohungen und Schwachstellen bildet nun die Basis für die Szenarien, anhand derer die Supporting Assets bewertet werden müssen. Bei der Auswahl der richtigen Risikoparameter zeigt sich schon oft Verbesserungspotenzial. Wird etwa nur nach dem mittleren Schaden oder einem Erwartungswert für ein typisches Jahr gefragt, läuft man Gefahr existenzgefährdende Risiken im Sinne eines Worst Cases nicht zu erkennen. Die Methode sieht dies schlicht und einfach nicht vor. Ein wirksames Risikomanagement sollte sowohl den mittleren Schaden als auch den Worst Case betrachten. Es mag auf den ersten Blick aufwändig erscheinen, beide Parameter zu erheben. Die Worst Case Betrachtung ist zwingend erforderlich,
da sie gerade solche existenziellen Risiken entdeckt. Sie berücksichtigt insbesondere,
dass der Ausfall einer einzigen benötigten und einkalkulierten Schutzmaßnahme bei einem bedeutenden Risiko gravierende Folgen für das Unternehmen haben kann. Die Erhebung des Worst Cases ist Pflicht, wenn man es mit dem Risikomanagement Ernst nimmt und den Fortbestand des Unternehmens langfristig sichern will.
Abb. 2: Identifikation und Bewertung von Prozessen im Rahmen einer BIA
Auf der zweiten Stufe des Reifegradmodells ist eine Automatisierung der Datenerhebung und Auswertung der Informationen ein wesentlicher Bestandteil, um die Effizienz des Information Security Managements zu erhöhen. Die Erfassung und Bewertung von Risiken per Excel-Listen gehören der Vergangenheit an. Diese werden mit einer modernen Governance-Risk-Compliance-Software (GRC-Software) strukturiert mit einer einheitlichen Methode erhoben und automatisiert ausgewertet. Aber was ist mit dem Zusammenspiel mit den anderen GRC-Disziplinen, wie z. B. mit dem Business Continuity Management, dem Datenschutz oder dem Internen Risiko- und Kontrollsystem? Wie erfolgt hier die Vernetzung der GRC-Tools und die Nutzung von Synergien? Beispielsweise wird im Rahmen der Business Impact Analyse seitens ISM erfasst, ob eine Verarbeitung von personenbezogenen Daten in den Systemen erfolgt. Diese Informationen können direkt dem Team vom Datenschutz übermittelt werden. So spart man signifikant doppelten Erfassungsaufwand ein. Ebenso können die erhobenen Daten bzgl. des Business Impacts bei Nicht-Verfügbarkeit die Maximum Tolerable Period of Disruption (MTPD) oder das Recovery Time Objective (RTO) an die BCM-Abteilung gemeldet werden. So lassen sich durch diesen Ansatz zusätzlich Ressourcen und Aufwand einsparen. Die koordinierte Ansprache der Fachabteilungen ist natürlich die Kür. Die erfahrungsgemäß bereits mit ihren originären Aufgaben zeitlich ausgelasteten Verantwortlichen der Business Prozesse sind sehr dankbar, wenn sie einmal koordiniert angesprochen und nicht fünfmal von verschiedenen Teams der GRC-Disziplinen mit den gleichen Themen, aber nur aus einer anderen Perspektive „belästigt“ werden.
Auf der dritten Stufe des Reifegradmodells geht es einen Schritt weiter. Es sollen Information Security Risiken rechtzeitig erkannt werden, im besten Falle prognostizierbar sein. Frühwarnindikatoren unterstützen bei der Früherkennung von Auffälligkeiten und Trends bzw. einer veränderten aber noch latenten Risikosituation. Sie schaffen eine Basis für die zeitnahe Ableitung und Priorisierung gezielter risikoreduzierender präventiver Maßnahmen. Beispiele für Frühwarnindikatoren sind im Bereich der ITSecurity: Anzahl von Firewall Changes, Hacker-Angriffe pro Periode oder Aktualität der Zugriffs- und Zulassungsrechte. Sie verschaffen dem Geldinstitut den erforderlichen zeitlichen Vorsprung, um adäquate Maßnahmen zu ergreifen und das Unternehmen besser zu steuern. Mit Verfahren wie Predictive Analytics werden wiederkehrende Muster in Daten aufgedeckt und mit modernen Algorithmen analysiert, so dass deren Entwicklung mit komplexen Modellen prognostiziert werden kann. Banken setzen dieses Verfahren in bestimmten Unternehmensteilen seit Jahren ein, um etwa die Höhe von Kreditzinsen oder Dispositionskreditlimits für bestimmte Kundengruppen festzulegen. Mit Big Data ergeben sich heute zusätzliche Anwendungsmöglichkeiten. Software-Lösungen werden noch nutzerfreundlicher und gerade in Bezug auf die Visualisierung weiter optimiert, so dass zukünftig auch Endnutzer ohne Mathematikstudium die Tools bedienen können. Insbesondere sind Predictive-Analytics- Projekte nur dann erfolgreich, wenn der Finanzdienstleister eine solide organisatorische Basis und Datengrundlage geschaffen hat sowie moderne Datenarchitekturen vorliegen. Mit Machine Learning (ML) wird auch mit Musterkennung gearbeitet. So können normale von verdächtigen Aktivtäten unterschieden werden. Das Prinzip ist einfach. Je mehr Informationen gesammelt und ausgewertet werden, desto besser und „intelligenter“ wird das System. Die Maschine lernt dabei ähnlich wie ein Mensch hinzu. Eine notwendige Voraussetzung ist jedoch, dass bereits bekannte Muster existieren. Gänzlich neue noch nie dagewesene Risiken, deren Antizipation menschliche Intelligenz und Phantasie erfordern, können so nicht automatisch entdeckt werden. Beim Machine Learning ist man also von einer umfänglichen Automatisierung der Information Security noch ein gutes Stück entfernt.
Die vierte Stufe des Reifegradmodells, die Nutzung von Artificial Intelligence, mag für manche im Bereich des ISM noch Zukunftsmusik sein. Aber künstliche Intelligenz wird schon in verschiedensten Fachgebieten erfolgreich eingesetzt. Finanzdienstleister nutzten Algorithmen zur semantischen Textanalyse, um Kundenbeschwerden zu lesen, zu verstehen und adäquat darauf zu reagieren. Dabei ist das System sogar in der Lage den ironischen Unterton des Kunden, der das Gegenteil schreibt, von dem was er tatsächlich meint, richtig zu interpretieren. Aber auch speziell im Bereich Cyber-Security wird AI erfolgreich eingesetzt. So werden im ersten Schritt mit diesen modernen Systemen Sicherheitsbedrohungen aus Millionen von strukturierten und vor allem unstrukturierten Daten, wie z. B. Nachrichtenartikel, Blogs, Forschungsberichten identifiziert und die wichtigsten den Sicherheitsexperten zur Verfügung gestellt. Das System wird anhand von Fallbeispielen trainiert und baut sein Wissen immer weiter aus. Je mehr das System lernt, desto intelligenter wird es; analog einem Kind, das Schach spielt. Im zweiten Schritt zieht das AI-System aus den so gewonnenen Erkenntnissen und Zusammenhängen Schlussfolgerungen, ermittelt etwa Interdependenzen aus schädlichen
Dateien oder verdächtigen IP-Adressen. Das alles passiert in Sekundenschnelle. Im dritten Schritt erfolgt eine Befähigung der Information Security Manager, zielgenau Entscheidungen zu treffen und koordinierte Maßnahmen zu ergreifen. Dabei stehen adressatengerechte Dashboards mit den für den Empfänger zugeschnittenen Informationen zur Verfügung. Anschließend sind die Entscheidungen von den Experten zu treffen und entsprechende Maßnahmen einzuleiten.
Vor dem vierten Schritt – das AI-System trifft selbst völlig eigenständig Entscheidungen – haben manche Experten noch großen Respekt und stehen diesem kritisch gegenüber. Glaubt man optimistischen Vorhersagen, werden AI-Systeme bereits ab 2035 in der Lage sein, unbekannte Risiken, die sogenannten Black Swans zu identifizieren und selbstständig Entscheidungen zu treffen. Das könnte der Punkt sein, an dem die Schwelle zur Künstlichen Intelligenz in der Cyber-Security überschritten wird. Dass diese Version nicht Science Fiction ist, zeigt ein anderes Ereignis, das bahnbrechend in der Entwicklung von AI war. Bereits 2016 deklassierte das AI-System „AlphaGo“ die besten menschlichen Spieler der Welt. Dabei ist „Go“ ein deutlich komplexeres Brettspiel als Schach, das nicht einfach mit gigantischer Rechenleistung im herkömmlichen Sinne bewältigt werden kann. AlphaGo
überraschte selbst die Experten mit innovativen ungewöhnlichen Manövern, nachdem es selbst Millionen von Partien zu Trainingszwecken mit sich selbst absolviert hatte. Haben AI-Systeme also bereits so etwas wie eine Intuition entwickelt oder steht dies unmittelbar in den nächsten Jahren bevor? Diese spannenden philosophischen Fragen zu beantworten, soll hier offenbleiben. Wichtiger und effizienter ist es, AI-Systeme für Information Security zu trainieren. So lassen sich mit dieser modernen Technologie aktuelle Sicherheitsherausforderungen lösen.
STRANGE Consult GmbH unterstützt bei der strategischen Transformation
zum zukünftigen Information Security Management.
Interdisziplinäre Kompetenzträger der STRANGE Consult GmbH entwickeln auf der Grundlage erfolgreich durchgeführter Projekte entlang des STRANGE Reifegradmodells ein individuell zugeschnittenes Konzept zur ganzheitlichen Transformation in das Information Security Management der Zukunft. Für die erfolgreiche Projektdurchführung ist hierzu nicht nur die Nutzung neuer agiler Formate von Bedeutung, sondern auch das Einbringen von altbewährten Strukturen und Verfahren im Rahmen einer datenzentrierten Unternehmung.
Unser Autor: Thomas Graf