03.06.2022 | Bruno Blumenthal
Cyber Resilience mit dem IKT Minimalstandard
Das Bundesamt für wirtschaftliche Landesversorgung (BWL) hat 2018 den IKT Minimalstandard publiziert. Dieser soll als Empfehlung Unternehmen dabei helfen, sich besser vor Cyberangriffen zu schützen. Zielpublikum des Minimalstandards sind primär Betreiber kritischer Infrastrukturen, der Standard soll aber grundsätzlich für alle Organisationen anwendbar sein. Der IKT-Minimalstandard basiert auf dem NIST Cybersecurity Framework (NIST CSF). In den letzten Jahren haben beide Standards an Bedeutung gewonnen. Wenn man bei der Umsetzung ein paar wichtige Punkte beachtet, sind diese zwei Standards sehr gute Hilfsmittel für die Verbesserung der Cybersecurity in einer Organisation.
Im Februar 2013 erteilte US-Präsident Barack Obama dem National Institute of Standards and Technology (NIST) den Auftrag, gemeinsam mit relevanten Interessenvertretern ein freiwilliges Framework – basierend auf bestehenden Standards, Richtlinien und Praktiken – zur Reduzierung von Cyberrisiken für kritische Infrastrukturen zu entwickeln. Grund dafür war die Erkenntnis, dass die nationale und wirtschaftliche Sicherheit der USA vom zuverlässigen Funktionieren kritischer Infrastrukturen abhängt, die sich jedoch zu einem grossen Teil in privater Hand befinden. In der Schweiz ist die Situation bei den kritischen Infrastrukturen ähnlich. Das Bundesamt für wirtschaftliche Landesversorgung hat daher im Rahmen der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) einen ähnlichen Auftrag erhalten wie das NIST und daraufhin den IKT-Minimalstandard geschaffen. Das BWL hat das NIST CSF als Basis für seinen eigenen Standard genommen. Inhaltlich sind die beiden Standards daher sehr ähnlich.
Aufbau des IKT-Minimalstandards
Teil 1 – Einführung
Teil 1 des IKT-Minimalstandards ist eine allgemeine Einführung in die verschiedenen Aspekte der Cybersecurity. Die Einführung bietet einen guten Überblick über die Breite der Themen in diesem Bereich. Es wird zudem auf die Unterschiede zwischen traditioneller IT und industriellen Kontrollsystemen (Industrial Control Systems) eingegangen, die bei vielen kritischen Infrastrukturen eine zentrale Rolle spielen.
Teil 2 – Umsetzung
Teil 2 beschreibt die Aufgaben im Bereich Cybersecurity, die eine Organisation zu erfüllen hat. Hier übernimmt der IKT-Minimalstandard die Struktur und auch grösstenteils die Inhalte des NIST CSF. Die Aufgaben werden den fünf Funktionen Identifizieren (Identify), Schützen (Protect), Erkennen (Detect), Reagieren (Respond) und Wiederherstellen (Recover) zugeordnet. Die Funktionen werden jeweils in mehrere Kategorien unterteilt, unter denen die eigentlichen Aufgaben beschrieben werden. Bei der Formulierung der Aufgaben haben sich die Autoren des IKT-Minimalstandards für eine Anpassung gegenüber dem NIST CSF entschieden. Das NIST CSF beschreibt bewusst keine Aufgaben in Form von Aktivitäten, Prozessen oder technischen Massnahmen. Die Subkategorien, wie sie im NIST CSF Core heissen, sind als Ergebnisse oder Ziele (Outcomes) formuliert. NIST wollte nicht vorschreiben, wie etwas getan werden muss, sondern nur festlegen, was erreicht werden soll. Die Überlegung war, dass die Unternehmen bereits Cybersecurity-Aktivitäten ausführen und letztlich nur zählt, ob sie mit ihren Aktivitäten die Ziele erreichen. Ausserdem gibt es bereits andere Standards, die im Detail beschreiben, wie die Ziele erreicht werden können. Für jede Subkategorie sind im NIST CSF diverse Referenzen auf andere Standards aufgeführt. Der Nachteil dieses Ansatzes ist, dass das NIST CSF selbst wenig konkrete Hilfestellung zur Umsetzung der formulierten Ziele bietet. Beim IKT-Minimalstandard hat man sich deshalb entschiedenen, von diesem outcome-basierten Modell abzuweichen und spezifische Aufgaben zu formulieren, die konkretere und einfacher anwendbare Handlungsanweisungen darstellen sollen. Damit wird aber in Kauf genommen, dass die Handlungsfreiheit bei der Umsetzung eingeschränkt ist, wenn man beschliesst, den Standard im Wortlaut zu befolgen. Anzumerken ist weiter, dass die Beschreibungen der Aufgaben im IKT-Minimalstandard nicht sehr ausführlich sind und oft weiterhin eher abstrakt bleiben. Immerhin hat man die ausführlichen Referenzen zu anderen Standards auch im IKT-Minimalstandard beibehalten.
Teil 3 – Prüfung
Im letzten Teil beschreibt der IKT-Minimalstandard, wie die Cybersecurity-Maturität einer Organisation anhand des Minimalstandards beurteilt werden kann. Das BWL hat zu diesem Zweck ein Assessment-Tool in Form eines Excel-Sheets publiziert. Wie das NIST in seinem Framework macht auch das BWL im IKT-Minimalstandard ganz bewusst keine Vorgaben zum Soll-Wert der Maturitätsbewertung. Im Standard steht dazu: «Jede Organisation muss ihren Risikoappetit selbständig definieren und so das entsprechende Schutzniveau (je Kategorie) festlegen.» Leider wird dieser Satz in der Praxis oftmals ignoriert. Man orientiert sich meist einfach an einer durchschnittlichen Maturität von 2.6, die das BWL in seinem Assessment-Tool als Zielmaturität verwendet – obwohl im Standard explizit darauf hingewiesen wird, dass es sich dabei nur um ein Beispiel handelt.
Wichtig ist auch die Klammerbemerkung «je Kategorie». Es ist nicht ratsam, bei der Anwendung des IKT-Minimalstandards oder des NIST CSF eine homogene Maturität über alle Kategorien anzustreben, zumindest nicht in einem ersten Schritt. Zielwerte sollten mindestens auf die einzelnen Kategorien heruntergebrochen werden, besser noch auf die einzelnen Aufgaben resp. Subkategorien. Für die Definition der Zielwerte sind die Bedrohungslage der Organisation und der aktuelle Ist-Zustand zu berücksichtigen.
Auch vor der allzu strikten Anwendung des Maturitätsmodells ist Vorsicht geboten. Das im IKT-Minimalstandard definierte Maturitätsmodell legt einen starken Fokus darauf, dass die Aufgaben erst vollständig dokumentiert und abgenommen sein müssen. Dies kann in der Praxis dazu führen, dass viel Aufwand in Formalitäten und zentralisierte Definitionen gesteckt wird, ohne dass dadurch Wirkung erzielt wird. Auch hier gilt es, für die einzelnen Aufgaben abzuwägen, was die relevanten Aspekte sind, um eine ausreichende Maturität mit bestmöglicher Wirksamkeit zu erreichen.
Implementation der Standards
Bezüglich der Implementation bietet der IKT-Minimalstandard wenig Hilfestellung. Hier lohnt sich ein Blick in das NIST CSF, das einen 7-Stufen-Plan für das Erreichen der beschriebenen Ziele vorschlägt. Dieser lässt sich analog auch auf den IKT-Minimalstandard oder andere Control-Frameworks anwenden.
- Prioritize and Scope
Ermittlung der kritischen Bereiche und Prozesse der Organisation, die in Bezug auf die Cybersecurity priorisiert werden sollten - Orient
Identifikation der Assets im identifizierten Scope und der relevanten regulatorischen Anforderungen - Create a Current Profile
Durchführung eines Maturitäts-Assessments zur Ermittlung des Ist-Zustands - Conduct a Risk Assessment
Ermittlung der bestehenden Cyberrisiken, die adressiert werden müssen - Create a Target Profile
Definition des Ziel-Zustands, der zu erreichen ist, um die identifizierten Risiken angemessen zu adressieren. - Determine, Analyze, and Prioritize Gaps
Erstellen einer Roadmap, um die Lücken zwischen Ist-Zustand und Ziel-Zustand zu verkleinern - Implement Action Plan
Umsetzung der Roadmap
In der Praxis ist zu beobachten, dass die Schritte 4 und 5 gerne vernachlässigt werden. Das Risk Assessment (Schritt 4) ist jedoch wichtig, um sicherzustellen, dass die richtigen Massnahmen priorisiert werden und möglichst rasch ein effektiver Sicherheitsgewinn erzielt werden kann. Das Target Profile (Schritt 5) beschreibt den konkreten Ziel-Zustand, der erreicht werden soll. Wie bereits erwähnt, wird hier gerne einfach der gleiche Maturitätswert für alle Aufgaben festgelegt. Dadurch wird die Organisation jedoch in der Regel überfordert und es besteht keine Möglichkeit zur Priorisierung der einzelnen Aufgaben.
Bei der Priorisierung der Aufgaben beziehungsweise der Definition der angestrebten Zielwerte ist es empfehlenswert, sich entlang der Funktionen von links nach rechts zu bewegen. Eine hohe Maturität in den Funktionen Erkennen (Detect) und Reagieren (Respond) ist kaum zu erreichen, ohne dass man in der Funktion Identifizieren (Identify) ein Mindestmass an Maturität aufgebaut hat. Ist die Funktion Schützen (Protect) nur rudimentär abgedeckt oder weist der Schutz gravierende Lücken auf, wird gesteigertes Erkennen vor allem die Mängel im Schutzdispositiv aufdecken und nicht eigentliche Cyberangriffe. Das alles bedeutet aber nicht, dass man sich erst einer Funktion widmen sollte, wenn die vorangehende Funktion mit höchster Maturität umgesetzt ist. Die Umsetzung sollte immer iterativ erfolgen.
Fazit
Der IKT-Minimalstandard und sein Vorbild, das NIST Cybersecurity Framework, sind geeignete Hilfsmittel, um die Cyber Resilience einer Organisation zu verbessern. Bei der Umsetzung gibt es jedoch ein paar Fallstricke zu beachten. Insbesondere sollte man sich nicht nur auf die einzelnen Aufgaben resp. Subkategorien fokussieren, sondern die Implementation der Funktionen als Teil eines umfassenden Prozesses zur Reduktion von Cyberrisiken verstehen. Das NIST CSF bietet hier zusätzliche Hilfestellung, wenn man den ganzen Standard und nicht nur den Core mit den Funktionen und Subkategorien berücksichtigt. Aus diesem Grund ist es empfehlenswert, das NIST CSF als Basis für die Umsetzung des IKT-Minimalstandards zu nutzen oder zumindest den IKT-Minimalstandard für die Umsetzung mit den fehlenden Teilen aus dem NIST CSF zu ergänzen.
Cybersecurity Risk Management Compliance
