Cyberbedrohungen: Kunden brauchen einen ganzheitlichen Ansatz

Edwin Roobol

Axis Communications und Genetec haben kürzlich eine Umfrage durchgeführt, um den Stand der Cybersicherheit bei den Nutzern von Videoüberwachungssystemen besser zu verstehen. An der Umfrage nahmen rund 175 Kunden teil, alle waren Mitglieder von ASIS International. Hier sind die wichtigsten Ergebnisse:

  • Eine Mehrheit der Unternehmen ist sich heute der Cybersicherheit und ihrer möglichen Auswirkungen bewusst. Tatsächlich geben 87% der Befragten an, dass ihr Unternehmen die Cybersicherheit als ernsthaftes Risiko für ihren Betrieb eingestuft hat.
  • Eine Minderheit der Unternehmen (nur 15%) gibt an, dass sie ausreichend auf die Minderung von Cyberrisiken vorbereitet sind.
  • Während 76% der Befragten angaben, dass der physische Schutz von Vermögenswerten und die Sicherheit ihre Hauptaufgabe seien, nannten 0% einen Mangel an internen Prioritäten, Richtlinien und Kompetenzen als Bedrohung für die Cybersicherheit.

Dieser letzte oben aufgeführte Befund steht im krassen Gegensatz zu internationalen Forschungsergebnissen, die menschliche Fehler, schlecht konfigurierte Systeme und schlecht gewartete Systeme als Grundursache identifizieren. Wie der IBM X-Force Threat Intelligence Index 2018, der menschliches Versagen als Grundursache für zwei Drittel der gefährdeten Datensätze angibt. Dies wird durch ihre früheren Ergebnisse untermauert, die mehr als 95% aller erfolgreichen Verletzungen auf menschliche Fehler, schlecht konfigurierte Systeme und schlecht gewartete Systeme zurückführen.

Ein weiteres interessantes Ergebnis unserer Umfrage war, dass rund 60% der Befragten die Schuld auf Legacy-Systeme schieben. Während Altsysteme eine klare Ursache sind, sind Cyberrisiken in Wirklichkeit bei neu eingesetzten Firmware- und Softwareversionen genauso relevant wie bei älteren. Schließlich ist jede bekannte Schwachstelle – unabhängig davon, wann sie gebaut wurde – genau das. Und nichts von Menschenhand kann jemals 100% sicher sein.

Dies untermauert ein weit verbreitetes Missverständnis: Die Produktsicherheit ist der einzige Weg, um Schwachstellen und Bedrohungen zu minimieren. In Wirklichkeit müssen Unternehmen Cyberrisiken in vielen Bereichen managen: von Maschine zu Maschine und von Mensch. Denn die Wahrheit ist, dass Cybersicherheit eine gemeinsame Verantwortung ist: von Benutzern, Betreuern, Installateuren, Herstellern, Beratern und mehr.

Beispielsweise benötigen Systembenutzer und Administratoren klare Richtlinien, Prozesse und Verfahren, um tagtäglich korrekte Sicherheitsmaßnahmen zu gewährleisten. Welche Geräte und Systeme gibt es? Wer ist für sie verantwortlich? Wann? Und wie? Die Schwerpunkte liegen somit im Design, der Implementierung und der Wartung von Cybersecure-Systemen. In der Regel bedeutet dies, dass Berater die richtigen Cybersicherheitsfunktionen und -eigenschaften über die gesamte Lebensdauer des Systems festlegen müssen. Die Verantwortlichen für die Bereitstellung und Wartung des Systems sind in der Regel Integratoren, Installateure oder Fachberater. Sie benötigen zuverlässige Mittel und Prozesse für die Beschaffung und den Einsatz von Komponenten und Produkten der Videoüberwachungssysteme sowie für deren Wartung und Instandhaltung und die damit verbundenen Sicherheitssysteme.

Für Gerätehersteller wie Axis bedeutet das:

  • Anwendung von Best Practices der Cybersicherheit bei Design, Entwicklung und Test von Produkten, um das Risiko von Fehlern zu minimieren, die bei einem Angriff ausgenutzt werden könnten.
  • Schulung und Empfehlung, wie Produkte sicher eingesetzt und gewartet werden sollen.
  • Bereitstellung von Gerätemanagement-Tools, die einfache und kostengünstige Mittel zur Anwendung von Cyber-Sicherheitskontrollen ermöglichen, wie z.B. Geräteinventarisierung, Passwortverwaltung, Firmware-Upgrades, Härtung, Verwaltung von HTTPS- und IEEE 802.1x-Zertifikaten, etc.
  • Zeitnahe Information von Partnern und Kanälen über Schwachstellen und verfügbare Patches, wenn kritische Schwachstellen entdeckt werden.

Es ist klar, dass vielen Befragten ein ganzheitlicher Ansatz für die Bewältigung all der verschiedenen Cyber-Bedrohungen fehlt, denen sie begegnen können. In der Zwischenzeit waren einige von den neuesten Cyber-Schlagzeilen beeinflusst. Die meisten von ihnen konzentrieren sich auf ausgeklügelte Angriffe, die natürlich Schlagzeilen stehlen und helfen, Abonnements zu verkaufen. Aber helfen Sie nicht, die häufigsten Risiken zu mindern: vorsätzlicher oder versehentlicher Missbrauch des Systems, schlecht konfigurierte Systeme und schlecht gewartete Systeme.

Diese Risiken zu mindern, ist im Alltag viel bodenständiger. Dazu bedarf es der Zusammenarbeit mit gut ausgebildeten Mitarbeitern sowie klarer und umsetzbarer Richtlinien, Prozesse und Verfahren – sowohl in der Produktentwicklung als auch beim Systemdesign, der Bereitstellung und der Wartung. Die Anpassung dieser ganzheitlichen Denkweise ist der einzige wirklich effektive Weg, um alle Arten von Cybersicherheitsbedrohungen zu bewältigen.

Überprüfen Sie, wie gut Ihr Unternehmen vorbereitet ist.