Experten-Interview: Security Consulting

Sein Alltag könnte kaum abwechslungsreicher sein: Franck Bouchoux ist Senior Security Consultant und hilft Kunden, Ihre IT auf das maximale Schutzlevel anzuheben. Von A wie Awareness bis Z wie Zero Trust.

Wir ermitteln oft die Cyber-Security-Resilienz. Die Challenge als Security Consultant ist, dass Du Massnahmen vorschlagen musst, die für das Unternehmen effektiv und umsetzbar sind, ins Budget passen und auch die personellen Ressourcen berücksichtigen. Hinzu kommt, dass eine Bank andere Vorgaben hat als ein Industriebetrieb oder eine Pharmaunternehmung.

Meistens treffe ich eine falsche Gewichtung der vorhandenen Lösungen an: Zu viel Fokus auf Verfügbarkeit und zu wenig auf Integrität und Vertraulichkeit. Beispielsweise gibt es eine tadellose Backup-Umgebung mit einer redundanten Storage-Lösung, welche aber leider nicht gemäss Security Best Practice implementiert ist. Das Backup ist sehr häufig in die Active Directory integriert, so dass eine Kompromittierung der AD auch zu einer Kompromittierung des Backups führt. Ein Offline-Backup bzw. eine Air-Gap-Backup-Lösung fehlt leider fast immer. In der Regel sind die richtigen Tools und Schutzlösungen installiert, aber nicht richtig konfiguriert. Generell wird der Betrieb vernachlässigt, so dass Meldungen nur reaktiv statt aktiv überwacht werden.

Erstens mit wenigen Tools, die wirklich in die Betriebsprozesse des Unternehmens integriert sind, und möglichst geringer Komplexität. Eine überlegte Herangehensweise ist wichtig: Welche Tools sind die richtigen? Wie spielen diese zusammen? Wie aufwendig ist die Integration? Hat der Kunde die Ressourcen und das Know-how, um die Lösung zu betreiben? Wie erreiche ich sehr schnell einen Mehrwert, bzw. wie reduziere ich effektiv die höchsten Risiken? Zum Beispiel bietet sich die Kombination Palo Alto Networks Cortex XDR (Extended Detection and Response) mit Palo Alto Networks Firewalls an, um eine einfache Analyse der Daten in der SOAR-Lösung (Security Orchestration, Automation and Response) zu gewährleisten.

Zweites müssen die Grundlagen, die Basics, erledigt werden. Das sind unter anderem:

1. Passwörter ab zwölf Zeichen, abgesichert mit Multifaktor-Authentifizierung.
2. Ein richtiges Awareness-Programm, das die Gefahren und Risiken aufzeigt und die User begleitet. Eine einzelne Phishing-Simulation ohne weitere Hintergrundinformationen sehen die User als Belastung an.
3. Ein sauberes Backup mit einer Offlinekopie, auf die ich immer zurückgreifen kann. Das ist die Lebensversicherung des Unternehmens.
4. Einen Plan, wie ich im Falle eines Incidents reagieren soll, also der Incident-Response-Plan. Dieser muss auch geschult und geübt werden, damit im Krisenfall jeder Handgriff sitzt und die Entscheidungen richtig getroffen werden.
5. Schliesslich ist eine moderne EDR/XDR-Lösung unabdingbar. Ein Antivirus reicht bei weitem nicht mehr, weil die Angriffe viel zu komplex sind.

Wenn diese Grundlagen vorhanden sind, dann führen wir ein IKT-Minimalstandard-Assessment durch, um die nächsten Schritte zu definieren. Schliesslich ist das Ziel, dass die Firma ihre Dienstleistung erbringen kann, egal was passiert. Im Assessment machen wir einen Ist/Soll-Vergleich und erfassen eine interviewbasierte Risiko-Impact-Analyse sowie die wichtigsten Prozesse. Daraufhin schlagen wir Massnahmen vor, die wir mit dem Kunden priorisieren.

Nach dem Assessment begleiten wir die Umsetzung mit regelmässigem Austausch und einer Feinjustierung der Produktpalette. Die Priorisierung sowie die Massnahmen sind komplett individuell. Das Ziel ist, dass die Firmen nach 18 bis spätestens 24 Monaten den IKT-Minimalstandard erfüllen. Das braucht aber viel Willen des Unternehmens und natürlich auch die entsprechenden Ressourcen; und dies nicht nur bei der IT. Das Management spielt eine entscheidende Rolle.

Tatsächlich ist für unglaubliche 95% der Vorfälle ein Mensch verantwortlich. Nicht nur die User, sondern auch IT-Verantwortliche machen Fehler, zum Beispiel bei einer Konfiguration. Oder das Management, weil sie ein Risiko falsch einschätzen und die nötigen Prozesse nicht implementiert sind.

Ich führe oft Awareness-Schulungen für User, IT und Management durch, um dies zu erläutern. Dafür werde ich von einem Computer Based Program unterstützt, so dass die Themen spielerisch und verständlich erklärt werden, zum Beispiel mit Videos oder Games. Die Schulungen können auch als kompletter Service bezogen werden; das ist unser sogenannter Managed Security Awareness Service. Dabei werden die Mitarbeitenden zur «Human Firewall» ausgebildet. Meine Rolle ist dann ergänzend zu einer Präsenz-Schulung, so dass allfällige Fragen direkt gestellt werden können und wir konkrete, reale Beispiele zeigen.

Das Ziel ist, verständlich zu erklären, dass die Mitarbeiter eine echt entscheidende Rolle spielen.

Primär hilft unser Cyber Defence Center, welches rund um die Uhr an 365 Tagen im Jahr erreichbar ist.

Ich bin bei einem Incident aber gerne der Krisenmanager. Das ist eine sehr vielfältige und spannende Rolle, welche Übersicht, Koordination und Kommunikation erfordert. So lerne ich immer dazu und erfahre, wie es die Kriminellen geschafft haben, in ein Unternehmen einzudringen, unbemerkt zu bleiben und schliesslich so viele Rechte zu ergattern, bis der Angriff erfolgen konnte. Ausserdem kann ich danach meine Kunden noch besser beraten. Auch für die anschliessende Recovery-Phase oder Debriefings bin ich stets zur Stelle. Diese Schritte sind entscheidend, um nicht gleich wieder kompromittiert zu werden.

Es gab viele spannende Momente in den letzten 2.5 Jahren. An ein Awareness Training erinnere ich mich besonders gut. Ein Teilnehmer hatte eine Sehschwäche, weshalb ich mein Training basierend auf Slides und Video spontan umstellen musste. Oder der eine Krisenfall, der mir zwischen zwei Terminen gemeldet wurde. Plötzlich wird der ganze Tag komplett anders als erwartet. Aber wir versuchen immer zu helfen, indem wir Ruhe ausstrahlen und die nächsten Schritte einfach und deutlich erklären.

Das Spannendste für mich ist, dass jede Firma, die ich beraten habe, schlussendlich sehr gute Lösungen implementiert hat.

Kontaktieren Sie Franck Bouchoux direkt unter bouchoux@netcloud.ch oder +41 79 923 26 62.