Comment

Cyberrisiken

Drei Elemente eines risikobasierten Ansatzes für Cybersicherheit

Patrick Steinmetz [BitSight]

Drei Elemente eines risikobasierten Ansatzes für Cybersicherheit

Immer öfter fällt im Zusammenhang mit Cybersicherheit der Begriff "risikobasierter Ansatz". Leider wird oft nicht genau erklärt, was genau damit gemeint ist. Das ist ein Problem: Ohne ein solides Verständnis der Bedeutung könnte der "risikobasierte Ansatz" zu einem weiteren Buzzwort werden, und all seine Vorteile nie zum Tragen kommen.

Was also ist ein risikobasierter Ansatz für Cybersicherheit? Wenn ein Unternehmen einen risikobasierten Ansatz verfolgt, berücksichtigt das Unternehmen bzw. sein CIO, CISO oder Risikomanager bei für die IT-Sicherheit relevanten Entscheidungen das Risiko vor allen anderen Faktoren.

Risikobasierte Ansätze werden oft als Gegensatz zu Compliance-orientierten Ansätzen beschrieben. Teams mit risikobasiertem Ansatz arbeiten stärker darauf hin, die tatsächliche Gefährdung ihrer Organisation durch Cyberangriffe und Datenschutzverletzungen zu reduzieren, anstatt Checklisten abzuhaken oder Audits zu bestehen (obwohl diese Ziele weiterhin lohnenswert sind).

Proaktiv statt reaktiv

Ein risikobasierter Ansatz für Cybersicherheit ist zudem proaktiv statt reaktiv. Anstatt sich auf Incident Response zu konzentrieren, investiert eine Organisation, die auf diesen Ansatz setzt, eher in Tests, Threat Intelligence und Prävention.

Vor allem ist ein risikobasierter Ansatz aber realistisch. Das Ziel des Ansatzes ist eine sinnvolle Risikominderung und nicht hundertprozentige Sicherheit. Das ist wichtig, denn CIOs, CISOs und weitere Entscheider treffen so pragmatische Entscheidungen in Hinsicht der Zuteilung von Budgets und Ressourcen. Ist dagegen eine ideelle hundertprozentige Sicherheit das Ziel, steigen die Kosten schnell in einem immer schlechteren Verhältnis zum Nutzen.

Doch wie genau sieht ein risikobasierter Ansatz für Cybersicherheit aus? Ein Programm für Cybersicherheit, das den risikobasierten Ansatz verfolgt, hat drei charakteristische Elemente.

1. Kontinuierliches Monitoring

Risikobasierte Ansätze zur Cybersicherheit basieren auf der genauen Kenntnis der Risiken. Das bedeutet, dass das Wissen über Risiken auf Fakten und nicht auf Meinungen, Trends oder Schlagzeilen basieren sollte. In der sich extrem schnell ändernden Welt der IT-Sicherheit ist das nur möglich, wenn die Daten immer auf dem neuesten Stand sind. Hier kommt kontinuierliches Monitoring ins Spiel.

Ein risikobasierter Ansatz lässt sich nicht realisieren, wenn blinde Flecken existieren. Schwachstellenanalysen und Penetrationstests, die nur ein- bis zweimal pro Jahr durchgeführt werden, müssen durch andere Methoden ergänzt werden, damit die Daten über die eigene IT-Sicherheit stets aktuell bleiben.

IT-Sicherheitsrating sind eine gute Option zur kontinuierlichen Überwachung des Cyberrisikos. Mit IT-Sicherheitsratings stehen Organisationen Daten zu kompromittierten Systemen, Cyberhygiene, Nutzerverhalten und weiteren Faktoren zur Verfügung, die die Risikoexposition einer Organisation darstellen. Dabei stehen von kleinsten Details wie offenen Ports und Malware-Infektionen einzelner Computer bis hin zum generellen Überblick über die unternehmensweite Cybersicherheitsleistung immer genau die Daten bereit, die benötigt werden.

Der generelle Überblick wird durch die automatisierte Auswertung der Daten mit Hilfe von leistungsfähigen Algorithmen ermöglicht. Die Daten dienen Algorithmen als Grundlage und werden von ihnen zu einer repräsentativen Zahl destilliert. Da die Daten, auf denen das Rating basiert, automatisiert gesammelt und täglich aktualisiert werden, wird auch die Zahl, das Rating, täglich aktualisiert.

Mit IT-Sicherheitsratings lassen sich gute Aussagen über die Wahrscheinlichkeit von Datenschutzverletzungen treffen: Das Unternehmen AIR beispielsweise nutzt IT-Sicherheitsratings von BitSight und neueste Daten von Air zeigen, dass bei Unternehmen mit einem BitSight Security Rating von 500 oder niedriger (900 ist das beste Rating, 250 das schlechteste) fast fünfmal wahrscheinlicher eine Datenschutzverletzung auftritt als bei Unternehmen mit einem Rating von 700 oder höher.

2. Priorisierung

Ein risikobasierter Ansatz für Cybersicherheit umfasst ein System, mit dem Verantwortliche die "Baustellen" zur Steigerung der IT-Sicherheit entsprechend ihrer relativen Risikoexposition priorisieren können.

Eine wirksame Priorisierung beruht auf zwei Faktoren: dem Wissen über die Bedrohung und dem Wissen über das Ziel. Das bedeutet, dass ein Sicherheitsverantwortlicher, der einen risikobasierten Ansatz verfolgt, ständig über die neuesten und wichtigsten Bedrohungen der Cybersicherheit, die sein Unternehmen, seine Branche und seine Region betreffen, informiert sein muss. Außerdem benötigt er ein umfassendes Verständnis für die Systeme und Daten, die diese Bedrohungen betreffen könnten.

Mit diesem Wissen sind Sicherheitsverantwortliche immer im Bilde, welche Projekte wann die meisten Ressourcen benötigen. So können sie beispielsweise auf einer belastbaren Grundlage argumentieren, dass die Unterbrechung der Implementierung einer Software für automatisiertes Incident Management zugunsten der Aktualisierung von Benutzerdaten und -berechtigungen die Risikoexposition ihrer Organisation verringern wird.

Die Priorisierung muss zudem dynamisch und nicht monatlich oder vierteljährlich erfolgen. Aus diesem Grund stützt sich Priorisierung stark auf Instrumente des kontinuierlichen Monitorings, wie beispielsweise IT-Sicherheitsratings.

3. Benchmarking

Für ein umfassendes Verständnis des Cyberrisikos kann die IT-Sicherheit einer Organisation nicht im Vakuum beurteilt werden. Risiko ist ein relativer Begriff und immer in Bezug auf die historische Performance sowie die Performance von Wettbewerbern und Branchen zu setzen.

IT-Sicherheitsratings basieren auf öffentlich verfügbaren Informationen, d.h. sie eignen sich zur Beurteilung der IT-Sicherheit jeder Organisation und nicht nur der eigenen. Viele Unternehmen nutzen IT-Sicherheitsratings, um sich ein Bild von der Cybersicherheitsleistung ihrer Wettbewerber, der führenden Unternehmen in ihrem Bereich und ihres Branchendurchschnitts zu machen. Diese Relationen sind wesentlicher Teil der Ratings.

Dank dieser Methode des Benchmarkings von Cybersicherheit können Sicherheitsverantwortliche die IT-Sicherheit ihrer Organisation in einen Kontext einordnen. Wenn ein CISO eine Plattform für IT-Sicherheitsratings verwendet, kann er beispielsweise daraus entnehmen, dass seine Organisation beim Risikofaktor für Kommunikation zwischen eigenen IP-Adressen und Malware Command-and-Control Servern eine "D"-Note hat. Das zeigt ihm sofort, dass seine Organisation schlechter abschneidet als andere Unternehmen aus seiner Branche. Natürlich kann er dann auch einsehen, welche IP-Adressen mit Command-and-Control Servern kommunizieren und die infiltrierten Systeme zielgerichtet säubern.
Der CISO kann sich auch das Rating eines bestimmten Unternehmens – zum Beispiel das einer größeren, etablierteren Organisation – ansehen, um zu sehen, wo genau dessen Programme für IT-Sicherheit gute Ergebnisse erzielen. Das kann er unter Umständen auch zur Priorisierung nutzen.  

Fazit: Wie ein risikobasierter Cybersicherheitsansatz Zeit und Geld sparen kann

Im Vergleich zu Organisationen mit Compliance-orientierten Ansätzen oder idealistischen Unternehmen, die hundertprozentige IT-Sicherheit anstreben, kann eine Organisation mit einem risikobasierten Ansatz erhebliche Ressourcen einsparen.

Der risikobasierte Ansatz hilft Unternehmen, den ROI seiner Projekte für Cybersicherheit zu bewerten und die Ausgaben für Tools und Systeme, die keinen Mehrwert bringen, zu senken. Viele Unternehmen haben Millionen für Best-of-Breed-Software ausgegeben, aber haben aufgrund von Fehlern von Benutzern oder der Zusammenarbeit mit Lieferanten mit ungenügender Cybersicherheit eine Datenschutzverletzung erlitten. Mit einem risikobasierten Ansatz vermeidet ein Unternehmen solche Szenarien.

Darüber hinaus kann dieser Ansatz die Abhängigkeit eines Unternehmens von teuren, externen IT-Sicherheitsexperten und umfassenden Assessments reduzieren. Durch den Einsatz von Tools zur Unterstützung des Security Performance Managements kann ein Unternehmen intern die Fähigkeiten aufbauen, die nötig sind, um seine Programme für Cybersicherheit kontinuierlich zu bewerten und zu priorisieren.

Vor allem aber reduziert der risikobasierte Ansatz für Cybersicherheit die Wahrscheinlichkeit einen Datenverstoß zu erleiden. Bei laut dem Ponemon Institute durchschnittlichen Gesamtkosten einer Datenschutzverletzung von 3,86 Millionen US-Dollar im Jahr 2018 (148 US-Dollar pro verlorenem oder gestohlenem Datensatz) kann ein geringeres Risiko im Bereich Cybersicherheit den Unterschied zwischen Erfolg und Krise bedeuten.

Autor:

Patrick Steinmetz,

DACH Sales, BitSight
 

[ Source of images: Adobe Stock | Bild Steinmetz: Stefan Heigl / RiskNET GmbH ]


Themenverwandte Artikel

Book Review

Warum wir unsere Gesellschaft neu organisieren müssen

Wenn schwarze Schwäne Junge kriegen

Frank Romeike [Redaktion RiskNET]

Ein Blick in die Realität der Politik und der Unternehmen präsentiert uns eine gesellschaftliche Haltung, die komplett auf Risikovermeidung angelegt…

Comment

Negative Zeitpräferenz

Konjunktur versus Klima

Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A.

Die FAZ reihte ihn in die Kategorie der "Weltverbesserer" ein. Das war sicher etwas übertrieben. Der Wiener Ökonom Eugen von Böhm-Bawerk hat die Welt…

News

Risikoanalyse Weltwirtschaft

Epoche der steigenden Unsicherheit

Redaktion RiskNET

Der Internationale Währungsfonds (IWF) hat seine Prognose für das Wachstum der Weltwirtschaft im laufenden und kommenden Jahr gesenkt und das vor…

News

Maschinen- und Anlagenbau

Produktions- und Auftragsrückgänge durch Handelskonflikt

Redaktion RiskNET

Angesichts des Handelskonflikts zwischen den USA und China rechnen die deutschen Maschinenbauer mit einer anhaltenden Flaute. Die Aufträge in den…

Book Review

Realistischer Polit-Thriller

Der Honiganzeiger

Redaktion RiskNET

Der Polit-Thriller von Sibylle Barden beginnt mit dem Zitat des US-amerikanischen Journalisten Edward R. Murrow: "Eine Nation von Schafen wird bald…