Cyberrisiken

Drei Elemente eines risikobasierten Ansatzes für Cybersicherheit


Patrick Steinmetz [BitSight]
Drei Elemente eines risikobasierten Ansatzes für CybersicherheitKolumne

Immer öfter fällt im Zusammenhang mit Cybersicherheit der Begriff "risikobasierter Ansatz". Leider wird oft nicht genau erklärt, was genau damit gemeint ist. Das ist ein Problem: Ohne ein solides Verständnis der Bedeutung könnte der "risikobasierte Ansatz" zu einem weiteren Buzzwort werden, und all seine Vorteile nie zum Tragen kommen.

Was also ist ein risikobasierter Ansatz für Cybersicherheit? Wenn ein Unternehmen einen risikobasierten Ansatz verfolgt, berücksichtigt das Unternehmen bzw. sein CIO, CISO oder Risikomanager bei für die IT-Sicherheit relevanten Entscheidungen das Risiko vor allen anderen Faktoren.

Risikobasierte Ansätze werden oft als Gegensatz zu Compliance-orientierten Ansätzen beschrieben. Teams mit risikobasiertem Ansatz arbeiten stärker darauf hin, die tatsächliche Gefährdung ihrer Organisation durch Cyberangriffe und Datenschutzverletzungen zu reduzieren, anstatt Checklisten abzuhaken oder Audits zu bestehen (obwohl diese Ziele weiterhin lohnenswert sind).

Proaktiv statt reaktiv

Ein risikobasierter Ansatz für Cybersicherheit ist zudem proaktiv statt reaktiv. Anstatt sich auf Incident Response zu konzentrieren, investiert eine Organisation, die auf diesen Ansatz setzt, eher in Tests, Threat Intelligence und Prävention.

Vor allem ist ein risikobasierter Ansatz aber realistisch. Das Ziel des Ansatzes ist eine sinnvolle Risikominderung und nicht hundertprozentige Sicherheit. Das ist wichtig, denn CIOs, CISOs und weitere Entscheider treffen so pragmatische Entscheidungen in Hinsicht der Zuteilung von Budgets und Ressourcen. Ist dagegen eine ideelle hundertprozentige Sicherheit das Ziel, steigen die Kosten schnell in einem immer schlechteren Verhältnis zum Nutzen.

Doch wie genau sieht ein risikobasierter Ansatz für Cybersicherheit aus? Ein Programm für Cybersicherheit, das den risikobasierten Ansatz verfolgt, hat drei charakteristische Elemente.

1. Kontinuierliches Monitoring

Risikobasierte Ansätze zur Cybersicherheit basieren auf der genauen Kenntnis der Risiken. Das bedeutet, dass das Wissen über Risiken auf Fakten und nicht auf Meinungen, Trends oder Schlagzeilen basieren sollte. In der sich extrem schnell ändernden Welt der IT-Sicherheit ist das nur möglich, wenn die Daten immer auf dem neuesten Stand sind. Hier kommt kontinuierliches Monitoring ins Spiel.

Ein risikobasierter Ansatz lässt sich nicht realisieren, wenn blinde Flecken existieren. Schwachstellenanalysen und Penetrationstests, die nur ein- bis zweimal pro Jahr durchgeführt werden, müssen durch andere Methoden ergänzt werden, damit die Daten über die eigene IT-Sicherheit stets aktuell bleiben.

IT-Sicherheitsrating sind eine gute Option zur kontinuierlichen Überwachung des Cyberrisikos. Mit IT-Sicherheitsratings stehen Organisationen Daten zu kompromittierten Systemen, Cyberhygiene, Nutzerverhalten und weiteren Faktoren zur Verfügung, die die Risikoexposition einer Organisation darstellen. Dabei stehen von kleinsten Details wie offenen Ports und Malware-Infektionen einzelner Computer bis hin zum generellen Überblick über die unternehmensweite Cybersicherheitsleistung immer genau die Daten bereit, die benötigt werden.

Der generelle Überblick wird durch die automatisierte Auswertung der Daten mit Hilfe von leistungsfähigen Algorithmen ermöglicht. Die Daten dienen Algorithmen als Grundlage und werden von ihnen zu einer repräsentativen Zahl destilliert. Da die Daten, auf denen das Rating basiert, automatisiert gesammelt und täglich aktualisiert werden, wird auch die Zahl, das Rating, täglich aktualisiert.

Mit IT-Sicherheitsratings lassen sich gute Aussagen über die Wahrscheinlichkeit von Datenschutzverletzungen treffen: Das Unternehmen AIR beispielsweise nutzt IT-Sicherheitsratings von BitSight und neueste Daten von Air zeigen, dass bei Unternehmen mit einem BitSight Security Rating von 500 oder niedriger (900 ist das beste Rating, 250 das schlechteste) fast fünfmal wahrscheinlicher eine Datenschutzverletzung auftritt als bei Unternehmen mit einem Rating von 700 oder höher.

2. Priorisierung

Ein risikobasierter Ansatz für Cybersicherheit umfasst ein System, mit dem Verantwortliche die "Baustellen" zur Steigerung der IT-Sicherheit entsprechend ihrer relativen Risikoexposition priorisieren können.

Eine wirksame Priorisierung beruht auf zwei Faktoren: dem Wissen über die Bedrohung und dem Wissen über das Ziel. Das bedeutet, dass ein Sicherheitsverantwortlicher, der einen risikobasierten Ansatz verfolgt, ständig über die neuesten und wichtigsten Bedrohungen der Cybersicherheit, die sein Unternehmen, seine Branche und seine Region betreffen, informiert sein muss. Außerdem benötigt er ein umfassendes Verständnis für die Systeme und Daten, die diese Bedrohungen betreffen könnten.

Mit diesem Wissen sind Sicherheitsverantwortliche immer im Bilde, welche Projekte wann die meisten Ressourcen benötigen. So können sie beispielsweise auf einer belastbaren Grundlage argumentieren, dass die Unterbrechung der Implementierung einer Software für automatisiertes Incident Management zugunsten der Aktualisierung von Benutzerdaten und -berechtigungen die Risikoexposition ihrer Organisation verringern wird.

Die Priorisierung muss zudem dynamisch und nicht monatlich oder vierteljährlich erfolgen. Aus diesem Grund stützt sich Priorisierung stark auf Instrumente des kontinuierlichen Monitorings, wie beispielsweise IT-Sicherheitsratings.

3. Benchmarking

Für ein umfassendes Verständnis des Cyberrisikos kann die IT-Sicherheit einer Organisation nicht im Vakuum beurteilt werden. Risiko ist ein relativer Begriff und immer in Bezug auf die historische Performance sowie die Performance von Wettbewerbern und Branchen zu setzen.

IT-Sicherheitsratings basieren auf öffentlich verfügbaren Informationen, d.h. sie eignen sich zur Beurteilung der IT-Sicherheit jeder Organisation und nicht nur der eigenen. Viele Unternehmen nutzen IT-Sicherheitsratings, um sich ein Bild von der Cybersicherheitsleistung ihrer Wettbewerber, der führenden Unternehmen in ihrem Bereich und ihres Branchendurchschnitts zu machen. Diese Relationen sind wesentlicher Teil der Ratings.

Dank dieser Methode des Benchmarkings von Cybersicherheit können Sicherheitsverantwortliche die IT-Sicherheit ihrer Organisation in einen Kontext einordnen. Wenn ein CISO eine Plattform für IT-Sicherheitsratings verwendet, kann er beispielsweise daraus entnehmen, dass seine Organisation beim Risikofaktor für Kommunikation zwischen eigenen IP-Adressen und Malware Command-and-Control Servern eine "D"-Note hat. Das zeigt ihm sofort, dass seine Organisation schlechter abschneidet als andere Unternehmen aus seiner Branche. Natürlich kann er dann auch einsehen, welche IP-Adressen mit Command-and-Control Servern kommunizieren und die infiltrierten Systeme zielgerichtet säubern.
Der CISO kann sich auch das Rating eines bestimmten Unternehmens – zum Beispiel das einer größeren, etablierteren Organisation – ansehen, um zu sehen, wo genau dessen Programme für IT-Sicherheit gute Ergebnisse erzielen. Das kann er unter Umständen auch zur Priorisierung nutzen.  

Fazit: Wie ein risikobasierter Cybersicherheitsansatz Zeit und Geld sparen kann

Im Vergleich zu Organisationen mit Compliance-orientierten Ansätzen oder idealistischen Unternehmen, die hundertprozentige IT-Sicherheit anstreben, kann eine Organisation mit einem risikobasierten Ansatz erhebliche Ressourcen einsparen.

Der risikobasierte Ansatz hilft Unternehmen, den ROI seiner Projekte für Cybersicherheit zu bewerten und die Ausgaben für Tools und Systeme, die keinen Mehrwert bringen, zu senken. Viele Unternehmen haben Millionen für Best-of-Breed-Software ausgegeben, aber haben aufgrund von Fehlern von Benutzern oder der Zusammenarbeit mit Lieferanten mit ungenügender Cybersicherheit eine Datenschutzverletzung erlitten. Mit einem risikobasierten Ansatz vermeidet ein Unternehmen solche Szenarien.

Darüber hinaus kann dieser Ansatz die Abhängigkeit eines Unternehmens von teuren, externen IT-Sicherheitsexperten und umfassenden Assessments reduzieren. Durch den Einsatz von Tools zur Unterstützung des Security Performance Managements kann ein Unternehmen intern die Fähigkeiten aufbauen, die nötig sind, um seine Programme für Cybersicherheit kontinuierlich zu bewerten und zu priorisieren.

Vor allem aber reduziert der risikobasierte Ansatz für Cybersicherheit die Wahrscheinlichkeit einen Datenverstoß zu erleiden. Bei laut dem Ponemon Institute durchschnittlichen Gesamtkosten einer Datenschutzverletzung von 3,86 Millionen US-Dollar im Jahr 2018 (148 US-Dollar pro verlorenem oder gestohlenem Datensatz) kann ein geringeres Risiko im Bereich Cybersicherheit den Unterschied zwischen Erfolg und Krise bedeuten.

Autor:

Patrick Steinmetz,

DACH Sales, BitSight
 

[ Bildquelle: Adobe Stock | Bild Steinmetz: Stefan Heigl / RiskNET GmbH ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
zum Seitenanfang