Risikobasierte Sicherheitsstrategie
Bei einer risikobasierten Sicherheitsstrategie identifiziert eine Organisation spezifische Sicherheitsvorkehrungen, die in einer IT-Umgebungen getroffen werden sollen. Darüber hinaus wird dokumentiert, wann und wo diese Vorkehrungen angewendet werden sollen.
Risikobasierte Security-Strategien helfen Unternehmen dabei, die digitalen Assets zu identifizieren, die am meisten Schutz benötigen. Drei wesentlichen Fragen, die ein Unternehmen im Zuge einer risikobasierten Sicherheitsstrategie für sich beantworten sollten lauten:
- Welches sind die wichtigsten Informationswerte?
- Wer hat Zugriff auf diese Daten und wie werden sie geschützt?
- Wer könnte diese Werte stehlen oder beschädigen wollen?
Risikobasierte Sicherheit sollte sorgfältig geplant und immer wieder auf den Prüfstand gestellt werden. So lässt sich sicherstellen, dass die Strategie einen umfassenden und tiefgreifenden Ansatz bei der Cybersicherheit bietet. Die effektivsten risikobasierten Sicherheitspraktiken ergänzen die anderen ERM-Strategien (Enterprise Risk Management) eines Unternehmens.
Elemente einer risikobasierten Sicherheitsstrategie
Unternehmen sollten fünf grundlegende Schritte berücksichtigen, die für die Umsetzung einer risikobasierten Security-Strategie wichtig sind:
Bewertung der Assets: In diesem Schritt sollte ein Unternehmen bestimmten, was und wo die wichtigsten Aktiva sind, und wem diese gehören. In diesem Zuge sollten auch alle Auswirkungen auf den Geschäftsbetrieb und die Kosten berücksichtigt werden, die mit der Integrität oder Verfügbarkeit eines bewerteten gefährdeten Assets einhergehen. Das Ziel ist es, sicherzustellen, dass den für den täglichen Betrieb einer Organisation wichtigsten Assets eine hohe Priorität eingeräumt wird.
Bedrohungen identifizieren: Die Organisation sollte böswillige Akteure identifizieren, die möglicherweise Informationen stehlen oder Vermögenswerte beschädigen wollen. Dazu gehören Konkurrenten, verärgerte Mitarbeiter oder unabsichtliche Bedrohungen wie ungeschulte Mitarbeiter. Andere potenzielle Bedrohungen, die im Auge behalten werden sollten, sind Ereignisse wie Brände oder Überschwemmungen. Jeder Bedrohung sollte eine Bedrohungsstufe zugewiesen werden, die auf ihrer Eintrittswahrscheinlichkeit basiert.
Schwachstellen identifizieren: Hierbei geht es darum, potenzielle Software-, Hardware- und Netzwerkschwachstellen zu identifizieren. Penetrationstests und automatisierte Tools zum Scannen von Schwachstellen können dabei helfen.
Ein Risikoprofil erstellen: In diesem Schritt wird die Wahrscheinlichkeit bewertet, dass eine Bedrohung eine Schwachstelle ausnutzt. Bei der Profilerstellung werden vorhandene Schutzmaßnahmen bewertet und das Risiko für bestimmte Vermögenswerte gemessen. Das Ziel ist es, jedem Asset einen eigenen Risiko-Score zuzuweisen.
Risikobehandlung: Dieser Schritt beinhaltet die Entscheidung, ob Risiken toleriert, verändert oder ganz vermieden werden sollen. Es ist wichtig, dass jede Entscheidung dokumentiert wird, wobei jede einzelne begründet werden muss. Penetrationstests sollten dazu verwendet werden, um jede Bedrohung zu simulieren und die Sicherheit bestimmter Anlagen zu gewährleisten. Dieser Prozess sollte für jede identifizierte Bedrohung wiederholt werden.
Eine risikobasierte Sicherheitsstrategie implementieren
Die Implementierung einer risikobasierten Sicherheit kann eine zeitaufwendige Angelegenheit sein. Dafür kann sie im Gegenzug die Sicherheit von wichtigen Informationsbeständen verbessern und gewährleisten. Und so lassen sich die Sicherheitsbemühungen mit den Geschäftszielen in Einklang bringen. Die Gespräche zwischen den Security-Experten und der Geschäftsführung sollten mit der Identifizierung potenzieller Bedrohungen und der Wahrscheinlichkeit des Auftretens einer potenziellen Bedrohung beginnen.
Sobald dies abgeschlossen ist, können Administratoren ihre Zugriffskontrollrichtlinien überprüfen. Damit soll sichergestellt werden, dass das Prinzip der geringsten Privilegien (POLP, Prinzip der minimalen Rechtevergabe) umgesetzt wird. Sobald ein Audit der technischen Kontrollen durchgeführt wurde, um sicherzustellen, dass alles wie erwartet funktioniert, können Tests initiiert werden, um jede Bedrohung zu simulieren.