ÐндÑей ЯланÑкий -
Risikominderung im Unternehmen: Sicherheitskonzepte prüfen
Es genügt für IT-Security-Teams nicht mehr sich auf den Schutz des Unternehmens vor Bedrohungen zu fokussieren. Es gilt die Risiken, soweit es eben möglich ist, zu verringern.
Nach Platons Buch Republik ist die Notwendigkeit die Mutter aller Erfindungen. Wenn wir etwas brauchen, haben wir den Anstoß, es zu verwirklichen. Für Cybersicherheitsteams geht es im Moment darum, wie sie am besten mit dem Unternehmen zusammenarbeiten können.
Gartner schätzt, dass sich die weltweiten Ausgaben für Sicherheit und Risikomanagement im Jahr 2024 auf 215 Milliarden US-Dollar belaufen werden, was einem Anstieg von 14,3 Prozent gegenüber dem Vorjahr entspricht. Doch während diese Gesamtausgaben immer noch steigen, müssen die Budgets weitaus mehr potenzielle Bedrohungen abdecken, mit dem Wachstum der Angriffsflächen Schritt halten und mehr IT-Systeme unterstützen, die Unternehmen zu ihren Stacks hinzugefügt haben. Ein Beispiel: Nach unseren Untersuchungen ist die Zahl der Software-Schwachstellen, die von Bedrohungsakteuren als Waffe eingesetzt wurden, im Jahr 2023 auf 152 gestiegen. Das ist mehr als in den drei vorangegangenen Jahren zusammen, doch die Ausgaben sind nicht in gleichem Maße gestiegen.
Zweitens verändert sich das allgemeine Geschäftsumfeld. Aufgrund des Generationswechsels bei den Zinssätzen konzentrieren sich Unternehmensleiter heute eher auf Rentabilität als auf Wachstum. Als Geld noch billig war, waren Investitionen in Wachstum und Marktanteile sinnvoll; heute sind Rentabilität und Kostenkontrolle wichtiger. Wie wirkt sich das aus? Die Unternehmen kürzen ihre Betriebskosten, und dazu gehören auch die Ausgaben für Sicherheit. Sie werden zwar nicht an den Ausgaben sparen, aber die Wachstumsrate wird im Laufe der Zeit deutlich geringer ausfallen.
Wie können CISOs also die besten Argumente für die Unterstützung des Unternehmens im Bereich Sicherheit vorbringen und Budgets gegen Kürzungen verteidigen? Wie können Sie sicherstellen, dass Vorstände und CEOs wissen, dass das, was Sie leisten, sowohl für das Unternehmen wichtig ist als auch eine effektive Nutzung des Budgets darstellt? Um dies zu erreichen, muss der Schwerpunkt auf dem Geschäftsrisiko liegen.
Klingt das nicht offensichtlich? Ist das nicht der Grund, warum wir dieses Budget für Sicherheit ausgeben, um das Unternehmen zu schützen? Die Herausforderung besteht darin, dass das, was Sie als Risiko betrachten, nicht unbedingt dasselbe ist wie die Geschäftsleitung. Bei meiner Arbeit mit CISOs ist es für Sicherheitsteams leicht, IT-Risiken und Geschäftsrisiken gleichzusetzen, was aber nicht der Fall ist. Anstatt die technologische Seite zu betrachten, müssen wir jetzt die Auswirkungen von Risiken auf das Unternehmen untersuchen und erklären, wie IT-Sicherheitsbedrohungen im Vergleich zu diesen Kriterien zu bewerten sind. Wir brauchen einen neuen Ansatz, der sich auf das konzentriert, was für das Unternehmen im Zusammenhang mit Risiken am wichtigsten ist, und der sicherstellt, dass IT-Sicherheitsfragen in diesen Rahmen eingeordnet werden, anstatt zu versuchen, die Unternehmensleiter dazu zu bringen, technische Details zu verstehen.
Die Risiken kennen und Prozesse prüfen
Um unsere Ziele in Zukunft zu erreichen, müssen wir unseren Zweck im Unternehmen als Ganzes betrachten. Das moderne Ziel für CISOs und IT-Sicherheitsteams sollte darin bestehen, das Risiko für das Unternehmen zu verringern, damit es auf dem Markt erfolgreich agieren kann. Das Besiegen unserer „digitalen Gegner“ und das Aufhalten von Bedrohungen sind zwar beides äußerst wichtige Taktiken, aber sie sind nicht das Hauptziel, das wir verfolgen sollten. Vielmehr handelt es sich dabei um Meta-Ergebnisse, die erzielt werden, wenn wir das Gesamtziel erreichen - das Unternehmen zum Sieg zu führen.
Wenn wir dieses Geschäftsziel aus den Augen verlieren oder unsere Position weiterhin als rein technologisch betrachten, schaffen wir keinen Wert mehr, den das Unternehmen anerkennt und unterstützt. Dieser Wert besteht in der Beseitigung von Risiken, die das Unternehmen daran hindern, seinen Auftrag oder Zweck zu erfüllen.
Um dies in der Praxis zu erreichen, müssen wir uns überlegen, wie wir auf unseren operativen Sicherheitsprozessen aufbauen und wie sie miteinander interagieren. Der erste Schritt besteht darin, das Cybersicherheitsrisiko für alle Angriffsflächen zu messen. Dies ist etwas, das alle IT-Sicherheitsteams derzeit tun sollten, aber die Ergebnisse sind oft unvollständig oder bruchstückhaft. Die Zusammenführung all dieser Daten an einem Ort macht es einfacher zu verstehen, welche Aktivitäten innerhalb des Teams stattfinden.
Diese Übung kann potenzielle Bereiche aufzeigen, in denen Sie Ihren Ansatz für die Verwaltung von Anlagen und die Messung der Sicherheitseffektivität verbessern können. Der größte Nutzen besteht jedoch darin, einen Überblick über alle Ihre Programme zu erhalten und zu sehen, wie sie den Schutz Ihrer Angriffsflächen gewährleisten. Dies kann dann in Metriken übersetzt werden, die das Geschäftsteam verstehen kann, und zwar auf der Grundlage der Integration und Quantifizierung von Anlagenwerten, Bedrohungsdaten, Schwachstellenstatus und potenziellen geschäftlichen Auswirkungen, die dann in Geldwerten angegeben werden.
Anhand dieser Daten können Sie dem Unternehmen das Cybersicherheitsrisiko auf der Grundlage des Wertes vermitteln. Inwieweit stellt ein Angriff ein realistisches Risiko dar, und wie hoch wären die daraus resultierenden Auswirkungen in Geldwerten? In der Vergangenheit war es schwierig, diese Daten für die IT-Abteilung zu beschaffen. Durch die Konsolidierung der Anlagendaten ist es jedoch viel einfacher, diese Metriken zu erstellen und dann die Fragen des Unternehmens in Bezug auf Sicherheit und potenzielle Risiken zu beantworten. Welche Kombinationen von Vermögenswerten, Bedrohungen und Schwachstellen führen beispielsweise am ehesten zu einer Unterbrechung der Dienste? Noch wichtiger ist die Frage, wie sich dies auf frustrierte Kunden und Abwanderung, auf die Auswirkungen von Vorschriften und Geldbußen oder auf Umsatzeinbußen auswirken würde.
„Indem wir die Risiken mit den größten potenziellen Auswirkungen und dem höchsten Risikoniveau priorisieren, können wir zeigen, dass die Sicherheitsteams ein effektives Risikomanagement für das gesamte Unternehmen und nicht nur für die IT-Abteilung bieten können.“
Richard Seiersen, Qualys
Auf diese Weise können Sie das IT-Sicherheitsrisiko und die Ergebnisse zusammen mit anderen Geschäftsrisiken messen, die der Vorstand verfolgt, wie zum Beispiel die Leistung der Lieferkette, die Verkaufsergebnisse im Vergleich zu den Zielvorgaben oder Kundenänderungen. Wenn all diese Daten im gleichen Format vorliegen, ist es einfacher, über die Ergebnisse zu sprechen und festzustellen, welche Lücken zu schließen sind.
Parallel dazu können Sie Ihre Sicherheitsprozesse verbessern, um Risiken zu beseitigen oder auszuschalten. Dazu gehören Abhilfemaßnahmen für Probleme wie Softwareschwachstellen, die behoben werden können, und Abhilfemaßnahmen für solche, die nicht gelöst werden können. Was die Behebung von Schwachstellen betrifft, so ist das Aufspielen von Patches der effizienteste Ansatz, um diese Probleme zu lösen. Die Automatisierung der Patch-Verteilung beschleunigt diesen Prozess zusätzlich. Bei Problemen, die nicht gepatcht werden können, weil es keine Updates gibt oder weil sie sich auf das Geschäft auswirken, können Maßnahmen zur Schadensbegrenzung die potenziellen Risiken verringern.
Die längerfristige Perspektive für die Sicherheit
Für CISOs besteht die Aufgabe der Sicherheit darin, Risiken zu vermeiden und Datenverluste oder Unterbrechungen von Diensten zu verhindern, die das Unternehmen gefährden. Die alten Methoden, dies zu erreichen, können jedoch nicht mit dem Ausmaß der Angriffe mithalten, die stattfinden. Auf Unternehmensseite werden sich Ausgabenkürzungen und betriebliche Effizienz darauf auswirken, wie Unternehmensteams Risiken und Sicherheit betrachten. Auf der technologischen Seite haben die zunehmenden Cloud-nativen Innovationen und die künstliche Intelligenz mehr potenzielle Angriffsflächen eröffnet und die Art und Weise beeinflusst, wie Sicherheitsteams mit Bedrohungsakteuren bei der Durchführung von Angriffen konkurrieren.
Es reicht nicht mehr aus, sich darauf zu konzentrieren, das Unternehmen vor allen möglichen Bedrohungen zu schützen. Stattdessen müssen wir unseren Ansatz weiterentwickeln, um das Risiko für das Unternehmen so weit wie möglich zu verringern, damit es gewinnen kann. Indem wir die Risiken mit den größten potenziellen Auswirkungen und dem höchsten Risikoniveau priorisieren, können wir zeigen, dass die Sicherheitsteams ein effektives Risikomanagement für das gesamte Unternehmen und nicht nur für die IT-Abteilung bieten können. Dies ist ein notwendiger Wandel für CISOs, um das Unternehmen zu unterstützen, also überarbeiten Sie, wie Sie in Zukunft mit Risiken umgehen.
Über den Autor:
Richard Seiersen ist Chief Risk Technology Officer bei Qualys.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.