Risikobewertung 6 Schritte zur Cyberrisikobewertung

Anbieter zum Thema

Outpost24 GmbH

TREND MICRO Deutschland GmbH

Eine fundierte Risikobewertung erfordert eine Analyse von internen und externen Security-Informationen. Unternehmen müssen einerseits ihre IT-Umgebung und mögliche Schwachstellen genau kennen, diese andererseits aber auch in Relation mit aktuellen Angriffsmustern und Gefahren betrachten. Indem sie die individuell größten Risiken identifizieren und priorisieren, können sie Security-Ressourcen effizient dort einsetzen, wo sie diese am dringendsten benötigen.

Cyberrisikobewertung muss stets individuell erfolgen. Denn nicht alle Risiken betreffen alle Unternehmen gleichermaßen. Die Log4Shell-Schwachstelle ist zum Beispiel extrem gefährlich – aber nur für Unternehmen, die die Log4j-Komponente einsetzen. Um ihr individuelles Risiko einzuschätzen, müssen Unternehmen also erst ermitteln, ob sie von einer Schwachstelle betroffen sind. Umgekehrt darf man sich aber auch nicht leichtfertig in Sicherheit wiegen. Lange Zeit kursierte in der Industrie zum Beispiel die Vorstellung, dass Produktionssysteme abgeschottet und dadurch nicht angreifbar sind. Aber stimmt das tatsächlich zu hundert Prozent? Was, wenn der Service-Techniker sein Laptop anschließt und aus Versehen Malware überträgt? Darüber hinaus werden zunehmend auch immer mehr Fernwartungszugänge gelegt, um Kosten und Zeitaufwand zu reduzieren.

Diese Fragen sollten sich CISOs stellen

Um zu ermitteln, welche Risiken für das eigene Unternehmen relevant sind und wo Handlungsbedarf besteht, müssen CISOs interne und externe Security-Informationen sammeln, in Relation setzen und analysieren. Die folgenden Fragen sollten sie sich stellen:

1. Welche Schwachstellen haben wir?

Jedes Unternehmen hat Schwachstellen. Man wird sie nie alle schließen können – das wäre nicht nur viel zu teuer, es kommen auch ständig neue hinzu. Um Risiken zu bewerten und Handlungsempfehlungen abzuleiten, müssen Unternehmen ihre Schwachstellen aber kennen. Das erfordert einen umfassenden Überblick über alle Systeme, Cloud Services und Prozesse in der IT-Umgebung sowie einen Informationsaustausch zwischen verschiedenen Fachbereichen. Oft weiß die Security-Abteilung zum Beispiel gar nicht, welche Schwachstellen es in der Entwicklung gibt.

Grundsätzlich unterscheidet man drei Arten von Schwachstellen: menschliche, technische und prozessuale. Gegen menschliche Fehler ist niemand gefeit. Es kann immer einmal passieren, dass ein Anwender auf eine Phishing-Attacke hereinfällt oder jemand im Eifer des Gefechts vergisst, ein Passwort in einem neuen Cloud Service zu setzen. Auch technische Schwachstellen in Systemen sind normal. Sie werden nach ihrer Entdeckung auf CVE-Listen (Common Vulnerabilities and Exposures) veröffentlicht und gemäß ihres Schweregrads nach dem CVSS (Common Vulnerability Scoring System) klassifiziert. In jedem Unternehmen findet man zudem Prozess-Schwachstellen. Darunter fallen zum Beispiel Notfallpläne, die nie getestet wurden und im Ernstfall nicht funktionieren.

2. Welche Angreifer gibt es und wie agieren sie?

Nur weil eine gefundene Schwachstelle im CVSS als kritisch eingestuft wurde, sagt das noch nichts darüber aus, wie gefährlich sie für das Unternehmen tatsächlich ist. Häufig nutzen Cyberkriminelle solche Schwachstellen gar nicht aus, sondern konzentrieren sich auf ältere, weniger hoch priorisierte Sicherheitslücken. In der Praxis sind diese dann gefährlicher als neue, kritische Schwachstellen, zu denen Security-Analysten gerade kaum oder keine cyberkriminellen Aktivitäten verzeichnen. Daher müssen in die Risikobewertung immer Informationen darüber einfließen, welche Angreifergruppen es gerade gibt und wie diese vorgehen. Auch die Unternehmensgröße und Branche spielt eine Rolle. Eine Behörde hat zum Beispiel eine andere Risiko-Exposition als ein kleiner Handwerksbetrieb, ein Produktionsunternehmen eine andere als ein Energieversorger oder ein Finanzdienstleister. Durch den Ukraine-Krieg haben zwar politisch motivierte Angriffe zugenommen. Ein mittelständischer Handwerker ist davon jedoch kaum betroffen, ein KRITIS-Unternehmen dagegen schon.

3. Wie hoch ist die Wahrscheinlichkeit, dass ich angegriffen werde?

Aus den aufgedeckten Schwachstellen und dem aktuellen cyberkriminellen Geschehen lässt sich ermitteln, wie hoch die Angriffswahrscheinlichkeit ist. Habe ich eine Schwachstelle, die gerade häufig von Cyberkriminellen ins Visier genommen wird und falle ich aufgrund meiner Größe oder Branche ins Beuteschema aktueller Hacking-Aktivitäten? Dann ist die Gefahr groß, dass ich angegriffen werde. Dabei sollte man immer im Hinterkopf behalten, dass etwa 90 Prozent aller Cybervorfälle monetär motiviert sind. Cyberkriminelle wollen mit möglichst wenig Aufwand möglichst viel Geld verdienen. Das heißt sie dringen vorwiegend dort ein, wo sie wenig Gegenwehr vermuten, Systeme einfach infiltrieren können und sich gute Erfolgsaussichten ausrechnen.

4. Welche Auswirkungen hätte ein Angriff?

Um diese Frage zu beantworten, muss man die eigene IT-Infrastruktur, Abhängigkeiten und die Sicherheitsaufstellung genau kennen. Was kann ein Angreifer tun, wenn er ins Netzwerk eingedrungen ist? Wie weit kann er sich ungestört bewegen, ohne aufzufallen? Gibt es interne Kontrollen, um ihn aufzuhalten? Welche Auswirkungen hat z.B. ein Produktionsstopp auf Kunden und Lieferanten? Welche Konsequenzen hätte es im schlimmsten Fall, wenn Daten verschlüsselt werden, verloren gehen oder Systeme ausfallen? Vielleicht sind davon auch nachgelagerte Prozesse betroffen, an die man auf den ersten Blick gar nicht gedacht hätte. Aus der Höhe des möglichen Schadens und der Eintrittswahrscheinlichkeit lässt sich errechnen, wie das Risiko für das Unternehmen zu bewerten ist und wo Handlungsbedarf besteht.

5. Was können wir tun, um das Risiko zu mindern?

Jetzt geht es darum, gezielt Maßnahmen zu ergreifen, um die größten Risiken in ihrer Eintrittswahrscheinlichkeit und ihren Auswirkungen zu mindern. Vielleicht sollte dringend ein Patch eingespielt werden, um eine technische Schwachstelle zu schließen. Falls das gerade nicht möglich ist – sei es aus Zeitmangel oder weil man ein System nicht verändern darf – kann eine Technologie wie Virtual Patching helfen. Sie schließt Schwachstellen automatisiert auf Netzwerkebene und verhindert so, dass sie von außen ausgenutzt werden können. Manche Risiken lassen sich mit einfachen Mitteln mindern, etwa, indem man Passwörter ändert. Andere erfordern größere Security-Maßnahmen, zum Beispiel Netzwerksegmentierung, um besonders gefährdete Assets und Daten zu schützen. Hier gilt es stets, Kosten und Nutzen abzuwägen und die effizienteste Möglichkeit auszuwählen. Wer auf eine umfassende Security-Plattform eines führenden Herstellers setzt, kann neue Funktionen meist schnell und kostengünstig freischalten. Anschließend ist es wichtig, ergriffene Maßnahmen zur Risikominderung regelmäßig auf ihre Wirksamkeit zu überprüfen.

Fazit

Cyberrisikobewertung bildet die Basis für eine proaktive Security-Strategie, die zielgerichtete, effiziente Prävention und Reaktion vereint. Ein Security-Hersteller, der einen umfassenden Plattformansatz mit einer leistungsfähigen XDR-Lösung bietet, kann Unternehmen optimal unterstützen. Er verfügt über globale Threat Intelligence und modernste Technologie. Auf der XDR-Plattform fließen sowohl interne Security-Daten als auch externe Informationen zusammen und werden KI-gestützt analysiert und korreliert. Das ermöglicht eine kontinuierliche, individuelle Einschätzung der Risikolage. Aus dieser lassen sich gezielte Gegenmaßnahmen ableiten. So wandelt sich der Security-Anbieter vom Versicherer zum proaktiven Analysten.

Über den Autor: Richard Werner ist Business Consultant bei Trend Micro.

(ID:48741762)