Suchen

Strategisches Risiko-Management Die größten CISO-Fehler

Autor / Redakteur: Dipl. Betriebswirt Otto Geißler / Peter Schmitz

IT-Security ist mittlerweile auf der Geschäftsführer- und Vorstandsebene angekommen. Trotzdem haben immer noch viele Unternehmen große Schwierigkeiten, ihr Risiko-Management zielführend zu gestalten. Welche Fehler treten am häufigsten in der Praxis auf?

Firma zum Thema

IT-Security ist mittlerweile auf der Geschäftsführer- und Vorstandsebene angekommen. Trotzdem haben immer noch viele Unternehmen große Schwierigkeiten, ihr Risiko-Management zielführend zu gestalten. Welche Fehler treten am häufigsten in der Praxis auf?
IT-Security ist mittlerweile auf der Geschäftsführer- und Vorstandsebene angekommen. Trotzdem haben immer noch viele Unternehmen große Schwierigkeiten, ihr Risiko-Management zielführend zu gestalten. Welche Fehler treten am häufigsten in der Praxis auf?
(Bild: gemeinfrei / Pixabay )

Die frühzeitige Erkennung von möglichen IT-Risiken ist ein großer Erfolgsfaktor für Unternehmen aller Branchen und jeder Größe. Kommt es zum Totalausfall der IT-Systeme, so bedeutet das für die meisten Unternehmen und Organisationen den völligen Stillstand der Prozesse bzw. der Produktion. So wurde für viele Unternehmen ein unterbrechungsfreies Funktionieren der IT zu einem entscheidenden Wettbewerbsfaktor.

Um dieser Herausforderung gerecht zu werden, muss ein durchdachtes und zuverlässiges Risiko-Management entwickelt werden. Da sich jedoch das Management von Sicherheitsrisiken bei vielen Unternehmen noch in einem Reifeprozess befindet, tauchen immer wieder die gleichen Fehler auf. Hier werden die häufigsten diskutiert.

Mangelnde Ausrichtung auf die IT-Security

Zu den größten Fehlern bei der Gestaltung eines Risiko-Managements gehört die mangelnde Abstimmung zwischen den Sicherheitsvorgängen und der Geschäftsstrategie. Viele CISOs erkennen dabei nicht, worauf sich das Geschäftsmodell eines Unternehmens richtet.

Sie fokussieren zwar die IT-Risiken, ignorieren aber vielfach die Auswirkungen auf das Unternehmen. Es wäre zielführender, wenn CISOs den Geschäftszielen und Funktionen, die für das Unternehmen wichtig sind, ein zu schützendes Risiko zuordnen würden.

Eingeschränkte Transparenz

CISOs managen häufig nur Risiken für Teilbereiche eines Unternehmens und nicht die der gesamten Organisation. Es fehlt in der Regel ein vollständiges Bild des kompletten Unternehmens. Das rührt unter anderem daher, weil viele CISOs weder über ein vollständiges IT-Asset-Inventar noch über eine vollständige Liste aller Drittanbieter und Cloud-Anwendungen verfügen, die von Mitarbeitern und Geschäftseinheiten genutzt werden. Infolgedessen führen viele Unternehmen Bewertungsprogramme der Risiken für ein Inventar durch, das weder resilient noch die Realität abbildet.

Der mangelnde Überblick kann auch dadurch entstehen, dass erworbene Unternehmen nicht vollständig in die Muttergesellschaft integriert wurden. Ein ähnliches Phänomen kann man beobachten, wenn einzelne Abteilungen fast schon ihre eigene IT betreiben und um diese Silos herum hohe Mauern errichten.

Gleichzeitig verfügen viele nur über begrenzte Einblicke in ihre eigenen IT-Security-Maßnahmen, weil sie keine Kennzahlen verwenden, die ihnen helfen können, das Risiko zu quantifizieren und darzulegen, wie es sich im Laufe der Zeit verändert.

Insbesondere kleine bis mittelgroße Organisationen verfolgen oft keine Risiko-Kennzahlen, weil ihnen das Budget und die Fachkenntnisse fehlen, um solche Praktiken zu implementieren. Große Unternehmen unterlassen dies manchmal, weil sie von der Komplexität eines solchen Vorhabens überfordert sind.

Für eine vollständige Transparenz müssen CISOs langjährige Silos von IT-Aktivitäten aufbrechen. Die IT-Security sollte in der Folge Risiken quantifizieren, die messbar, wiederholbar und aussagekräftig sind. Denn bei Risiken geht es immer darum, welche Wahrscheinlichkeiten für welche Konsequenzen in welchem Umfang stehen.

Compliances werden priorisiert

Risiken können ebenfalls entstehen, wenn sich CISOs zu sehr auf Compliance-Checklisten konzentrieren und diese als einziges Endziel betrachten. Besser wäre es, die Ressourcen darauf zu konzentrieren, die Zielsetzungen des eigenen Unternehmens zu verstehen, Sicherheitsinitiativen an der Geschäftsstrategie auszurichten und Lücken in ihrem Sicherheitsprogramm zu schließen.

Wobei solche Compliance-Checklisten in Verbindung mit einer Strategie und einer gewissen Risikotoleranz, die sich an den spezifischen und wahrscheinlichsten Bedrohungen orientiert, natürlich sinnvoll sind.

Keine Differenzierung bei Bedrohungen

Angesichts der wachsenden Anzahl an Bedrohungen, Angriffsvektoren und Schwachstellen, könnten CISOs versucht sein, sich mit allen zu befassen. Für viele Experten ist ein derart breiter Ansatz ein großer Fehler, denn sie bemängeln nicht nur eine Verwässerung der Maßnahmen, sondern auch eine ineffektive Verteilung der Budgets.

Bessere wäre es über Wahrscheinlichkeiten von Hacker-Angriffen und ihre Auswirkungen nachzudenken. Das bedeutet, ein gezieltes Programm zur Risikominderung erstellen und sich auf die Angriffe konzentrieren, die am ehesten bedrohlich für das Unternehmen sein könnten.

Informationen in Echtzeit fehlen

Viele Unternehmen führen zwar Audit-Prozesse durch, nutzen aber keine Echtzeit-Informationen über Bedrohungen, um zu klären, welche Risiken in diesem Moment tatsächlich relevant sind. Für Sicherheitsbewertungen in Echtzeit bieten sich Technologien wie das maschinelle Lernen und die künstliche Intelligenz an.

Dafür müssen automatisierte Prozesse geschaffen werden, die es dann ermöglichen, diese Echtzeit-Bewertungen schneller zum Management von Risiken zu nutzen.

(ID:46898392)

Über den Autor