Vorausschauende Security-Strategien entwickeln Investitionen in Security-Lösungen richtig begründen

Von Saket Modi

Anbieter zum Thema

Unternehmen und Experten sind besorgt, dass Angreifer durch den kriegsbedingten Rückgang der ukrainischen Dienstleistungen vermehrt in kritische Infrastrukturen eindringen und dass sie dadurch den Zugang zu ihnen oder die Kontrolle über sie verlieren. Regierungen und kommerzielle Sicherheitsorganisationen haben bereits Kollateralschäden bei Organisationen außerhalb Europas bestätigt. Darum sollte in diesen gefährlichen Zeiten ein vorausschauender Ansatz verfolgt und die notwendigen Investitionen in Security-Lösungen so begründet werden, dass eine Investition unumgänglich wird.

Ist ein Sicherheitsvorfall passiert, werden schnell immense Gelder in die Hand genommen, um ihn zu beseitigen, aber besser ist, vorher die richtigen Investitionen zu tätigen.
Ist ein Sicherheitsvorfall passiert, werden schnell immense Gelder in die Hand genommen, um ihn zu beseitigen, aber besser ist, vorher die richtigen Investitionen zu tätigen.
(Bild: vladischern - stock.adobe.com )

Nach Angaben des ukrainischen Außenministeriums verlassen sich mehr als 100 der weltweit führenden 500 Unternehmen zumindest teilweise auf ukrainische IT-Dienstleistungen, wobei mehrere ukrainische IT-Firmen zu den 100 wichtigsten Outsourcing-Optionen für IT-Dienstleistungen weltweit gehören. Vielfach fehlen nun diese Dienstleistungen, so dass Software möglicherweise nicht mehr ad hoc auf den neuesten Stand gebracht wird und digitale Produkte weniger durch neue ersetzt werden können. Cyberangriffe auf die digitale Infrastruktur könnten dies ausnutzen und größere Folgeschäden für deutsche Firmen erzeugen. Technischer Fortschritt ist stets abhängig von denen, die diesen Fortschritt vorantreiben. Kaum jemand hat sich vorstellen können, dass es aufgrund des Krieges zu Einschränkungen und Problemen in der IT-Branche kommen könnte. Wenn digitale Steuerungen von Maschinen und Geräte, Software-Updates und die Cybersicherheit in Gefahr geraten, dann sollte auch in der IT und in der Unternehmensstrategie ein Denken Einzug halten, sich künftig besser auf mögliche Ereignisszenarien einzustellen, damit man ihnen gut gewappnet gegenübertreten kann.

Heutzutage steht die Frage des Risikos bei allen Gesprächen im Vordergrund. Wie die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) in ihrem Leitfaden "Shields Up" darlegt, besteht der erste Schritt zur Widerstandsfähigkeit darin, die Wahrscheinlichkeit eines schädlichen Cyberangriffs von vornherein zu verringern. Um die Wahrscheinlichkeit eines Vorfalls zu verringern, muss jedoch zunächst die Wahrscheinlichkeit eines solchen Vorfalls erkannt und gemessen werden. Denn schon seit Jahren drängt die Sicherheitsbranche die Unternehmensentscheider, Cyber-Bedrohungen als Unternehmensbedrohungen anzuerkennen und vorausschauend zu handeln. Heute scheinen die Entscheidungsträger der Unternehmen etwas mehr zuzuhören, denn immerhin stiegen im Jahr 2021 die durchschnittlichen Gesamtkosten einer Datenschutzverletzung um fast 10 Prozent auf 4,24 Millionen US-Dollar. Weltweit haben die Investitionen in Cybersicherheit weiter zugenommen, die zwischen 2021 und 2025 voraussichtlich 1,75 Billionen US-Dollar übersteigen werden. Doch trotz der dieser Investitionen nehmen sowohl die Häufigkeit als auch die finanziellen Auswirkungen von Sicherheitsverletzungen weiter zu. Im Oktober 2021 wurden bereits mehr Sicherheitsverletzungen gemeldet als im gesamten Vorjahr.

Das Kind sollte nie in den Brunnen fallen

Was kann ein Unternehmen tun, um in diesen beispiellosen Zeiten einen vorausschauenden Ansatz zu verfolgen und die notwendigen Investitionen zu begründen? Denn es ist wie immer: Ist das Kind in den Brunnen gefallen, werden schnell immense Gelder in die Hand genommen, um es dort wieder herauszuholen. Ist aber noch nichts passiert, dann glaubt man auch nicht so richtig daran, dass etwas passieren wird. Aber wenn etwas schiefgehen kann, dann wird es irgendwann auch schiefgehen.

Die Handlungsweisen in solchen Situationen sind leider häufig kontraproduktiv. Bei modernen Security-Lösungen wie beispielsweise Zero Trust verstehen die Vorstände meist nicht, was deren Umsetzung für ihr Unternehmen bedeutet und welche Vorteile daraus entstehen. Sie sehen nur die gewaltigen Umstrukturierungen des Unternehmens, des Einsatzes von Mitarbeitern und von Arbeitsprozessen und investieren lieber in ihre vorhandene anfällige Technologie. Dabei wird oft zu viel gemacht. Wird eine Sicherheitslücke offengelegt, werden schnell neue Produkte implementiert. Das führt teilweise zu unüberschaubaren Anhäufungen. Manche Unternehmen nutzen bis zu 130 Cybersicherheitsdienste und -produkte, was zu einer Datenexplosion führt.

Valide Daten sind auch für die Cybersicherheit unerlässlich, aber eine unüberschaubare Datenlast überfordert die Sicherheitsteams und verhindert die Möglichkeit, die richtigen Prioritäten im unternehmerischen Risikomanagement zu setzen. Die CSOs jonglieren mit isolierten Sicherheitsprodukten, ertrinken in Datenmengen und versuchen gleichzeitig, dem Vorstand eine Strategie zu präsentieren, die er versteht. Das kann nicht funktionieren. Oft reagieren die Unternehmen erst, wenn der Wettbewerb getroffen wurde. Dadurch hinken sie den Angreifern immer hinterher. Sie konzentrieren sich auf Bedrohungen der Vergangenheit, aber nicht auf das, was künftig auf das eigene Unternehmen zukommen kann. Auch werden oft die falschen Tools verwendet wie beispielsweise das Heatmap-Prinzip mit mehr oder weniger intuitivem Ampelsystem. Doch das Rot-Gelb-Grün-System ist aber viel zu wage und zu oberflächlich, um wirklich zukunftssichere sicherheitsstrategische Entscheidungen treffen zu können.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Sicherheitskennzahlen bereitstellen

Wenn ein Chief Security Officer (CSO) und ein Vorstandsmitglied zusammen in einem Aufzug stehen, sollte er in der Lage sein, die Echtzeit-Cyber-Risikolage des Unternehmens in dieser kurzen Aufzugsfahrt zu erläutern. Das Risiko sollte in realen, quantifizierbaren Begriffen gemessen werden, die sich auf präzise Datenpunkte und die finanziellen Auswirkungen einer Datenschutzverletzung stützen, die durch rationelle Investitionen abgewendet werden könnten. Das kann der CSO vorbereiten, indem er Cyberrisiken quantifiziert. Was kostet es dem Unternehmen, wenn die Produktion durch einen Angriff für drei Tage lahmliegt? Wie hoch ist der finanzielle Schaden, wenn Kundendaten gestohlen oder verschlüsselt werden? Was passiert, wenn die Daten wichtiger Patente entwendet worden sind? Was sind die finanziellen Auswirkungen, wenn plötzlich Fachkräfte intern oder extern fehlen, um die Sicherheitssysteme zu pflegen und aktuell zu halten? Was kosten dem gegenüber adäquate (Sicherheits-)Lösungen, die solche Situationen verhindern? Cyberrisiken sollten sich auf solche präzisen Datenpunkte fokussieren und die finanziellen Auswirkungen einer Sicherheitsverletzung aufzeigen, welche durch rationelle Investitionen und Initiativen abgewendet werden können.

Dabei handelt es sich um ein Modell, das sich auf die Verwendung mehrerer Datenpunkte konzentriert, um einen greifbaren Wert des Risikos für jeden Vermögenswert im Unternehmen zu schaffen, der in Echtzeit dargestellt wird. So lässt sich das Risiko leicht in die finanziellen Auswirkungen umrechnen und in eine Sprache übertragen, die jeder im Vorstand versteht. Der Vorstand will beispielsweise wissen, um wie viel der Schadenswert durch Cybersicherheits-Strategien gesenkt werden kann. Anstatt zu erklären, warum eine bestimmte Cybersicherheits-Richtlinie dazu beiträgt, die Cyberrisikoposition zu verbessern, sollte ein CSO erklären, um wie viel die finanziellen Auswirkungen des Cyberrisikos durch die Richtlinie verringert werden kann. Informationen sind kontextabhängig, und im Falle der Cybersicherheit müssen die CSOs den Fachjargon in einen geschäftlichen Kontext stellen, um bessere, robustere Cybersicherheitsstrategien zu ermöglichen. Die Quantifizierung von Cyber-Risiken bringt den fehlenden geschäftlichen Kontext in Sicherheitsgespräche ein, und zwar durch den einen Wert, der für die Entscheidungsfindung wichtig ist - die Auswirkungen auf den endgültigen Geldwert.

Über den Autor: Saket Modi ist Mitbegründer und CEO von Safe Security. Modi wurde unter anderem in die 40-unter-40-Liste des Fortune Magazine, die 35-unter-35-Liste des Entrepreneur Magazine und die 30-unter-30-Liste des Forbes Magazine aufgenommen.

(ID:48443508)