:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Vorausschauende Security-Strategien entwickeln Investitionen in Security-Lösungen richtig begründen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Unternehmen und Experten sind besorgt, dass Angreifer durch den kriegsbedingten Rückgang der ukrainischen Dienstleistungen vermehrt in kritische Infrastrukturen eindringen und dass sie dadurch den Zugang zu ihnen oder die Kontrolle über sie verlieren. Regierungen und kommerzielle Sicherheitsorganisationen haben bereits Kollateralschäden bei Organisationen außerhalb Europas bestätigt. Darum sollte in diesen gefährlichen Zeiten ein vorausschauender Ansatz verfolgt und die notwendigen Investitionen in Security-Lösungen so begründet werden, dass eine Investition unumgänglich wird.
Nach Angaben des ukrainischen Außenministeriums verlassen sich mehr als 100 der weltweit führenden 500 Unternehmen zumindest teilweise auf ukrainische IT-Dienstleistungen, wobei mehrere ukrainische IT-Firmen zu den 100 wichtigsten Outsourcing-Optionen für IT-Dienstleistungen weltweit gehören. Vielfach fehlen nun diese Dienstleistungen, so dass Software möglicherweise nicht mehr ad hoc auf den neuesten Stand gebracht wird und digitale Produkte weniger durch neue ersetzt werden können. Cyberangriffe auf die digitale Infrastruktur könnten dies ausnutzen und größere Folgeschäden für deutsche Firmen erzeugen. Technischer Fortschritt ist stets abhängig von denen, die diesen Fortschritt vorantreiben. Kaum jemand hat sich vorstellen können, dass es aufgrund des Krieges zu Einschränkungen und Problemen in der IT-Branche kommen könnte. Wenn digitale Steuerungen von Maschinen und Geräte, Software-Updates und die Cybersicherheit in Gefahr geraten, dann sollte auch in der IT und in der Unternehmensstrategie ein Denken Einzug halten, sich künftig besser auf mögliche Ereignisszenarien einzustellen, damit man ihnen gut gewappnet gegenübertreten kann.
Heutzutage steht die Frage des Risikos bei allen Gesprächen im Vordergrund. Wie die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) in ihrem Leitfaden "Shields Up" darlegt, besteht der erste Schritt zur Widerstandsfähigkeit darin, die Wahrscheinlichkeit eines schädlichen Cyberangriffs von vornherein zu verringern. Um die Wahrscheinlichkeit eines Vorfalls zu verringern, muss jedoch zunächst die Wahrscheinlichkeit eines solchen Vorfalls erkannt und gemessen werden. Denn schon seit Jahren drängt die Sicherheitsbranche die Unternehmensentscheider, Cyber-Bedrohungen als Unternehmensbedrohungen anzuerkennen und vorausschauend zu handeln. Heute scheinen die Entscheidungsträger der Unternehmen etwas mehr zuzuhören, denn immerhin stiegen im Jahr 2021 die durchschnittlichen Gesamtkosten einer Datenschutzverletzung um fast 10 Prozent auf 4,24 Millionen US-Dollar. Weltweit haben die Investitionen in Cybersicherheit weiter zugenommen, die zwischen 2021 und 2025 voraussichtlich 1,75 Billionen US-Dollar übersteigen werden. Doch trotz der dieser Investitionen nehmen sowohl die Häufigkeit als auch die finanziellen Auswirkungen von Sicherheitsverletzungen weiter zu. Im Oktober 2021 wurden bereits mehr Sicherheitsverletzungen gemeldet als im gesamten Vorjahr.
Das Kind sollte nie in den Brunnen fallen
Was kann ein Unternehmen tun, um in diesen beispiellosen Zeiten einen vorausschauenden Ansatz zu verfolgen und die notwendigen Investitionen zu begründen? Denn es ist wie immer: Ist das Kind in den Brunnen gefallen, werden schnell immense Gelder in die Hand genommen, um es dort wieder herauszuholen. Ist aber noch nichts passiert, dann glaubt man auch nicht so richtig daran, dass etwas passieren wird. Aber wenn etwas schiefgehen kann, dann wird es irgendwann auch schiefgehen.
Die Handlungsweisen in solchen Situationen sind leider häufig kontraproduktiv. Bei modernen Security-Lösungen wie beispielsweise Zero Trust verstehen die Vorstände meist nicht, was deren Umsetzung für ihr Unternehmen bedeutet und welche Vorteile daraus entstehen. Sie sehen nur die gewaltigen Umstrukturierungen des Unternehmens, des Einsatzes von Mitarbeitern und von Arbeitsprozessen und investieren lieber in ihre vorhandene anfällige Technologie. Dabei wird oft zu viel gemacht. Wird eine Sicherheitslücke offengelegt, werden schnell neue Produkte implementiert. Das führt teilweise zu unüberschaubaren Anhäufungen. Manche Unternehmen nutzen bis zu 130 Cybersicherheitsdienste und -produkte, was zu einer Datenexplosion führt.
Valide Daten sind auch für die Cybersicherheit unerlässlich, aber eine unüberschaubare Datenlast überfordert die Sicherheitsteams und verhindert die Möglichkeit, die richtigen Prioritäten im unternehmerischen Risikomanagement zu setzen. Die CSOs jonglieren mit isolierten Sicherheitsprodukten, ertrinken in Datenmengen und versuchen gleichzeitig, dem Vorstand eine Strategie zu präsentieren, die er versteht. Das kann nicht funktionieren. Oft reagieren die Unternehmen erst, wenn der Wettbewerb getroffen wurde. Dadurch hinken sie den Angreifern immer hinterher. Sie konzentrieren sich auf Bedrohungen der Vergangenheit, aber nicht auf das, was künftig auf das eigene Unternehmen zukommen kann. Auch werden oft die falschen Tools verwendet wie beispielsweise das Heatmap-Prinzip mit mehr oder weniger intuitivem Ampelsystem. Doch das Rot-Gelb-Grün-System ist aber viel zu wage und zu oberflächlich, um wirklich zukunftssichere sicherheitsstrategische Entscheidungen treffen zu können.
Sicherheitskennzahlen bereitstellen
Wenn ein Chief Security Officer (CSO) und ein Vorstandsmitglied zusammen in einem Aufzug stehen, sollte er in der Lage sein, die Echtzeit-Cyber-Risikolage des Unternehmens in dieser kurzen Aufzugsfahrt zu erläutern. Das Risiko sollte in realen, quantifizierbaren Begriffen gemessen werden, die sich auf präzise Datenpunkte und die finanziellen Auswirkungen einer Datenschutzverletzung stützen, die durch rationelle Investitionen abgewendet werden könnten. Das kann der CSO vorbereiten, indem er Cyberrisiken quantifiziert. Was kostet es dem Unternehmen, wenn die Produktion durch einen Angriff für drei Tage lahmliegt? Wie hoch ist der finanzielle Schaden, wenn Kundendaten gestohlen oder verschlüsselt werden? Was passiert, wenn die Daten wichtiger Patente entwendet worden sind? Was sind die finanziellen Auswirkungen, wenn plötzlich Fachkräfte intern oder extern fehlen, um die Sicherheitssysteme zu pflegen und aktuell zu halten? Was kosten dem gegenüber adäquate (Sicherheits-)Lösungen, die solche Situationen verhindern? Cyberrisiken sollten sich auf solche präzisen Datenpunkte fokussieren und die finanziellen Auswirkungen einer Sicherheitsverletzung aufzeigen, welche durch rationelle Investitionen und Initiativen abgewendet werden können.
Dabei handelt es sich um ein Modell, das sich auf die Verwendung mehrerer Datenpunkte konzentriert, um einen greifbaren Wert des Risikos für jeden Vermögenswert im Unternehmen zu schaffen, der in Echtzeit dargestellt wird. So lässt sich das Risiko leicht in die finanziellen Auswirkungen umrechnen und in eine Sprache übertragen, die jeder im Vorstand versteht. Der Vorstand will beispielsweise wissen, um wie viel der Schadenswert durch Cybersicherheits-Strategien gesenkt werden kann. Anstatt zu erklären, warum eine bestimmte Cybersicherheits-Richtlinie dazu beiträgt, die Cyberrisikoposition zu verbessern, sollte ein CSO erklären, um wie viel die finanziellen Auswirkungen des Cyberrisikos durch die Richtlinie verringert werden kann. Informationen sind kontextabhängig, und im Falle der Cybersicherheit müssen die CSOs den Fachjargon in einen geschäftlichen Kontext stellen, um bessere, robustere Cybersicherheitsstrategien zu ermöglichen. Die Quantifizierung von Cyber-Risiken bringt den fehlenden geschäftlichen Kontext in Sicherheitsgespräche ein, und zwar durch den einen Wert, der für die Entscheidungsfindung wichtig ist - die Auswirkungen auf den endgültigen Geldwert.
Über den Autor: Saket Modi ist Mitbegründer und CEO von Safe Security. Modi wurde unter anderem in die 40-unter-40-Liste des Fortune Magazine, die 35-unter-35-Liste des Entrepreneur Magazine und die 30-unter-30-Liste des Forbes Magazine aufgenommen.
(ID:48443508)
:quality(80)/p7i.vogel.de/wcms/02/11/0211f5095c6c1f9b79804d865edda9eb/0111241212.jpeg "Die Verringerung des jährlichen Verlusts, der durch einen Cyberangriff zu erwarten ist, ist der bedeutendste Faktor, durch den sich Investitionen in die Cybersicherheit für ein Unternehmen auszahlen. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/fb/f6fb0c814009d6e08024f5e9cc44984b/0114780756.jpeg "IT-Sicherheit wandelt sich immer mehr zur Unternehmenssicherheit und wird für Firmen und ihre Führungsorgane somit zur haftungsrechtlich nicht delegierbaren Chefsache. (Bild: Gorodenkoff - stock.adobe.com)")