:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Large Scale Cyber Risk Management IT-Risikomanagement skalieren und automatisieren
Es ist noch nicht allzu lange her, da wurde die Zuverlässigkeit eines Geschäftspartners allein über eine Bonitätsauskunft beurteilt – das reicht heute nicht mehr! Durch die stetig steigende Vernetzung sehen sich Unternehmen neuen, größeren Risiken gegenüber, die auch neue Ansätze für das Risikomanagement erfordert. Risk Management ist nicht mehr länger nur ein Thema für die ganz großen Unternehmen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Datendiebstähle haben in den letzten Jahren beständig neue Rekordzahlen erreicht. Der Datenverlust von 47.000 Dokumenten durch einen Automobilzulieferer in Kanada zeigte beispielsweise gut, welche Risiken durch den laxen Umgang mit IT-Security bei Geschäftspartnern für ein Unternehmen entstehen können. Aber nicht nur Datenverluste, sondern auch Ausfälle in der komplexen Lieferkette können unabsehbare Folgen haben.
Zunehmende Spezialisierung, schnelle Produktentwicklungen und flexible Anpassungen an den Markt lassen sich heute nur durch eine hochkomplexe, oft internationale, Lieferantenstruktur realisieren. Vorprodukte werden Just-in-time geliefert um eine schlanke Lagerhaltung zu ermöglichen, gemeinsame Produktentwicklungen senken Kosten, Industrie 4.0 schafft neue Geschäftsfelder - all dies erfordert neue und komplexe IT-Vernetzungen.
Industrie
Nicht nur Streiks, hohe IT-Komplexität oder der Ausfall eines Lieferanten durch Insolvenz, sondern auch die immer stärker steigenden Risiken durch Cyber-Attacken gefährden heute die Produktion. Eine erfolgreiche Cyber-Attacke kann einen Lieferanten für Tage außer Gefecht setzten. Noch viel schwerwiegender kann der Verlust von unternehmenseigenen, vertraulichen Informationen sein.
Erst wenige Unternehmen haben dies erkannt. Sie haben die IT-Sicherheit bereits heute neben der Bonitätsprüfung in ihr Vendor-Risk- oder Supply-Chain-Management integriert. Üblicherweise erfolgt das – abhängig von der strategischen Wichtigkeit des Geschäftspartners – durch das Einfordern von Zertifizierungen (z.B. ISO / IEC 27001 bzw. TISAX), Fragebögen oder durch Risiko-Assessments oder Audits.
Aber alle diese Verfahren haben auch typische Nachteile. So ist das Auditieren von Lieferanten teuer, zeitaufwändig und skaliert nicht. Zudem erfordert es eine rege Mitwirkung des Partners. Die Aussagekraft von Fragebögen ist oft „fragwürdig“ und ob das angeforderte Zertifikat tatsächlich wirkt, stellt sich oft erst zu spät heraus. Somit stehen selbst Unternehmen die das IT Risiko im B2B Umfeld bewerten möchten vor einem Dilemma. Hohe Kosten, fehlende Skalierung oder geringe Aussagekraft. In der Folge wird das IT-Risk-Management oft nur bei einem Bruchteil der Lieferanten angewendet.
Versicherungen
Auch Versicherer haben das Risiko erkannt und bieten entsprechende Produkte an. Cyber-Versicherungen helfen Schäden durch IT-Sicherheitsvorfälle zu begrenzen, stellen aber die Versicherung vor die gleiche Herausforderung.
- Wie geht mein Kunde mit IT-Sicherheit um?
- Welches Risiko hat die Versicheeinenrung zu tragen?
Bei großen Versicherungskunden kann ein Risiko-Assessment wirtschaftlich durchaus sinnvoll sein, aber der Zielmarkt der Versicherer ist viel größer. Von den ca. 3,5 Mio Unternehmen in Deutschland haben nur knapp 15.000 mehr als 250 sozialversicherungspflichtige Mitarbeiter. Wie kann ein wirtschaftliches und sinnvolles IT-Risikomanagement auch für kleine Kunden erfolgen?
Angepasstes Risikomanagement
Large Scale Cyber Risk Management bietet hier einen Lösungsansatz. Bei dieser Technik wird eine Vielzahl öffentlich verfügbarer Informationen über Unternehmen gesammelt, verdichtet und bewertet.
Als Bewertungsgrundlage für Large Scale Cyber Risk Management dienen zum einen technische Daten, beispielsweise ob die Internetseiten eines Unternehmens verschlüsselt sind und ob diese Verschlüsselung den Vorgaben des BSI entspricht. Ähnliche Bewertungen finden auch für E-Mails sowie für andere extern erreichbare Dienste (VPNs, VoIP usw.) statt. Deutliche Mängel wie der Einsatz von unsicheren Verschlüsselungen oder angreifbare Systeme werden hierbei erkannt und schlagen sich entsprechend negativ in der Risikobewertung nieder. Zum anderen werden neben technischen Informationen oft auch andere, nicht technische Faktoren, wie die Mitgliedschaft in entsprechenden Verbänden oder relevante Zertifizierungen berücksichtigt.
Aus dieser Vielzahl von einzelnen Informationen ergibt sich dann durch den individuellen Scoring-Algorithmus des Anbieters ein Scoringwert. Dieser Scoringwert ist ein starker Indikator für den Umgang mit IT-Sicherheit der einzelnen Unternehmen. Abweichungen können leicht erkannt und entsprechend überprüft und gegebenenfalls korrigiert werden. Durch den vollautomatischen Ansatz ist diese Lösung sowohl preiswert als auch skalierend.
Grenzen des Scoring
Systembedingt hat auch diese Technik ihre Grenzen. Das vollautomatische Bewerten ersetzt keine individuellen Audits oder Risikobewertungen, es ergänzt sie vielmehr. Cyber Scoring liefert die Grundlage für methodisches IT-Risikomanagement in großen Umgebungen mit mehreren hunderten oder gar tausenden Lieferanten oder Kunden.
Die Zukunft
Sowohl Cyber Risiken als auch die IT gestützten Abhängigkeiten im B2B Umfeld steigen in Zukunft an. Ein rein bonitätsgetriebenes Risikomanagement wird diesen Anforderungen nicht gerecht. Ein Cyber Scoring als Grundlage für eine IT Risikobewertung wird sich somit bald als zusätzliches Instrument in der Risikobewertung etablieren. Insbesondere dann, wenn Cyber Scorings einfach und preiswert verfügbar sind.
Über den Autor: Heiko Kropf ist Geschäftsführer der CyDIS Cyber Defense und Information Security GmbH.
(ID:45607706)
:quality(80)/images.vogel.de/vogelonline/bdb/1945100/1945176/original.jpg "Das IT-Risikomanagement ist als ein aktiv einzusetzendes Instrumentarium zur Unternehmenssteuerung anzusehen, das Firmen wettbewerbsfähig hält. (peshkov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1887700/1887712/original.jpg "Enterprise Risk Management (ERM) ist ein Konzept für ein ganzheitliches, unternehmensweites Risikomanagement. (gemeinfrei)")