Fehler vermeiden, Chancen nutzen Kardinalfehler des Risk-Managements

Anbieter zum Thema

IT-Security ist heute eines der wichtigsten IT-Themen. Trotzdem tun sich viele Unternehmen immer noch schwer mit der Wahl der angemessenen Instrumente für ein effektives IT-Risk-Management. Welche Fehler müssen Unternehmen unbedingt vermeiden?

Einer der häufigsten Fehler im Risk-Management ist die mangelnde Abstimmung zwischen Security-Maßnahmen und Geschäftsstrategie.
Einer der häufigsten Fehler im Risk-Management ist die mangelnde Abstimmung zwischen Security-Maßnahmen und Geschäftsstrategie.
(Bild: iQoncept - stock.adobe.com)

Führungskräfte in Unternehmen räumen der IT-Security höchste Priorität ein und sehen sie als strategisches Risiko, das es zu managen gilt. Umfragen unter Führungskräften und Vorstandsmitgliedern deuten nach wie vor darauf hin, dass sie dieser Aufgabe noch nicht gerecht werden. IT-Security-Experten sind von diesen Ergebnissen nicht sonderlich überrascht, da das IT-Security-Management in den Unternehmen meist noch sehr unausgereift ist und viele Führungskräfte mit einem effektiven Management von Sicherheitsrisiken kämpfen. Das bedeutet, dass viele Unternehmen in diesem Bereich noch immer viele Fehler begehen. In der Folge sind die größten Kardinalfehler skizziert, die am häufigsten in den Praxis anzutreffen sind:

Risiko ist nicht gleich Risiko

Angesichts der immer länger werdenden Liste von Bedrohungen, Angriffsvektoren und Schwachstellen, könnten Unternehmen versucht sein, sich mit allen zu befassen. CISOs und Berater sind jedoch gleichermaßen der Meinung, dass ein solch breiter Ansatz definitiv ein Fehler ist. Stattdessen empfiehlt sich eine gezielte Vorgehensweise. Dafür fehlt es oft an einer klaren Vorstellung davon, an welcher Stelle und gegen wen Unternehmen besonders verwundbar sind.

Aus diesem Grunde sollten sie über die Wahrscheinlichkeiten von Bedrohungen und deren Auswirkungen nachdenken. Zu oft starren Unternehmen auf die neusten, schillerndsten Angriffe. Wenn man aber seine größten Risiken analysiert und weiß, wer es womöglich auf einen abgesehen hat und was er dafür benutzt, kann man ein gezieltes Programm zur Risikominderung entwickeln und sich auf die Angriffe konzentrieren, die einem am ehesten Probleme bereiten könnten.

Fehlende Abstimmung von Sicherheit und Geschäft

Viele Unternehmen analysieren nicht, was für das Unternehmen wirklich wichtig ist. Sie messen zwar die technischen Risiken, aber nicht die Auswirkungen auf das Unternehmen. Da sie meist noch zu sehr mit den Tools und dem Zählen von Schwachstellen beschäftigt sind. Das sind jedoch keine Maßstäbe für die Risiken eines Unternehmens! Das heißt, die Verantwortlichen müssen das Risiko an den Sachverhalten festmachen, die für das Unternehmen wichtig sind. In diesem Zusammenhang wird es oft versäumt, die Risikodefinitionen abzustimmen und festzulegen, was als ein (noch) akzeptables Risikoniveau betrachtet wird, was die Kluft zwischen Sicherheit und Unternehmen weiter vergrößert und ein effektives Risk-Management erschwert oder gar unmöglich macht.

Dabei kann es vorkommen, dass die Unternehmen die Risiken und seine möglichen Auswirkungen auch nicht realistisch genug einschätzen. Hierzu ist zwischen dem eigentlichen Risiko und einem Restrisiko zu unterscheiden, das nach der Implementierung von Kontrollen und Maßnahmen der Risikominderung verbleibt. Zu diesem Zweck sollten Unternehmen zu den jeweiligen Geschäftszielen die verbundenen Risiken definieren. Gleichzeitig ist darzulegen, wie das Risiko in welchem Maße und zu welchen Kosten verringert werden kann. Damit können beispielsweise CISOs sehr leicht erklären, warum gerade eine bestimmte Maßnahme für das Unternehmen so besonders wichtig ist und ein bestimmtes Budget erfordert.

Begrenzter Überblick

Führungskräfte neigen dazu, die Risiken nur für Teile ihres Unternehmens zu managen, weil sie sie ihre Firma nicht gänzlich, sondern nur partiell wahrnehmen. Das heißt, dass viele CISOs nicht über ein vollständiges IT-Inventar oder eine vollständige Liste aller Drittanbieter und Cloud-Anwendungen verfügen, die von Mitarbeitern und Geschäftseinheiten genutzt werden. Somit führen viele Unternehmen Risikobewertungsprogramme auf der Basis eines Inventars durch, das nicht vollständig ist. Das kann unterschiedliche Gründe haben. Manchmal sind übernommene Unternehmen nicht vollständig in das Mutterunternehmen integriert. Oder bestimmte Abteilungen betreiben ihren eigenen Technologiebetrieb und errichten Mauern um diese Silos.

Daraus folgt, dass in solchen Fällen die Risiken für das Unternehmen als Ganzes kaum einschätzbar sind. Gleichzeitig eröffnet sich nur ein begrenzter Überblick, weil keine Metriken verwendet werden, die dabei helfen, das Risiko zu quantifizieren und zu beobachten, wie es sich im Laufe der Zeit verändert. Kleine bis mittelgroße Unternehmen erstellen oft wegen restriktiver Budgets oder fehlendem Knowhow keine Risikokennzahlen. Wogegen große dies manchmal unterlassen, weil sie von der Komplexität einer solchen Maßnahme überfordert sind.

Checklisten werden zum Selbstzweck

Die Herausforderungen als auch Komplexität des Risk-Managements haben dazu geführt, dass sich Unternehmen zu sehr auf die Verwendung von allgemeinen Checklisten zur Einhaltung von Vorschriften und Bestimmungen konzentrieren. Sinnvoller wäre es, die besonderen Bedürfnisse der eigenen Organisation zu verstehen, Sicherheitsinitiativen auf die Geschäftsstrategie abzustimmen und Lücken in ihrem Sicherheitsprogramm zu schließen. Damit ist keine pauschale Absage an Checklisten gemeint, sondern die Priorisierung auf die Anforderungen des Unternehmens und nicht die der Checklisten.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Zeitliche Perspektive bleibt unberücksichtigt

Obwohl Sicherheits- oder Compliance-Audits der Unternehmensleitung einen Hinweis darauf geben können, wie gut ein Sicherheitsprogramm funktioniert, warnen Experten eindringlich davor, dass damit meist nur die Performance zum Zeitpunkt des Audits angezeigt und nicht der zukünftige Erfolg garantiert wird. Insbesondere, wenn man bedenkt, wie schnell sich neue Bedrohungen entwickeln und wie schnell Sicherheitsrichtlinien und Risikobewertungen geändert werden müssen, um effektiv gegenzusteuern.

Häufig führen Unternehmen zwar immer wieder einmal Audit-Prozesse durch, aber sie nutzen keine Echtzeit-Bedrohungsdaten, um zu klären, welche Risiken für ihr Unternehmen in diesem Moment relevant sind. Sinnvoller wäre eine kontinuierliche Bewertung der Bereiche, die für sie höchste Priorität darstellen.

(ID:48725975)