:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neue Wege für Budgets in der IT-Sicherheit Proaktive, risikobasierte IT-Security-Budgets
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Angesichts der stetig zunehmenden Bedrohungen durch Hacker wird es immer wichtiger, ausreichend Budget für die IT-Security bereitzustellen. Viele CISOs wenden etwa zehn Prozent des gesamten IT-Budgets für IT-Security auf. Ist das angemessen?
Angesichts der stetig zunehmenden Bedrohungen durch Hacker-Angriffe wird es immer wichtiger, genügend Budget für Initiativen der IT-Security bereitzustellen. So kann eine jetzt eingesparte größere Summe später leicht ein Vielfaches ausmachen, wenn ein Ransomware-Angriff die Firewall eines Unternehmens durchbricht oder ein Phishing-Versuch zu einem Leck sensibler Kundendaten führt. Selbst im Falle einer abgeschlossenen Cyber-Versicherung zur direkten Minderung des Schadens, kann ein erfolgreicher Angriff dennoch erhebliche Reputationsschäden, verlorene Kunden und hohe Anwaltskosten nach sich ziehen.
Überlegungen für eine Budgetierung
Der Betrag, den Unternehmen für die IT-Security im Verhältnis zu ihrem IT-Gesamtbudget ausgeben, kann je nach Branche und Organisation sehr unterschiedlich ausfallen. Daher ist es grundsätzlich schwierig, wenn CISOs aufgefordert werden, einen bestimmten Prozentsatz vorzugeben. Hierzu gibt es jedoch eine Reihe von Kriterien, die für eine Bestimmung des IT-Security-Budgets berücksichtigt werden sollten:
Compliance-Vorschriften
Je nach Branche schreiben gewisse Compliance-Vorschriften quasi die Zuweisung von Sicherheitsbudgets vor. Dies gilt beispielsweise für das Gesundheitswesen. Um diese Anforderungen zu erfüllen und potenziell hohe Bußgelder zu vermeiden, müssen CISOs ein Budget für bestimmte Tools und Technologien ausgeben.
Kontinuierliche Risikobewertungen
Proaktiv operierende CISOs überwachen laufend die Wirksamkeit von Sicherheitskontrollen und kalibrieren diese gegen vorherrschende Angriffsvektoren. Wenn die Risiken die zuvor vereinbarten Schwellenwerte überschreiten, müssen CISOs die Bedrohung neu bewerten und die Risiken mit dem Management besprechen. Tools und Services, die in dieser Kategorie budgetiert werden sollten, umfassen im Wesentlichen Cyber-Versicherungen, Penetrationstests, Bug-Bounty-Initiativen und Reaktionen auf Vorfälle.
Laufendes Sicherheitstraining
Es ist zwingend erforderlich, dass jeder Mitarbeiter und Auftragnehmer in kontinuierliche Sicherheitsschulungen einbezogen wird. Vorausschauende CISOs arbeiten mit ihren Kollegen aus den Geschäftsbereichen zusammen, um dies zu einer reibungslosen und wirkungsvollen Übung zu machen.
Neue Geschäftsinitiativen
Jede neue betriebliche Initiative muss von den daraus entstehenden IT-Security-Risiken bewertet und gegebenenfalls mit einem Sicherheitsbudget versehen werden. Beispielsweise können Daten an einen Drittanbieter im Ausland ausgelagert werden oder der Kundensupport kann entscheiden, alle Kundensupportfälle auf einer Cloud-Plattform zu speichern. Beide Szenarien stellen zusätzliche Risiken dar, die von CISOs vor der Implementierung zu berücksichtigen sind.
Allgemeine Veränderungen
Diese können mit Menschen oder Technologien zusammenhängen. Aus der Perspektive der Menschen ist ein Beispiel das hybride oder in einigen Fällen dauerhafte Heimarbeitsmodell zu nennen. Vom Onboarding der Mitarbeiter bis hin zur Nutzung gemeinsam genutzter Heim-Router durch die Mitarbeiter, lokale Offline-Datenspeicherung, persönliche Geräte und die Anforderungen an die Privatsphäre zuhause bei Video-Konferenzen erfordern alle Maßnahmen gewisse Sicherheitsanpassungen und eine Neuzuweisung des Budgets. Beispiele für Technologiewechsel sind der Wechsel in die Cloud oder der Wechsel von einem einzigen Anbieter zu einem Hybrid-Anbieter oder das Outsourcing von Engineering. Jede Ebene erfordert eine Neubewertung bzw. Neuzuweisung von Budgets.
Festlegung eines IT-Budgets
Es gibt einige Ansätze, die CISOs anwenden können, um nachfolgende Aktivitäten umzusetzen:
Reaktiver vs. proaktiver Ansatz
Reaktive Ansätze sind die Reaktion auf die Verletzung oder das Ereignis bzw. das Aufdecken und Bewerten von Schäden. Das heißt, ein Hacker dringt in das Netzwerk ein und plötzlich wird eine neue Firewall, IDS/IPS, Virenschutz und eine ganze Reihe anderer Präventionsprodukte, um dem Ansturm von Angriffen ein Ende zu setzen, benötigt.
Ein solcher Ad-hoc oder reaktiver Ansatz zur Festlegung des Budgets für IT-Security mag für einige wenige Unternehmen funktionieren, aber für die meisten jedoch nicht. Ferner konzentrieren sich die meisten IT-Security-Budgets darauf, Datenschutz-Verletzungen zu verhindern und Hacker fernzuhalten. Daher ist es nur sinnvoll, von einem reaktiven Budgetierungsansatz zu einem proaktiven Budget für Informationssicherheit überzugehen.
Ein proaktiver Ansatz für IT-Security-Budgets bedeutet, die Denkweise eines Hackers zu verstehen und dann eine Strategie um diesen Ansatz herum aufzubauen. Aus diesem Grunde muss das IT-Security-Team ein Experte darin werden, Möglichkeiten zu finden, in das eigene Unternehmensnetzwerk einzudringen, und dann Maßnahmen ergreifen, um das Problem zu beheben. Dafür sind regelmäßige Risiko- und Schwachstellenbewertungen sowie Penetrationstests und Red-Team- bzw. Blue-Team-Übungen in Betracht zu ziehen.
Benchmark-Ansatz
Das Benchmarking untersucht, wie jemand arbeitet, und vergleicht diese Arbeitsweise mit Kollegen, einem Framework, einer umfassenden Studie oder einer Gruppe befragter Unternehmen. Wenn ein Unternehmen die Best Practices anderer Sicherheitsteams (Organisationsstruktur, Höhe der Investitionen in Sicherheit, KPIs usw.) fokussiert, kann es die Ergebnisse quantifizieren und ein Standard-Budget für IT-Security erstellen.
Risikobasierter Ansatz
Ein risikobasierter Ansatz besteht darin, Budget-Überlegungen erstmal beiseite zu legen und zunächst zu bewerten, was zum Schutz vor Bedrohungen der IT-Security überhaupt notwendig ist. Der Ausgangspunkt sollte eine fundierte Risikobewertung sein, nicht die Festlegung einer Summe in Euro. Natürlich haben alle Unternehmen Grenzen, wie viel sie für die IT-Security aufwenden können.
Dennoch ermöglicht der Risk-First-Ansatz einem Unternehmen, bewusst zu entscheiden, welche Bedrohungen akzeptabel sind, anstatt das Unternehmen potenziell lähmenden Angriffen auszusetzen. Ein risikobasierter Ansatz wird oft als Budgetierungsmethode für ausgereifte Organisationen angesehen, da sie Risiken über mehrere Domänen hinweg kategorisieren und basierend darauf, die IT-Security-Risiken minimieren und budgetieren können.
(ID:49487963)
:quality(80)/images.vogel.de/vogelonline/bdb/1953500/1953596/original.jpg "Viele Unternehmen konzentrieren sich zu sehr auf die Erfüllung von Compliance-Anforderungen und nicht genug darauf, wirklich Sicherheit herzustellen. (BillionPhotos.com - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1933800/1933897/original.jpg "Cybersecurity ist kein Add-On, sondern der Schlüssel für eine erfolgreiche Digitalisierung. (photon_photo - stock.adobe.com)")