:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/e1/76e1334fe3b40ca0d4148a8eb166b4b0/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/ac/90/ac909e6e2800db299da86bd1add1f12b/0111445793.jpeg "Sophos ereweitert sein internationales Managed Detection and Response (MDR) Team um ein zusätzliches Team in Deutschland. (Bild: Sven - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/f6/8ff67f37275779fb9e5b52248146b4d0/0111493119.jpeg "Backups sind ein hoch komplexes Thema – angefangen bei der Auswahl der richtigen Backup-Lösung, über die pasende Methode, bis hin zur Planung und zum Test der Wiederhestellung der gesicherten Daten gibt es viel zu beachten. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Modernes Risikomanagement in Unternehmen Quantifizierbare Cyberrisiken und der Wert von IT
Modernes IT-Risikomanagement ist heute Teil der strategischen Unternehmensführung. Unternehmen müssen sich Unternehmen über die Risiken der Vernetzung aller Systeme exakt bewusst sein. Verschiedene Bedrohungen und die daraus resultierenden Risiken über Unternehmensbereiche, Verantwortlichkeiten und Aggregationsebenen hinweg müssen unabhängig von Unternehmensgröße oder der Branche berücksichtigt werden.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Aufgabe des Risikomanagements besteht in der Existenz- und Zukunftssicherung des Unternehmens. Es geht um die Absicherung der Unternehmensziele unter wirtschaftlichen, finanziellen und sozialen Aspekten. Die Betriebssicherheit der IT ist nur ein Teilbereich des unternehmerischen Risikos, insbesondere mit den zunehmenden Hackerangriffen. Während die anderen Risiken schon immer bestehen, rückt die IT mit ihrem Risikopotenzial zunehmend in unser Bewusstsein. Die Frage, die man sich aktuell stellen sollte, ist also: Wie kann IT-Risikomanagement modernisiert und automatisiert werden, um den neuen Herausforderungen gewachsen zu sein.
Moderne Lösungen fußen auf Automatismen
Um erfolgreiches Risikomanagement vornehmen zu können, muss das bestehende System zunächst analysiert werden. Das geschieht mit Hilfe von Security Audits. Hierbei wird eine systematische Bewertung der Sicherheit des Informationssystems einer Firma in seiner ganzen Breite ermittelt, um die Schwachstellen im IT-Netzwerk zu finden. Zu solchen Prüfungen gehören normalerweise klassische Sicherheitsscans (die Konfigurationen und Umgebung analysieren), die Überprüfung der Zugangsprotokolle bei Betriebssystemen und Applikationen, sowie die Analyse des physikalischen Zugangs zum Netzwerk und die Verfahren zur Informationsverarbeitung.
Einige Unternehmen nutzen jedoch eher veraltete Systeme, um das Risiko von Cyberattacken zu bewerten und diese vernachlässigen oftmals die externen Faktoren in ihrer Analyse – ein potentiell fataler Fehler. Denn die Gefahr in Form von Schwachstellen kann auch von Partnern und Schnittstellen außerhalb des eigenen Netzwerks kommen.
Künstliche Intelligenz (KI) hält immer mehr Einzug in alle (alltäglichen) Bereiche der IT und auch Unternehmensstruktur, daher ist es nicht verwunderlich, dass auch im Rahmen der Automatisierung dieser Security Audits einige Fortschritte gemacht werden. Jedoch haben es noch nicht alle Anbieter in diesem Sektor geschafft diese Resultate quantifizierbar zu machen. Zudem ist ein Problem dieser Analysen, dass das Managementlevel oft nichts mit den Ergebnissen anzufangen weiß.
Doch der Sektor beginnt sich dahingehend anzupassen. Ein Unternehmen, das sich hierzu Gedanken gemacht hat, ist der US-amerikanische Hersteller SAFE Security. Die Firma hat sich darauf spezialisiert das Risiko auf der Basis eines quantifizierbaren Scores (Cyber Risk Quantification) darzustellen und einen Realitätsbezug durch den monetären Wert des Risikos, dem das Unternehmen durch Sicherheitsschwachstellen ausgesetzt ist, zu schaffen.
Dieser sogenannte Safe Score wird nicht nur auf Basis moderner Machine Learning Technologie berechnet, sondern bezieht deutlich mehr Level ein als herkömmliche Security Audits. Die Schwachstellen werden firmenweit und in Echtzeit analysiert. Dabei werden verschiedenste firmeninterne sowie externe Arbeitsmethoden und Einstellung berücksichtigt, die die Sicherheit betreffen. Zudem wird bei der Erstellung die gesamte Supply-Chain berücksichtigt, also die Praktiken und Schwachstellen von Partnern und Personen, die extern mit dem Unternehmen (oder seinen Mitarbeitern) interagieren. Außerdem werden die jeweils geltenden Policen bzw. Regularien und der bestehende Cybersecurity Stack miteinbezogen.
Risiko in monetäre Wertigkeit ableiten
Eine Art Score, wie der Safe Score von Safe Security, hilft dabei diese Bandbreite an Faktoren zu vereinheitlichen. Dieses Bewertungssystem, das für die Wahrscheinlichkeit eines Sicherheitsverstoßes im Unternehmen steht, hat eine Skala von 0 (schlechtester Wert) bis 5 (höchster Wert und Sicherheitsstandard). Dieser Score wird sowohl auf der Makroebene für das gesamte Unternehmen, als auch auf der Mikroebene für einzelne Personen, Geräte und Applikationen, IP-Adressen, Server oder Cybersicherheitsprodukte entwickelt.
Machine Learning Algorithmen zusammen mit Lösungen, wie der auf dem Bayes’sche Netz (dazu später mehr) basierende Risikoanalysemaschine, helfen dabei die Risikowahrscheinlichkeit genaustens zu berechnen und damit auf einen quantifizierbaren Score zu schließen.
Von dem Score kann wiederum der monetäre Wert abgeleitet werden, den ein Sicherheitsverstoß das Unternehmen kosten würde. Auf dieser Basis, die auch für das Management nachvollziehbar ist Dank der quantifizierbaren Resultate, können IT Sicherheitsteams fundierte Entscheidungen für die nächsten Investments treffen. Zudem zeigt es damit auch welche Maßnahmen priorisiert getroffen werden müssen, um das Netzwerk zu sichern und wo die größten Schwachpunkte liegen.
Hierbei wurden alle Kontrollen dieser Standards kodifiziert und dadurch ein unglaubliches Maß an Automatisierung eingeführt in der Art und Weise, wie all diese Kontrollen auf Menschen und verschiedene Vermögenswerte in der Organisation angewendet werden. Durch die Kodifizierung können auch die verschiedenen „Sprachen“, die die jeweiligen Tools „sprechen“ zusammengebracht und weiterverarbeitet werden. So kommt man letztlich auf die präskriptive und quantitative Bewertung in Form des Scores. All das fließt in das das gesamte organisatorische Risiko.
Was verbirgt sich hinter dem Bayes‘sche Netz?
Der auf dem Bayes‘schen Netz basierende Risikoanalyse-Engine von SAFE Security wurde zusammen mit dem MIT in Boston entwickelt und hilft nun dabei die Wahrscheinlichkeit des Risikos für eine Sicherheitsverletzungen von Unternehmen zu ermitteln.
Das Bayes’sche Netz (auch bayessches Netz), das nach dem Mathematiker Thomas Bayes benannt wurde, ist ein statistischer Ansatz. Dieser ermöglicht es auf der Basis von Daten quantitative und inhaltliche Erkenntnisse über den Zusammenhang und die Abhängigkeit von verschiedenen Variablen zu gewinnen. Letztlich erhält man damit ein Wahrscheinlichkeitsmodell.
Hierbei werden Variablen, oft auch als Knoten bezeichnet, in einem Datenset positioniert, die wiederum mit Kanten (auch Pfeile/arcs) verbunden werden, um so die bedingte Unabhängigkeit zwischen den Variablen aufzuzeigen. Diese Art von antizyklischem Graph erlaubt tiefere Einsichten der Zusammenhänge in multivariaten Daten als andere klassische Modelle.
Die Methode wird häufig in empirischen Untersuchungen verwendet und kann beispielsweise den Zeitpunkt für Wartungsarbeiten für ein Gerät oder potentielle Risiken/Nutzen von Forschungsprojekten ermitteln und abschätzen. In den 90er Jahren entwickelte sich das Modell zu einem der wichtigsten Ansätze der Künstlichen Intelligenz (KI).
Risiko visualisieren
Modernes Risikomanagement ermöglicht CISOs, CIOs und andere Risiko- und Compliance-Beauftragte ihr Cyber-Risiko zu verbildlichen, zu quantifizieren und zu verstehen. Lösungen wie der Safe Score bringen verschiedene Teams und Ebenen, aber auch Applikationen und Regularien in einem Unternehmen auf einen Nenner. Vorstandsverhandlungen und Entscheidungen, die sich mit Prioritätensetzung für wichtige Cyber-Risiko-Initiativen, Sicherheitsbudgetzuweisung und Cyberrisiko und deren Versicherungen drehen, können somit rationalisiert werden.
Über den Autor: Saket Modi ist Mitbegründer und CEO von Safe Security, einer Plattform für Cybersicherheit und die Quantifizierung von digitalen Geschäftsrisiken. Der studierte Informatik-Ingenieur gründete Safe Security im Jahr 2012, als er sich in seinem letzten Jahr des Ingenieurstudiums befand. Safe Security wurde am IIT Bombay gegründet und wird vom ehemaligen Vorstandsvorsitzenden und CEO von Cisco, John Chambers, unterstützt. Das Unternehmen schützt die digitale Infrastruktur mehrerer Fortune-500-Unternehmen auf der ganzen Welt mit seiner Plattform zur Messung und Minderung von Cyberrisiken namens SAFE. Saket ist unter anderem in den Listen der 40-unter-40 des Fortune Magazine, der 35-unter-35 des Entrepreneur Magazine und der 30-unter-30 des Forbes Magazine vertreten.
(ID:48111972)
:quality(80)/images.vogel.de/vogelonline/bdb/1928900/1928950/original.jpg "IT-Security muss einen deutlich höheren Stellenwert einnehmen und Basis aller Digitalisierungsprojekte werden. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942400/1942450/original.jpg "Die Kooperation von Palo Alto Networks und IBM soll zu einer KI-gestützten Sicherheitsautomatisierung für 5G-Netzwerke führen. (© – Yingyaipumi – stock.adobe.com)")