:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/15/ff15bff08f3786c0748546eeaa5f39af/0115423531.jpeg ""Alles was Sie zu Data Security Posture Management wissen sollten", ein Interview von Oliver Schonschek, Insider Research, mit Sebastian Mehle von Varonis. (Bild: Vogel IT-Medien / Varonis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Risiken in digitalen Ökosystemen mindern Reifegradmodelle für die IT-Security
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Mit der Zunahme von Cyber-Bedrohungen ist es für Unternehmen geboten, ihre Ansätze zum Thema IT-Security zu überdenken. Reifegradmodelle bieten eine gute Möglichkeit, regelmäßig zu bewerten, auf welchem Security-Niveau sie sich aktuell befinden.
Reifegradmodelle sind eine Sammlung von Best Practices, deren Einhaltungsgrad Unternehmen auf einer Skala von niedrigeren „Reifegraden“ zu höheren Eignungs- und Zertifizierungsstufen voranbringen. Zertifizierungen nach einem Reifegradmodell bedeuten, dass sich ein Unternehmen dazu verpflichtet hat, seine Prozesse und Praktiken innerhalb der Domänen eines Modells auf ein nachhaltiges Leistungsniveau zu verbessern.
Das Anlehnen von Security-Praktiken an bewährte Modelle, von denen einige auf bestimmte Branchen zugeschnitten sind, kann dabei helfen, Security-Programme schneller auszureifen, die Sicherheitslage allgemein zu verbessern und vor allem Risiken zu reduzieren.
In einem erprobten Reifegradmodell sind eine Vielzahl von Prozessen, Tools und Akteure aufeinander abgestimmt und wirken optimal zusammen, um ein Höchstmaß an Effektivität zu erzielen. Ausgereifte Security-Programme finden nicht nur leichter Akzeptanz unter der C-Suite und dem Vorstand, sondern werden auch von den Abteilungen im gesamten Unternehmen besser verstanden.
Standard-Reifegradmodelle für die IT-Security
Zu den gängigen Reifegradmodellen, die meist als Goldstandard gelten, gehören beispielsweise das NIST Cybersecurity Framework, die CIS 18 und der Health Insurance Portability and Accountability Act (HIPAA).
Jedes Reifegradmodell erfordert umfassende Kenntnisse über die IT-Security eines digitalen Ökosystems. Als weltweit führende Plattform für Sicherheitsbewertungen bietet beispielsweise BitSight die Transparenz, die einem Unternehmen dabei helfen kann, ihre Sicherheits- und Risikoprogramme zu verfeinern.
- NIST-Cybersicherheits-Framework: Das National Institute of Standards and Technology (NIST) ist ein Reifegradmodell für IT-Security, das nicht nur von US-Organisationen und Unternehmen verwendet wird. In diesem Modell ist die Etablierung und Kommunikation von Risikotoleranz der Schlüssel zur Erhöhung der Sicherheit. Das NIST-Framework berücksichtigt eine sich schnell entwickelnde Bedrohungslandschaft und rät Sicherheitsteams, ihre Überwachungstechniken und Abhilfestrategien an die jeweiligen Bedrohungen anzupassen.
- CIS 18: Dieses Reifegradmodell, das vom Center for Internet Security (CIS) erarbeitet wurde, besteht aus 18 kritischen Kontrollmechanismen zum Schutz eines Netzwerks vor Hacker-Angriffen. Das CIS 18-Modell ist so konzipiert, dass es allumfassend ist und daher große Aufmerksamkeit für die Cybersicherheits-Managementprozesse einer Organisation erfordert.
Der Weg zur Reife in der IT-Security
Im Folgenden sind die einzelnen Schritte eines ausgereiften IT-Security-Programms und deren Indikatoren am Beispiel des CIS 18 skizziert, die jeweils wiederum auf die Notwendigkeit einer größeren Reife hinweisen:
Organisationen mit niedrigem Reifegrad
Merkmale einer Level-1-Reife
- Unvorhersehbare Prozesse bzw. Ad-hoc-Prozesse.
- Schlechte und inkonsistente Kontrollen.
- Mangel an Betriebs- oder Governance-Modellen.
- Geringe Qualifikationstiefe der Mitarbeiter oder zu kleines Team.
- Minimale Automatisierung oder Tool-Implementierung.
- Schlechte Asset-Verwaltung.
- Minimale oder fehlende Maßnahmen oder Überwachung.
Wesentliche Maßnahmen
- Identifizierung und Priorisierung der Sicherheitsrisiken und Schwachstellen.
- Etablierung eines umsetzbaren Plans, um dringende Sicherheitslücken zu schließen.
- Entwicklung eines Organisations- und Governance-Modells.
Dies ist das Level, das die größten Risiken birgt. Das Unternehmen ist gerade erst im Begriff zu erkennen, dass sein „Programm“ eher reaktiv als proaktiv und standardisiert ist. Hier besteht das wesentliche Ziel erst einmal darin, ein Risikoprofil zu erstellen, einen Plan für den Aufbau des Programms zu erarbeiten und Lücken im Bereich des Security-Knowhows zu schließen. Es empfiehlt sich, externen CISO-Support oder Überwachung der IT-Security auf dieser Ebene zu nutzen.
Organisationen mit mittlerem Reifegrad
Merkmale einer Level-2-Reife
- Viele kodifizierte Prozesse und Richtlinien.
- Inkonsistente Maßnahmen und Überwachung.
- Qualifikationslücken in verschiedenen Domänen.
- Fehlende Sicherheitsfunktionen.
- Suboptimales Bedrohungs- und Schwachstellen-Management.
- Lücken im Konfigurations-Management.
- Compliance- und Audit-Probleme.
- Datenschutzbezogene Herausforderungen beim Testdaten-Management.
Wesentliche Maßnahmen
- Klarer Kurs zum angestrebten Reifegrad.
- Ressourcen werden systematisch eingesetzt.
- Reduzierte Kosten und verbesserter ROI für IT-Security-Maßnahmen.
- Metriken und Überwachungsberichte werden implementiert.
Auf dieser Ebene verfügt das Unternehmen bereits über ein etabliertes Programm mit einer Governance-Struktur sowie Richtlinien und Verfahren. Die Fähigkeit, Bedrohungen zu erkennen und Verstöße zu verhindern, muss jedoch gestärkt werden, ebenso wie IT-Security-Metriken zu überwachen und darüber zu berichten. Hier geht es darum, durch Leistungsindikatoren Stärke aufzubauen, Compliance zu erreichen, Ressourcen strategisch einzusetzen und mehr Effizienz zu erreichen. Viele Unternehmen nutzen zunächst die Unterstützung externer CISOs, bevor sie ihren ersten CISO einstellen.
Organisationen mit höherem Reifegrad
Merkmale einer Level-3-Reife
- Formalisierte Richtlinien, Verfahren und Prozesse.
- Risiken werden gemessen und konsequent überwacht.
- Wiederkehrende Risiko- und Lückenbewertungen und –behebung.
- Suche nach Outsourcing-Möglichkeiten.
- Integration von Sicherheitsoperationen in Unternehmenssystemen und -funktionen.
- Konzentration auf die Reduzierung von IT-Kosten und ROI bei gleichzeitiger Aufrechterhaltung einer ausgereiften Risiko-Überwachung.
Wesentliche Maßnahmen
- Aufrechterhaltung und Verbesserung des positiven Compliance-Status.
- Verbesserung des ROI für Sicherheitsoperationen durch Outsourcing.
- Realisierung von erweiterten Metriken und Überwachungsfunktionen.
- Implementierung einer Risiko-Analyse.
- Formelle Berichterstattung auf C-Level.
- Langfristige Managed Security Service Provider (MSSP)-Beziehung.
Auf dieser Ebene hat das Unternehmen IT-Leadership, Governance und kontinuierliche Überwachung und Reaktion auf wiederkehrende Bedrohungen etabliert. Das ausgereifte Security-Programm optimiert die Effizienz und den ROI. Die Security-Prozesse und -aufgaben sind automatisiert.
Das Unternehmen möchte sicherstellen, dass seine digitalen Produkte, Dienstleistungen und IT-Infrastruktur ein Sicherheitsniveau aufweisen, das es ihm ermöglicht, wettbewerbsfähiger zu werden, neue zu Kunden gewinnen und neue Märkte zu erschließen. Viele Unternehmen nutzen externe Unterstützung, damit sich das interne Team auf strategische IT-Initiativen konzentrieren kann.
(ID:49326033)
:quality(80)/p7i.vogel.de/wcms/c9/d5/c9d515aa851a17889f391a0e8a6a87bb/0111189716.jpeg "Ein Reifegradmodell ist ein Modell zur objektiven Beurteilung und Einordnung des IT-Sicherheitsniveaus einer Organisation. Es gibt verschiedene Level an Reifegraden der IT-Sicherheit. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")