:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Bitte nicht zu viele Details … Security-Kennzahlen für Vorstände
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Geschäftsorientierte Vorstandsmitglieder wollen mit technisch-orientierten IT-Security-Daten auf strategischer Ebene versorgt werden. Welche Zahlen und Messgrößen sind geeignet, um Geschäftsführer auf C-Level zu überzeugen?
Security-Teams murren sehr gerne über die für sie meist viel zu verkürzten Darstellungsformen, die Vorstände gerne von ihnen wünschen. Am liebsten sehen viele Top-Entscheider simple Charts wie beispielsweise Ampel-Indikatoren in Rot-Gelb-Grün, um ein komplexes Gesamtbild mit Signalcharakter in ein einziges, sehr übersichtliches Bild zu packen.
Aber mal ehrlich: Einzelhandelsgeschäfte verkaufen ihre Smartphones auch nicht mit Kennzahlen wie „Umsatz pro Quadratmeter“ oder „Deckungsbeiträgen pro Stück“. Ampel-Indikatoren sind daher sicherlich eine Möglichkeit für sehr kompakte Präsentationen an den Vorstand, solange die einzelnen „Farben“ bzw. Eskalationsstufen klar verständlich definiert sind und über einen überschaubaren Umfang an Details genau erklärt werden können.
Dies impliziert ebenso eine gezielte Auswahl an Daten, Kennzahlen und Maßnahmen, die dem Vorstand letztlich vorgelegt werden, die aber auch gleichzeitig immer auf eine umfassende Unternehmensperspektive bezogen sein sollen. Dabei kann es zur Orientierung hilfreich sein, die Präsentation darauf aufzubauen, was Vorstandsmitglieder in der Regel über IT-Security in jedem Unternehmen wissen wollen.
Wichtigste Fragen zur IT-Security
In der Folge die vielleicht am häufigsten gestellten Fragen von Unternehmensvorständen zur Cybersicherheit:
- „Sind wir sicher?“ Diese Frage ist der Fluch vieler CISOs bzw. Security-Teams, denn die Antwort lautet jetzt und in Zukunft immer „Nein“, wenn es um einen buchstäblich 100-prozentigen Schutz geht. Wenn man die Frage in „Wie hoch ist unser Gefährdungsgrad?“ umformuliert, geht es in die richtige Richtung und das Unternehmen beginnt, Fortschritte zu machen.
- „Sind wir compliant?“ Diese Frage lässt sich oft leicht anhand von Audit-Ergebnissen beantworten, bietet aber keinen wirklichen Trost, da es sich immer um eine „punktuelle“ Perspektive handelt, die sich in jedem Augenblick ändern kann. Besser wäre es, ein IT-Security-Programm anhand eines gezielten Kontrollrahmens zu bewerten.
- „Hatten wir irgendwelche relevanten Vorfälle?“ Die Mitglieder des Verwaltungsrats sind über alle bedeutenden Vorfälle gut informiert, daher wird diese Frage in der Regel mit Details sowie Schätzungen der Kosten und der potenziellen Haftung beantwortet.
- „Wie effektiv ist unser Sicherheitsprogramm?“ Standardelement einer guten Unternehmensführung. Das heißt, Qualität geht vor. Und dann die Quantität.
Wichtige Messgrößen für die IT-Security
Bei der Ausarbeitung eines IT-Security-Programms sollte das erklärte Ziel darin bestehen, die detailliertesten technischen Daten direkt in einen strategischen Rahmen zu übersetzen, der auf Vorstandsebene verständlich ist.
- IT-Ressourcen (Anzahl der User, Geräte, Server, Anwendungen etc.)
- Nutzungsaktivität (Sitzungen, Flüsse, Nachrichten etc.)
- Prozesskontrollen (Erstellung/Änderung/Löschung von Benutzerkonten, Erkennung/Patch von Sicherheitslücken, Erkennung/Reaktion auf Vorfälle etc.)
- Echtzeit-(Inline-)Kontrollen (Anti-Malware, Firewall, E-Mail-Sicherheit etc.)
- Vorfälle
Wesentliche Kennzahlen für die IT-Security
In der Folge sind Kennzahlen aufgelistet, die einen strategischen Einblick in das IT-Security-Programm des Unternehmens bieten:
- Cyber-Risiko: Der prozentuale Anteil der unangemessenen Nutzungsaktivitäten an allen Nutzungsaktivitäten.
- Wirksamkeit der IT-Security: Prozentuale Verringerung des IT-Security-Risikos durch die Echtzeit-IT-Security-Kontrollen.
- IT-Security-Belastung: Durchschnittliche Anzahl von Nutzungsaktivitäten pro IT-Anlage.
- IT-Security-Resilienz: Durchschnittliche Anzahl der für jede Nutzungsaktivität angewendeten Echtzeit-Kontrollen.
- Risiko-Aversionsverhältnis: Die Bereitschaft, Produktivitätseinbußen (z. B. Passwortfehler, Falschmeldungen) im Vergleich zu den erlaubten oder verweigerten bösartigen Aktivitäten (echte Positivmeldungen plus Falschmeldungen) zu akzeptieren.
Zentrale Kostenaspekte für die IT-Security
Darüber hinaus müssen die anfallenden Kosten auf das jeweilige zu schützende Asset bezogen werden. Schließlich sind Finanzinformationen eine wichtige „Verkehrssprache“ der Vorstände:
- Verhältnis zwischen Verlust und Asset: Ausgaben für IT-Security, einschließlich der Verluste durch Zwischenfälle, im Vergleich zum finanziellen Wert der IT-Anlagen.
- Kontrollkosten pro IT-Asset (Anwendung): Zugewiesene Kosten für IT-Security-Kontrollen pro IT-Asset.
- Reduziertes Risiko pro Kosteneinheit: Finanzieller Wert des reduzierten Risikos im Vergleich zu den gesamten IT-Security-Ausgaben.
Der Weg zum IT-Security-Programm
Mithilfe der Messgrößen zeigen CISOs bzw. die Security-Experten, dass sie über Bedrohungen strukturiert und ergebnisorientiert nachdenken und handeln. Ferner können sie belegen, wie relevant diese Bedrohungen für das Programm und seine Performance sind. Gleichzeitig wird veranschaulicht, wo es gegebenenfalls noch Verbesserungsmöglichkeiten gibt.
Das interne IT-Security-Programm sollte mit einer sogenannten „Außenperspektive“ in Verbindung gebracht werden. Hier kann das Security-Team Vertrauen aufbauen, indem es ein Framework verwendet, das von einer externen Autorität unterstützt wird. Eine Möglichkeit wäre beispielsweise das NIST Cybersecurity Framework (CSF). Das NIST CSF ist um fünf Funktionsbereiche herum organisiert: Identify, Protect, Detect, Respond und Recover.
Damit wäre es möglich, zum Beispiel eine funktionsübergreifende Supply-Chain-Security zu implementieren. Das Prinzip wird nachfolgend an drei der Funktionen beispielhaft veranschaulicht:
- Identify verfügt über Unterfunktionen wie Asset Management, Identity and Access Management (IAM) und mehr.
- Protect verfügt über Unterfunktionen wie Vulnerability Management und SDLC etc.
- Detect verfügt über Unterfunktionen wie SIEM etc.
Das heißt, jede der fünf Fähigkeiten wird in wichtige „messbare“ Teilfähigkeiten aufgeteilt. Diesen Unterfunktionen sollen dann Messgrößen bzw. Key Performance Indicators (KPIs) basierend auf den CSF-Ebenen zugewiesen werden. Wobei der KPI eine Messgröße für die jeweilige Reifestufe darstellt, die innerhalb dieser Unterfunktion erreicht wurde.
Fazit
Vergleicht man die oben skizzierten Messgrößen und Kennzahlen mit den zahlreichen Finanzkennzahlen auf den Investment-Websites, so lässt sich sehr schnell erkennen, dass dieser Ansatz auf einer weitaus zielführenderen strategischen Basis angesiedelt ist als das Durcheinander von Patch-Levels und gefundener Malware. Wenn CISOs bzw. die Security-Experten wollen, dass Führungskräfte die IT-Security im Unternehmen ernst nehmen, ist dies ein Weg dorthin.
(ID:48558819)
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/48/b8489c3077650ce466d0f8d5df168a60/0112486449.jpeg "ISX-Keynote-Sprecher Jannik Christ unterstützt Unternehmen und Konzerne im Bereich der Informationssicherheit mit dem Schwerpunkt auf Security Management. (Bild: Christ Security)")