:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Metriken für CISOs, Teil 2 Welche Kennzahlen CISOs wirklich helfen
Die Security muss in alle Abläufe integriert werden, so lautet eine bekannte Forderung. Trotzdem werden Business-Prozesse oftmals mit anderen Kennzahlen ausgewertet als Security-Prozesse. Das muss sich ändern, denn integrierte Kennzahlen helfen den CISOs genauso wie dem ganzen Unternehmen. Wir nennen Beispiele für passende Security-Kennzahlen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
Stellen Sie sich vor, Sie haben als CISO viel Zeit in den Management-Bericht zur Lage der Security im Unternehmen gesteckt. Sie legen den Bericht vor, die Geschäftsleitung wirft einen kurzen Blick darauf, bedankt sich und geht zum nächsten Thema über.
Eigentlich wollten Sie den Bericht nutzen, um für mehr Budget zu werben, aber Sie kommen gar nicht dazu. Scheinbar interessiert sich niemand für Ihr Reporting, trotz aller Mühe. Ein Grund könnte in den gewählten Kennzahlen liegen. Im Business wünscht man sich immer KPIs, also Key Performance Indicators, mit denen ein Unternehmen in der Regel seinen Erfolg definiert und bewertet, um Fortschritte bei der Erreichung seiner langfristigen Unternehmensziele zu erzielen.
:quality(80)/images.vogel.de/vogelonline/bdb/1597000/1597056/original.jpg "Kennzahlen und Metriken für die Security sollten dem CISO bei der Steuerung und Kontrolle helfen, das Management informieren und bei der Security-Automation genutzt werden können. (everythingpossible - stock.adobe.com)")
Metriken für CISOs, Teil 1
Warum CISOs andere Kennzahlen benötigen
Da stellt sich die Frage, was denn die langfristigen Unternehmensziele sind, und wie diese mit den Security-Zielen einhergehen. Wenn Sie zum Beispiel das Ziel verfolgen, dass alle Applikationen einen Security-Test durchlaufen haben, dass möglichst keine bekannten Schwachstellen offen sind oder dass alle Beschäftigten eine Sicherheitsschulung durchlaufen haben, dann ist die Bedeutung für das Unternehmen nicht für jeden auf den ersten Blick sichtbar, obwohl sie für Sie als CISO offenkundig ist.
Die Security muss deshalb auch bei den Kennzahlen noch stärker in die Business-Strategien integriert werden, mit deutlichen Vorteilen, wie eine aktuelle Studie zeigt.
Business-Driven Security auch in den Kennzahlen
Laut der PwC-Studie „Digital Trust Insights Survey“ erzielen Unternehmen, die einen unternehmensorientierten Cybersicherheitsansatz verfolgen, bessere Ergebnisse. Die globale Umfrage unter mehr als 3.000 Führungskräften und IT-Fachleuten weltweit ergab, dass die erfolgreichsten Unternehmen nicht nur Vorreiter bei der Cybersicherheit sind, sondern auch bessere Geschäftsergebnisse erzielen.
:quality(80)/images.vogel.de/vogelonline/bdb/1595700/1595766/original.jpg "Unternehmen müssen zu den wichtigsten IAM-Prozessen über genaue Kennzahlen verfügen. Bei Geschäftsprozessen ist das längst üblich. (gemeinfrei)")
Ahnungslosigkeit beim IAM
Der Weg zu verlässlichen IAM-Kennzahlen
Zu den wichtigsten Verhaltensweisen, mit denen sich Vorreiter von ihren Mitbewerbern abheben, gehören die Ausrichtung ihrer Geschäfts- und Cybersicherheitsstrategien, ein risikobasierter Ansatz und die Koordinierung ihrer Teams, die Risiken managen. Die wichtigsten Ergebnisse der Digital Trust Insights-Umfrage von PwC verdeutlichen den Vorsprung, den Vorreiter in allen drei Bereichen haben:
- 65 Prozent der Vorreiter sind der festen Überzeugung, dass ihr Cybersicherheitsteam in das Geschäft eingebettet ist, sich in die Geschäftsstrategie des Unternehmens einfügt und über eine Cybersicherheitsstrategie verfügt, die die geschäftlichen Erfordernisse unterstützt.
- 89 Prozent der Vorreiter geben an, dass ihre Cybersicherheitsteams konsequent an der Bewältigung der mit der Geschäftstransformation oder digitalen Initiativen des Unternehmens verbundenen Risiken beteiligt sind.
- 77 Prozent der Vorreiter sind der festen Überzeugung, dass ihr Cybersicherheitsteam ausreichend mit Führungskräften zusammenarbeitet, um ein Verständnis für die Risikobereitschaft des Unternehmens zu entwickeln.
Offensichtlich spielt hier eine gemeinsame Sprache dank passender Kennzahlen eine wichtige Rolle, um die Security-Ziele und die Business-Ziele eng zu verzahnen und abzustimmen.
:quality(80)/images.vogel.de/vogelonline/bdb/1064500/1064577/original.jpg "Die Kennzahlen jedes ISMS-Bereichs lassen sich als Balken- oder Spinnennetz-Diagramm darstellen. So lässt sich schnell für jeden Bereich erkennen, wie gut oder schlecht das Sicherheitsniveau des Unternehmens ist. (Computacenter)")
Security-Management
Eine KPI für Security
Welche Kennzahlen das Management ansprechen
Kommen wir zurück zu der Situation, in der Sie als CISO dem Management einen mühsam erstellten Bericht vorgelegt haben. Welche Kennzahlen würden sich darauf befinden? Sind es Kennzahlen, die der Geschäftsleitung deutlich machen, dass Cyber-Risiken als Unternehmensrisiken zu betrachten sind und wie sich diese Risiken auswirken? Wenn nicht, werden die Kennzahlen innerhalb der Security-Organisation hilfreich sein, aber nicht zur Überzeugung und Information des Managements.
Betrachtet man zum Beispiel das Allianz Risk Barometer 2019, das die wichtigsten Unternehmensrisiken aufzeigt, erfährt man: Cyber-Risiken sind erstmals gleichauf mit Betriebsunterbrechung das größte Risiko für Unternehmen weltweit. Cyber-Risiken und Betriebsunterbrechungsrisiken sind zunehmend miteinander verknüpft, da Ransomware-Angriffe oder IT-Ausfälle oft zu Betriebs- und Serviceunterbrechungen führen. So sind Cybervorfälle laut Allianz Risk Barometer der am meisten gefürchtete Auslöser von Betriebsunterbrechungen (50 Prozent der Antworten), gefolgt von Feuer/Explosion (40 Prozent) und Naturkatastrophen (38 Prozent).
Diese Verknüpfung von Cyber-Risiken und Betriebsunterbrechung ist ein wichtiger Schlüssel bei der Wahl der richtigen Kennzahlen, denn hier trifft man die Sorgen der Geschäftsleitung, genau wie dies die Versicherungsgesellschaften tun.
Es gilt also, nicht bei Kennzahlen stehen zu bleiben wie Anzahl der gefundenen Sicherheitslücken, Anzahl der gescannten / getesteten Seiten oder Anzahl der behobenen kritischer Sicherheitslücken. Diese sind durchaus Kennzahlen für die Security, aber die Business-Sicht fehlt, sprich die Sicht auf die damit verbundenen Risiken für das Unternehmen.
:quality(80)/images.vogel.de/vogelonline/bdb/1584700/1584735/original.jpg "CISOs brauchen inzwischen gute Argumente für mehr Budget in der IT-Sicherheit. (gemeinfrei)")
Der CISO und der Stellenwert der Security
Warum CISOs das Security-Marketing verändern müssen
Beispiele für greifbare Kennzahlen aus Business-Sicht
Mit den richtigen Kennzahlen wird Security für das Management relevant, und damit helfen die Kennzahlen jedem CISO, der die Geschäftsleitung zum Beispiel von einem höheren Security-Budget überzeugen muss.
Fehlalarme zum Beispiel können Betriebsabläufe stören, das Ziel muss es sein, solche False Positives zu minimieren. Entsprechend ist die Zahl der False Positives pro Tag durchaus ein Wert, der dem Management zugänglich ist, sofern die Erläuterung der Folge „Störung Betriebsablauf“ nicht fehlt.
Interessant ist auch der Schaden durch verlorene oder gestohlene Datenträger und Endgeräte, sofern klar wird, dass dies die Abläufe stört, und natürlich die Ausfallzeiten in der Produktion oder beim Online-Shop des Unternehmens durch Sicherheitsvorfälle, wobei jeweils die zeitliche Entwicklung eine Rolle spielt.
Auch für Sie als CISO sind diese zeitlichen Entwicklungen spannend, da Sie zum einen selbst den Handlungsbedarf leicht erkennen und zum anderen dadurch auch auf Ihren positiven Einfluss auf die Security im Unternehmen hinweisen können oder auf den Bedarf, möglichst schnell der Entwicklung gegen zu steuern, wozu zum Beispiel ein höheres Security-Budget notwendig sein kann.
:quality(80)/images.vogel.de/vogelonline/bdb/1604200/1604224/original.jpg "Auch wenn der neue BSI-Standard 200-4 noch etwas auf sich warten lässt, ist das kein Grund, nicht bereits mit den Vorbereitungen für das eigene Notfallmanagement und Business Continuity Management (BCM) zu starten. (gemeinfrei)")
Schritt für Schritt zum Business Continuity Management
Weiterentwicklung des BSI-Standards 200-4
(ID:46120364)
:quality(80)/p7i.vogel.de/wcms/71/44/7144de283a0a6f67a7d2b49a8eb7af85/0106806375.jpeg "Die Bereitstellung von Daten - beispielsweise zum Patch-Status oder zu Phishing-Testergebnissen - bescheinigt, dass die IT-Security lediglich auf ein paar zusammengewürfelte Aktivitäten und einem Gebet beruht. (Bild: everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/c8/e9c85878721a0341f227a7fa841bcea3/0105529996.jpeg "Wenn CISOs mit dem Vorstand sprechen, müssen sie insbesondere sehr auf ihre Sprache achten. (Bild: Alexander Pokusay - stock.adobe.com)")