Security Awareness

Cyberrisiken durch Quantifizierung richtig einschätzen

22.12.2022 von Saket Modi
Cyber-Kriminelle entwickeln ständig neue Methoden, um die IT-Infrastruktur von Unternehmen erfolgreich anzugreifen. Daher steigen auch die Anforderungen an IT-Security-Dienstleister.
IT-Security-Dienstleister sollten die Cyberrisiken bei ihren Kunde immer gut einschätzen können.
Foto: BalanceFormCreative - shutterstock.com

Jedes Mal, wenn sich die Cyber-Bedrohungslandschaft entwickelt hat, war die Standardreaktion das Hinzufügen einer weiteren Schicht zum Sicherheitsstapel. Heute haben die meisten Unternehmen mindestens zehn verschiedene Sicherheitslösungen im Einsatz. Angesichts der vielen Bedrohungen, die es gibt, ist eine umfassende Verteidigung ein kluger Ansatz. Doch trotz all des Kapitals, das Unternehmen in ihre immer dichter werdenden Sicherheitssysteme stecken, sind Sicherheitsverletzungen häufiger denn je. Bereits im Oktober 2021 übertraf die Zahl der gemeldeten Sicherheitsverletzungen die des gesamten Vorjahres.

Unternehmen sind trotz steigender Cybersecurity-Ausgaben weniger zuversichtlich

Schätzungen zufolge werden Unternehmen in den nächsten fünf Jahren insgesamt rund 1,75 Billionen Dollar für Sicherheit ausgeben. Warum also steigt das Vertrauen in die Sicherheitsmaßnahmen nicht parallel dazu? Die Antwort liegt nicht darin, wie viel Geld ausgegeben wird, sondern wie es ausgegeben wird. Die meisten Sicherheitsstrategien neigen dazu, sehr reaktiv zu sein. Unternehmen warten ab, was Analystenhäuser in ihren neuesten Branchenberichten vorschlagen. Wenn zum Beispiel Firewalls der nächsten Generation der Renner sein sollen, wird in diese investiert. Oder in anderen Fällen investieren Unternehmen in Lösungen zum Schutz vor einer bestimmten Bedrohung, nachdem ein Branchenkollege davon betroffen wurde.

Dies verschafft den Unternehmen ein falsches Gefühl der Sicherheit. "Wir tun das Richtige", denken sie. "Wir haben die richtigen Lösungen gekauft, die von (externen) Experten empfohlen wurden, also sind wir so sicher wie möglich". Doch wie die steigende Zahl erfolgreicher Sicherheitsverletzungen zeigt, funktioniert dies nicht.

Die Gefahren reaktiver und isolierter Cybersicherheitspraktiken

Dieser Ansatz scheitert daran, dass er den dynamischen Bedrohungen, denen ein Unternehmen ausgesetzt ist, nicht Rechnung trägt. Von Dritten durchgeführte punktuelle Audits der Cybersicherheit bergen oft das Risiko, nur eine Momentaufnahme des Risikos und eine subjektive Analyse der Ergebnisse zu liefern. Unternehmen, die sich auf Analysten verlassen, versuchen, mit einer trüben Kristallkugel in die Zukunft zu blicken. Diejenigen, die auf bereits erfolgte Sicherheitsverletzungen reagieren, werfen einen Blick in den Rückspiegel. Beide Strategien eignen sich nicht für die Absicherung einer Organisation, die sich ständig verändert und mit neuen Technologien und Praktiken weiterentwickelt, und das inmitten einer Bedrohungslandschaft, die ebenfalls ständig in Bewegung ist.

Beide Ansätze haben es auch schwieriger gemacht, die Budgets des Vorstands wirksam zu sichern. Wenn man sich auf Prophezeiungen der Branche über zukünftige Risiken verlässt, ist es nicht einfach, die Rentabilität von Investitionen nachzuweisen.

Beschleunigt durch COVID hat die digitale Transformation die Art und Weise, wie Unternehmen arbeiten, in kürzester Zeit massiv verändert, so dass die meisten Unternehmen heute eine Netzwerkarchitektur wie ein Schweizer Käse haben. Wichtige Daten und Systeme sind über SaaS-Lösungen in der Cloud verstreut, und die Mitarbeiter sind nicht mehr an bestimmte Arbeitszeiten und -orte gebunden. Unternehmen müssen sicherstellen, dass ihre Sicherheitsstrategie diesem digitalen Mischmasch und den heutigen Bedrohungen Rechnung trägt und nicht den Bedrohungen der Vergangenheit oder der theoretischen Zukunft.

Ein nicht kontextbezogener Sicherheitsstapel bedeutet zu viel Lärm

Effektive Sicherheit beginnt, wenn Unternehmen die häufigsten Bedrohungen kennen und nicht erraten. Wenn der Vorstand den Chief Information Security Officer (CISO) fragt, ob das Unternehmen sicher ist, nachdem bei einem Branchenkollegen eingedrungen worden ist, muss er in der Lage sein, diese Frage auf der Grundlage von datenwissenschaftlich gestützten Informationen zuverlässig zu beantworten und nicht nur eine Vermutung anzustellen. Ironischerweise ist es für viele Unternehmen schwieriger denn je, sich ein genaues Bild von ihren Risiken zu machen, obwohl sie mit einer Vielzahl von Sicherheitslösungen ausgestattet sind, die Unmengen von Daten bereitstellen. Es ist, als würde man versuchen, sich auf ein Dutzend Leute zu konzentrieren, die einem alle gleichzeitig verschiedene Dinge ins Ohr flüstern.

Um nicht überfordert zu sein, müssen Sicherheitsentscheider in der Lage sein, sich einen Überblick über all diese Informationen zu verschaffen. Einer der effektivsten Wege, dies zu erreichen, ist ein Ansatz zur Quantifizierung von Cyberrisiken. Bei dieser Strategie liegt der Schwerpunkt nicht nur auf einer Echtzeit-Ansicht der Bedrohungen, denen das Unternehmen ausgesetzt ist, sondern auch auf der Umsetzung des Risikos in eine Reihe klarer Prioritäten und Maßnahmen - und, was noch wichtiger ist, in einer Sprache, die jeder versteht - "Dollarwert bei Risiko".

Der Wert einer atomaren Sichtweise

Bei der Quantifizierung von Cyber-Risiken sollten Daten aus dem gesamten Unternehmen gesammelt werden, einschließlich Menschen, Prozesse, Technologie, Cyber-Sicherheitsprodukte und Dritte. All dieses disparate Rauschen wird mit Hilfe von Plattformen zur Quantifizierung von Cyberrisiken und soliden datenwissenschaftlichen Grundsätzen zu einer einzigen, aussagekräftigen und leicht verständlichen metrischen Stimme kombiniert. Dieser Ansatz bietet jedoch nicht nur einen Überblick über das Gesamtbild, sondern kann bis auf eine atomare Ebene heruntergebrochen werden. Das Risiko jedes Einzelnen, jedes Prozesses von dritten Parteien und jeder Technologie im gesamten Unternehmen kann gemessen, verwaltet und gemildert werden.

So können CISOs leicht erkennen, wo die größten Bedrohungen liegen und entsprechend planen, diese Cyberrisiken zu akzeptieren oder zu mindern. Ähnliches gilt auch für den Abschluss einer Cyberversicherung, die besser geplant und kalkuliert werden kann. Die Punktzahl stellt auch den potenziellen finanziellen Verlust im Falle einer Datenverletzung dar und bietet damit eine noch aussagekräftigere Metrik, um diese Risiken ohne Fachjargon allen relevanten Interessengruppen zu erklären. Der geschäftliche Kontext des Scores wird somit zu einer gemeinsamen Sprache für die Kommunikation von Cyberrisiken im gesamten Unternehmen.

Damit sich Cybersicherheitsinvestitionen im Jahr 2022 - und darüber hinaus - lohnen

Ausgestattet mit detaillierten Echtzeitdaten können CISOs einen Cyber-Sicherheitsplan erstellen, der genau auf die größten Bedrohungen für das Unternehmen eingeht und das Risiko nachweislich verringert.

Bedrohungen gegen die Cybersicherheit, die außerhalb der konkreten Risikobereitschaft des eigenen Unternehmens liegen, können somit dank der richtigen Lösungen effektiv angegangen werden, während andere durch Übertragungsstrategien wie Cyberversicherungen abgemildert oder behandelt werden können.

Anstatt also nur zu raten und auf das Beste zu hoffen, können CISOs somit sicher sein, dass ihre (finanziellen) Investitionen durch die Quantifizierung des Cyberrisikos einen echten Beitrag zur Sicherung der Zukunft des Unternehmens leisten.

Mehr zum Thema Cyber-Security:
Was bedeutet eigentlich Cyber Security?
Security Awareness schützt vor Infektionen
Channel-Workshop „Zero Trust“
Erfolgreich mit Managed Services
Digitale Identitäten sicher verwalten