Cybervorfälle sind das weltweit größte Geschäftsrisiko. Da die IT nahezu alle Geschäftsprozesse steuert, kann ihr Ausfall ein Unternehmen lahmlegen. Chief Information Security Officer bewerten die Risiken. Fünf Fragen helfen dabei.
Cyberangriffe gehören mittlerweile zum Alltag. Größe und Branche der Unternehmen spielen dabei kaum eine Rolle. Wie man angegriffen wird und ob die Angreifer damit Erfolg haben, hängt jedoch mit den eigenen Cybersicherheitsmaßnahmen zusammen.
Wichtig ist an dieser Stelle eine kontinuierliche Risikobewertung. Chief Information Security Officer müssen die Cyberrisiken nicht nur kennen, sondern auch das von ihnen ausgehende Risiko bewerten. Die folgenden fünf Fragen sollten helfen dabei, eine Security-Strategie zu entwickeln.
- Wo liegen unsere Schwachstellen?
Es gibt drei Arten von Schwachstellen: prozessuale, technische und menschliche. Unter den ersten Punkt fallen etwa nie getestete Notfallpläne, die im Ernstfall nicht funktionieren. Technische Schwachstellen lassen sich mit dem Common Vulnerability Scoring System nach ihrem Schweregrad klassifizieren. Ebenso normal wie technische Lücken in der Cybersecurity sind menschliche Fehler. Etwa weil man in einem stressigen Augenblick vergisst, ein Passwort für eine neue Cloud-Instanz zu setzten oder auf Phishing Mails hereinfällt. Um diese Schwachstellen ausfindig zu machen, braucht es einen Informationsaustausch zwischen den unterschiedlichen Fachbereichen sowie einen Überblick über Prozesse in der IT-Umgebung, sämtliche Cloud Services sowie alle Systeme.
- Wie gehen Angreifer vor?
Trotz möglicherweise geringerem Cyber Vulnerability Score sollten Chief Information Security Officer auch ältere, weniger hoch priorisierte Sicherheitslücken nicht vernachlässigen. Diese können für Cyberkriminelle höchst attraktiv sein, denn sie sind oftmals leichter zugänglich. Das gilt insbesondere dann, wenn sie bei Analysen übersehen werden. Für die Risikobewertung ist es daher wichtig, dass neben Branche und Unternehmensgröße – etwa große Behörde oder mittelständischer Handwerksbetrieb – auch Informationen über aktuelle Angreifergruppen und deren Vorgehensweise berücksichtig werden. Dazu gehört auch, welche Schwachstellen diese gerade ausnutzen.
- Wie hoch ist meine Angriffswahrscheinlichkeit?
Die Angriffswahrscheinlichkeit wird aus den Faktoren „aktuelles cyberkriminelles Geschehen“ und „aufgedeckte Schwachstellen“ ermittelt, indem zwei Fragen gestellt werden: „Fällt die Größe meines Unternehmens in das Beuteschema aktueller Hacker-Aktivitäten?“ Und: „Gibt es im Unternehmen eine Schwachstelle, die derzeit häufig angegangen wird?“ Lautet die Antwort in beiden Fällen „Ja“, ist das Risiko eines Vorfalls hoch. Auch muss beachtet werden, dass etwa 90 Prozent aller Cyberangriffe finanziell motiviert sind und mit möglichst wenig Aufwand über die Bühne gehen sollen. Kurz gesagt: Unternehmen, die wenig Gegenwehr bieten, sind für Cyberkriminelle sehr attraktiv.
- Welche Konsequenzen hätte ein Cyberangriff?
Die Risikobewertung sowie der Handlungsbedarf ergeben sich aus der Eintrittswahrscheinlichkeit und der Höhe des möglichen Schadens. Um beides zu errechnen, sollten sich Chief Information Security folgende Fragen zu Abhängigkeiten, Sicherheitsaufstellung und IT-Infrastruktur des Unternehmens stellen: Welche Möglichkeiten hat ein Hacker, wenn er sich im Netzwerk befindet? Wie kann er sich bewegen, ohne von internen Kontrollen entdeckt zu werden? Welche Kontrollen sind vorhanden? Welche Möglichkeiten hat der Eindringling, auf wertvolle Daten zuzugreifen? Welche Auswirkungen hätte ein durch einen Angriff ausgelöster Produktionsstopp auf Kunden und Lieferanten?
- Was braucht es, um das Risiko zu minimieren?
Um die angestrebte Risikominimierung hinsichtlich Eintrittswahrscheinlichkeit und Auswirkungen eines Angriffs zu erreichen, müssen gezielt Maßnahmen ergriffen werden. Etwa ein Patch, um eine technische Schwachstelle zu schließen oder das Setzen beziehungsweise das regelmäßige Ändern von Passwörtern. Größere Security-Maßnahmen wie Netzwerksegmentierung werden dann fällig, wenn besonders gefährdete Daten und Assets Schutz benötigen. Die ergriffenen Maßnahmen zur Risikominimierung sollten die Security-Spezialisten anschließend regelmäßig auf ihre Wirksamkeit überprüfen. Wer sich die Kosten-Nutzen-Rechnung ersparen möchte, kann sich an Security-Hersteller mit umfassenden Plattformen wenden.
Sicherheitsstrategien minimieren den Schaden
„Chief Information Security Officer identifizieren die größten Risiken und ergreifen gezielte Gegenmaßnahmen“, berichtet Richard Werner, Business Consultant bei IT-Security-Spezialisten Trend Micro. Den Überblick über die hochdynamische IT-Landschaft zu behalten, ist nicht einfach. Die obigen Fragen helfen bei einer kontinuierlichen Risikobewertung, aus welcher der sich im nächsten Schritt eine proaktive Sicherheitsstrategie ergibt.“ Jürgen Frisch
