beebright - stock.adobe.com
Risiken in der Cybersicherheit erfolgreich managen
Die Sicherheit zu gewährleisten, ist eine große Herausforderung. Dieser Beitrag erläutert Best Practices, mit denen Unternehmen Cybersicherheitsrisiken erfolgreich managen können.
Das Management von Cyberrisiken ist eine immer schwieriger werdende Aufgabe. Während Unternehmen immer mehr Daten erzeugen und neue Technologien und Prozesse einführen, entwickeln Cyberkriminelle fleißig neue Angriffsstrategien und raffiniertere Malware. Da ist es nicht verwunderlich, dass die Anzahl an Datenverstößen in den letzten fünf Jahren um 67 Prozent gestiegen ist, wie eine von Accenture und dem Ponemon Institute durchgeführte Studie zeigt.
Tatsächlich ist die Erweiterung von Sicherheitsmaßnahmen und deren Folgen für das Risikomanagement bei Branchen-Events wie der Infosecurity Europe 2019 ein Dauerthema. Dies zeigt, dass sich die Expertengemeinschaft über die Frage, wie Cyberrisiken heute zu managen sind, tatsächlich Sorgen macht.
Etliche Firmen betreiben einen erheblichen Zeit- und Budgetaufwand, um Sicherheit für Unternehmensdaten gewährleisten zu können. Im Folgenden werden die Best Practices erläutert, die Unternehmen helfen können, Cybersicherheitsrisiken in komplexen IT-Umgebungen erfolgreich zu managen.
1. Cybersicherheit zu einem strategischen Unternehmensziel machen
Unternehmen halten Cybersicherheit oftmals für ein Technologieproblem und weniger für eine unternehmerische Angelegenheit. Diese Betrachtungsweise führt dazu, dass IT-Teams in unterschiedliche neue Technologien investieren, um dringende Sicherheitsfragen zu lösen, statt einen strategischen Ansatz zur Verbesserung der Cybersicherheit zu verfolgen.
Darüber hinaus fehlt eine effektive Kommunikation zwischen IT-Abteilung und Chefetage: Beide Seiten wissen nicht, wie sie ihre Bedürfnisse formulieren und zusammenarbeiten sollen, um zu einer Entscheidung zu gelangen, die die Geschäftsziele fördert. Deshalb kaufen Unternehmen isolierte Lösungen, die die Komplexität steigern und IT-Teams die Verwaltung von Cyberrisiken weiter erschweren.
Best Practices
Unternehmen sollten sich von dieser grundlegenden Einstellung verabschieden und einen Dialog zwischen IT-Teams und der IT-fernen Managementebene aufbauen. Ein Ziel dieses Dialogs sollte sein, Investitionen in Sicherheitsmaßnahmen besser priorisieren zu können.
Ein IT-Sicherheitsverantwortlicher sollte Geschäftsbereichsleitern Risikoinformationen liefern und die Bereiche hervorheben, die Gefahr laufen, zur Schwachstelle zu werden. Dies ermöglicht es Führungskräften, Investitionen zu priorisieren und der IT-Abteilung eine klare Richtung für künftige Budgetentscheidungen vorzugeben.
Das zweite Ziel des Dialogs sollte die Einbindung der Sicherheit in alle Geschäftsprozesse des Unternehmens sein. Dies umfasst viele verschiedene Bereiche, von der Entwicklung geeigneter Sicherheitsrichtlinien gemäß eines Security-by-Design-Frameworks bis hin zur Schulung von Mitarbeitern und dem Aufbau einer sicherheitsorientierten Unternehmenskultur. Nur durch solche Gespräche können Organisationen Cybersicherheit an der Geschäftsstrategie ausrichten und dafür sorgen, dass Sicherheit eher zum Wegbereiter für Geschäfte wird als zum Hemmschuh.
2. Ein einheitliches Sicherheitsniveau einrichten
Eine wichtige Strategie zur Reduzierung der Komplexität von Cybersicherheit ist die Vereinheitlichung des Sicherheitsniveaus. Organisches Wachstum, Fusionen und Übernahmen (Mergers & Acquisition, M&A) und andere Veränderungen in Unternehmen führen oftmals zu einem fragmentierten Sicherheitsinstrumentarium und einem Sammelsurium an alten IT-Systemen, die möglicherweise Schwachstellen enthalten.
Ein Musterbeispiel für Cyberrisiken durch M&A ist Marriott, die vor kurzem einen massiven Datenverstoß meldeten, der Jahre zuvor bei Starwood begann – einer Kette, die von Marriott übernommenen worden war – offensichtlich ohne eine ordentliche Bestandsaufnahme der IT-Ressourcen. Die Angreifer hatten Zugriff auf die Datenbank der Gästereservierung erlangt, die nach der Übernahme mit dem Reservierungssystem von Marriott zusammengeführt wurde.
Ein weiteres Beispiel ist Equifax, dessen aggressive Wachstumsstrategie zu einer komplexen IT-Umgebung mit individuell konfigurierten Altsystemen führte. Dies machte die IT-Sicherheit besonders problematisch und führte zu einem Datenverstoß, der oft in der Presse aufgegriffen wurde.
Best Practices
Unternehmen, die statt isolierter Systeme ein einheitliches Sicherheitsniveau wahren, haben größere Chancen, Schwachstellen und Datenverstöße in einem frühen Stadium zu erkennen, in dem der Schaden noch vollständig vermieden werden kann.
Dafür sollten Unternehmen ihre Systeme regelmäßig inventarisieren, doppelt vorhandene Technologien entfernen und Stand-Alone-Lösungen durch systemübergreifende Anwendungen ersetzen. Dieser Ansatz gewährt IT-Teams einen Überblick aus der Vogelperspektive über die Risiken in der gesamten IT-Infrastruktur und vereinfacht deren Management.
Eine Reduzierung der Kosten ist ebenfalls möglich, da eine einheitliche Lösung häufig billiger ist als eine Reihe von isolierten Technologien mit oftmals übermäßigen oder überflüssigen Funktionen.
3. Ermitteln sensibler Daten und überwachen von Aktivitäten in deren Umfeld
Experten prognostizieren, dass sich bis 2020 83 Prozent der Arbeitsbelastung von Unternehmen in der Cloud befinden wird. Deshalb werden immer mehr Daten zwischen On-Premises- und öffentlichen, privaten oder hybriden Cloud-Speichern unterwegs sein.
Alle sensiblen Daten, wie Persönlich Identifizierbare Informationen (PII), Kreditkartendaten (PCI) oder Protected Health Information (PHI), die an einem unsicheren Speicherort auftauchen, sind sowohl Bedrohungen durch Insider als auch durch externe Akteure ausgesetzt, was zu Datenverstößen und zu Geldstrafen wegen der Nichteinhaltung von Gesetzen und Vorschriften führen kann.
Best Practices
Zur Vermeidung von Sicherheitsvorfällen sollten Unternehmen die Daten, die sie speichern, regelmäßig lokalisieren, sie entsprechend ihrer Sensibilität klassifizieren und konsequent Sicherheitskontrollen einführen, die bei den sensibelsten Daten beginnen. Entscheidend ist, Datenrisiken, wie falsche Konfigurationen und Zugriffseinstellungen, regelmäßig zu bewerten und zu minimieren. Ebenso wichtig ist es, Aktivitäten im Umfeld sensibler Daten zu überwachen und Informationen über abnormales Verhalten in Form von Alarmmeldungen zu erhalten, so dass verdächtige Sitzungen schnell beendet werden können.
4. Geben Sie IT-Teams die Möglichkeit zu proaktivem statt reaktivem Handeln
Eine der schwierigsten Herausforderung beim Schutz vor Cyberbedrohungen ist vielleicht der fehlende Nachwuchs im Cybersicherheitsbereich. (ISC)² prognostiziert Europa bis 2022 einen Mangel an 350.000 Cybersicherheitsexperten.
Ohne qualifiziertes Personal an Bord werden IT-Teams Mühe haben, die neuen Cyberbedrohungen zu bekämpfen und die immer schärferen Compliance-Vorschriften einhalten zu können. Insbesondere, wenn sie bereits mit banalen Alltagsaufgaben, wie dem Aufheben von Benutzersperren, Zurücksetzen von Passwörtern und dem Patchen von Systemen und Anwendungen überlastet sind. Denn dies führt dazu, dass IT-Abteilungen Cyberrisiken nicht effektiv managen können.
„Zur Vermeidung von Sicherheitsvorfällen sollten Unternehmen die Daten, die sie speichern, regelmäßig lokalisieren, sie entsprechend ihrer Sensibilität klassifizieren und konsequent Sicherheitskontrollen einführen.“
Jürgen Venhorst, Netwrix
Best Practices
Die Automatisierung möglichst vieler Routineaufgaben setzt bei IT-Teams Kapazitäten frei und ermöglicht ihnen, sich auf strategische Fragen, wie das Verfolgen der Bedrohungslandschaft, die Verbesserung des Cyberrisiko-Managements und die Verringerung der Zeit zur Erkennung und Reaktion auf Vorfälle zu konzentrieren. Kann das vorhandene Personal effektiver arbeiten, hilft es Unternehmen außerdem, den aktuellen Mangel an qualifizierten Cybersicherheitsexperten wettzumachen.
Fazit
Wichtige erste Schritte sind dabei die Anpassung der Technologie ans Unternehmen, die regelmäßige Bestandsaufnahme von Sicherheitslösungen und die Gewährleistung ihrer Integrität. Weiterhin sorgen die Beseitigung von Dopplungen, die priorisierte Sicherung der wichtigsten Daten sowie die Automatisierung von Routineaufgaben zur Verbesserung der Effizienz des IT-Teams.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
