Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Kommunizieren von Geschäftsrisiken: Warum bestehende Cybersecurity-Metriken zu kurz greifen

Wie vermittelt man den C-Level-Führungskräften seines Unternehmens den mit dem Cybersecurity-Programm verbundenen Kontext für das Geschäftsrisiko? Mit dieser Frage setze ich mich in meiner Rolle als Cybersecurity-Verantwortlicher tagtäglich auseinander.

Als Sicherheits- und Risikomanagement-Verantwortlichen steht uns ein breites Spektrum von Frameworks und Kontrollen zur Verfügung, mit deren Hilfe wir selbst die kleinsten Facetten unserer Programme bis ins letzte Detail messen können. Obwohl solche Metriken für die Verwaltung des Alltagsbetriebs unserer Teams von unschätzbarem Wert sind, stellen sie für die Kommunikation mit den Geschäftsverantwortlichen keine große Hilfe dar.

Bei Interaktionen mit der Führungsebene oder auf Ebene des Prüfungsausschusses – der in den meisten Vorständen für das Thema Sicherheit zuständig ist – wollen Führungskräfte nachvollziehen, wie sich Ihr Cybersecurity-Programm auf die Fähigkeit des Unternehmens auswirkt, sein zentrales Leistungsversprechen zu erfüllen. Doch eine weltweite Studie unter mehr als 800 Business- und Cybersecurity-Leadern, durchgeführt von Forrester Consulting im Auftrag von Tenable, hat ergeben, dass 66 % der Geschäftsverantwortlichen bestenfalls nur einigermaßen zuversichtlich sind, dass ihr Sicherheitsteam in der Lage ist, das Risiko- oder Sicherheitsniveau ihres Unternehmens zu quantifizieren.

Damit soll nicht suggeriert werden, dass Sicherheitsverantwortliche etwas falsch machen. Vielmehr ist dies ein klarer Beleg für eine unausweichliche Tatsache: Aktuelle Verfahren zur Messung des Cyberrisikos bieten Unternehmen nicht das benötigte Maß an geschäftlichem Kontext. Mehr als die Hälfte der befragten Sicherheitsverantwortlichen ist nicht davon überzeugt, über die notwendigen Technologien oder Prozesse zur Vorhersage von Cybersecurity-Bedrohungen für ihr Unternehmen zu verfügen, und etwa zwei Fünftel sind unsicher, ob ihnen die erforderlichen Daten zur Verfügung stehen.

Cesar Garza, CISO bei Home Depot Mexico in San Pedro, Mexiko, beschreibt die Herausforderungen mit einem einzigen Wort: „Ergebnisse.“ In einem Interview mit Tenable sagte Garza: „Den Grad unseres Cyberrisikos zu bestimmen fällt uns nicht besonders schwer. Wir haben Reifegrad-Bewertungen, Schwachstellenbewertungen, Penetrationstests und alle möglichen Audits und Assessments, die uns [von der weltweiten Unternehmenszentrale] zugeschickt werden. Der schwere Teil ist die Frage, was mit all den Ergebnissen geschehen soll. Die meisten davon erfordern Investitionen, endlose OpEx, eine Erhöhung der Mitarbeiterzahl oder Investitionen in neue Technologien.“

Wie kalkulieren wir das Cyberrisiko?

Das Cyberrisiko richtet sich nach den zum gegebenen Zeitpunkt vorhandenen Assets, Sicherheitskontrollen, Bedrohungen und Schwachstellen. Wenn Sie nicht wissen, welche Assets für Ihr Kerngeschäft am kritischsten sind, ist es unmöglich nachzuvollziehen, welche Cyberrisiken tatsächlich eine Bedrohung für Ihr Unternehmen darstellen. Sobald Sie Ihre kritischsten Assets ermittelt haben, müssen Sie sich im nächsten Schritt ein Verständnis davon verschaffen, welche der Zehntausenden von Bedrohungen und Schwachstellen, denen Ihr Unternehmen jedes Jahr ausgesetzt ist, tatsächlich das größte Risiko für diese entscheidenden Assets darstellen.

Der Studie von Forrester zufolge definieren weniger als 50 % der Sicherheitsverantwortlichen die Auswirkungen von Cybersecurity-Bedrohungen im Kontext eines spezifischen Geschäftsrisikos. Die Mehrheit der befragten Sicherheitsverantwortlichen (56 %) berücksichtigt bei der Priorisierung von Schwachstellen keine Ziele des unternehmerischen Risikomanagements. Lediglich die Hälfte (51 %) meldet, dass ihr Team eng mit Business-Stakeholdern zusammenarbeitet, um Kosten-, Leistungs- und Risikominderungsziele auf geschäftliche Anforderungen abzustimmen. Und nur jeder Vierte gibt an, die Leistungsmetriken der Sicherheitsabteilung regelmäßig gemeinsam mit Business-Kollegen zu prüfen.

Darüber hinaus ergab die Forrester-Studie Folgendes:

  • Mehr als die Hälfte (56 %) der Sicherheitsverantwortlichen gibt an, dass ihr Team den Sicherheitsstatus der kritischsten Assets ihres Unternehmens nicht gut überblicken kann.
  • Etwa 60 % der Befragten sagen, dass sie die Mitarbeiter vor Ort zwecks Risikobewertung weitgehend oder vollständig überblicken können. Bei Mitarbeitern, die standortfern oder im Homeoffice arbeiten, ist dies nur bei (52 %) der Befragten der Fall.
  • Nur 51 % können die von Auftragnehmern oder Geschäftspartnern verwendeten Systeme weitgehend oder vollständig überblicken und 55 % geben dies für Drittanbieter an.

Ohne geschäftlichen Kontext ist keine Berechnung des Cyberrisikos möglich

Zwei der häufigsten Fragen, die Geschäftsleitung und Vorstand an mich richten: „Sind wir sicher?“ und „Wie schneidet unser Programm im Vergleich zu ähnlichen Unternehmen ab?“

Im Gegensatz zu unseren Business-Kollegen verfügen wir als Sicherheitsverantwortliche nur in begrenztem Umfang über objektive Daten, auf denen wir die Cyberrisiko-Gleichung aus Assets, Sicherheitskontrollen, Bedrohungen und Schwachstellen aufbauen können. Nur so lassen sich diese beiden Fragen jedoch beantworten. Kein bestehendes Framework kann unseren Sicherheitsbetrieb in seiner Gesamtheit erfassen, sodass Sicherheitsverantwortliche keine andere Wahl haben, als sich einen Flickenteppich aus unterschiedlichen Maßnahmen zusammenzubasteln. Ohne objektive Messung des geschäftlichen Kontexts für jedes unserer Assets kann uns die rechnerische Ermittlung des Cyberrisikos nur bedingt weiterhelfen.

In der Tat geht aus der Studie von Forrester hervor, dass weniger als die Hälfte der befragten Sicherheitsverantwortlichen die verwendeten branchenspezifischen Benchmarking-Frameworks im Hinblick auf ein genaues Reporting der geschäftlichen Risiken für sehr effektiv halten. Und mehr als die Hälfte sind der Ansicht, beim Benchmarking ihrer Sicherheitskontrollen unzureichende Arbeit zu leisten.

Parallel dazu sind in der Angriffsoberfläche von Unternehmen derart viele Variablen von Belang, dass es auf absehbare Zeit vermutlich zu keinem branchenweiten Konsens im Hinblick auf Sicherheitsmetriken kommen wird. Kein Unternehmen kann jemals von sich behaupten, zu 100 % sicher zu sein. Uns stehen lediglich unsere fundierten Berechnungen dessen zur Verfügung, was als akzeptables Risikoniveau betrachtet wird. Dadurch können wir aus geschäftlicher Sicht entscheiden, wie weit wir noch gehen sollten, sobald ein angemessenes Maß der Gefährdung behoben wurde.

Wie also kann man die Kluft zwischen Cybersecurity und Business mit den vorhandenen Mitteln überbrücken?

Es gibt keine allgemeingültige Antwort, aber als Beispiel können wir uns LafargeHolcim IT EMEA in Madrid zuwenden. „Wir evaluieren unser Penetrationsverhältnis über die verschiedenen vorhandenen Schutzebenen hinweg“, erklärt Jose Maria Labernia Salvador, Leiter des Bereichs IT-Sicherheit und interne Kontrolle des Unternehmens, in einem Interview mit Tenable. „Dies hilft unserer Geschäftsleitung, die potenzielle Gefährdung in unserem Umfeld zu verstehen und ihre Risikobereitschaft in der gesamten Cybersecurity-Wertschöpfungskette zu bestimmen. Unser Modell ist KPI-orientiert sowie daten- bzw. segmentorientiert agnostisch, da man nie weiß, was der anfängliche Angriffsvektor sein wird, der das Potenzial hat, sich lateral zu verbreiten und unserer Organisation zu schaden.“

Mit den vorhandenen Daten zum gewünschten Ziel

Risiko ist relativ, nicht absolut. In Unternehmen wird es immer Risiko geben. Die Frage ist, ob wir das Risiko durch eine bestimmte geschäftliche Maßnahme verringert oder erhöht haben. Mit den derzeit verfügbaren Optionen zur Bewertung der Sicherheit kann man – ähnlich einer mit Kreide gezogenen Startlinie – seinen Ausgangspunkt festlegen, von dem aus man sich dann ein Bild davon machen kann, was zur Verbesserung des Sicherheitsprogramms getan werden muss.

Bei Home Depot Mexico setzt Garza Tenable.io in Verbindung mit Lumin ein, um „unseren aktuellen Grad der Cyber Exposure nahezu in Echtzeit sichtbar zu machen. Wir können Cyberrisiken priorisieren und alles über einen zentralen Bildschirm managen.“ Er erklärt, dass das Unternehmen gerade ein Executive Dashboard aufbaut, das seinen C-Level-Führungskräften mehr Einblick verschaffen wird.

Es gibt keinen universellen Ansatz zur Ermittlung der Risikoindikatoren, die für Ihr Unternehmen am wichtigsten sind. Als Fachexperten bleibt uns nichts anderes übrig, als gemeinsam darauf hinzuarbeiten, Metriken für das Geschäftsrisiko zu entwerfen, die für Geschäftsverantwortliche der Führungsebene besonders aussagekräftig sind.

In diesem Sinne überlasse ich Ihnen die folgende Liste mit den Fragen, die mir im Laufe meiner beruflichen Laufbahn von Vorständen und C-Level-Führungskräften gestellt wurden:

  • Was und/oder wo sind unsere kritischsten Risiken, Funktionen und Assets?
    • Was unternehmen wir zu deren Schutz?
  • Wie ausgereift ist unser Programm im Vergleich zur Branche und zu ähnlichen Unternehmen?
    • Welche Roadmap haben wir zur Verbesserung unseres Reifegrads?
  • Wie ist unser Sicherheitsprogramm ausgestattet, verglichen mit Mitbewerbern oder ähnlichen Unternehmen in unserem Branchensektor?
  • Sind unsere geschäftskritischsten Funktionen heute sicherer als noch vor einem Jahr?
  • Was unternehmen wir gegen (Name der letzten Schlagzeilen machenden Schwachstelle hier einfügen)?

Vielleicht wird diese Liste Sie zu eigenen Ideen für andere Indikatoren des Geschäftsrisikos anregen, deren Messung sich lohnt, sodass wir gemeinsam bessere Möglichkeiten finden können, um Cybersecurity und Business aufeinander abzustimmen.

Lesen Sie die Blog-Reihe: Die Entwicklung zum Business-orientierten Cybersecurity-Verantwortlichen

In den Blog-Beiträgen dieser Serie wurden die Herausforderungen bei der Abstimmung von Cybersecurity und Business behandelt sowie Gründe dafür, warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher bzw. gefährdet sind wir?“ zu beantworten. Außerdem untersuchten wir, was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen, erörterten die Frage, warum bestehende Cybersecurity-Metriken zu kurz greifen, erkundeten fünf Schritte für eine bessere Abstimmung mit dem Busines und boten einen Einblick in den beruflichen Alltag eines Business-orientierten Cybersecurity-Verantwortlichen.

Mehr erfahren:

Verwandte Artikel

Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Web App Scanning testen

Profitieren Sie im Rahmen der Exposure-Management-Plattform Tenable One von unserem neuesten Angebot zum Scannen von Webanwendungen, das speziell für moderne Anwendungen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Apps. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web App Scanning umfasst außerdem Tenable Vulnerability Management und Tenable Lumin.

Tenable Web App Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihr Exposure-Management visualisieren und genauer untersuchen, die Risikoreduzierung im Zeitverlauf verfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Testversion von Tenable Lumin umfasst außerdem Tenable Vulnerability Management und Tenable Web App Scanning.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Tenable Lumin Sie dabei unterstützen kann, unternehmensweit Einblick zu gewinnen und Cyberrisiken zu managen.

Testen Sie Tenable Nessus Professional kostenlos

7 TAGE KOSTENLOS

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt.

NEU - Tenable Nessus Expert
Jetzt verfügbar

Nessus Expert bietet noch mehr Funktionen, darunter das Scannen externer Angriffsoberflächen sowie die Möglichkeit, Domänen hinzuzufügen und die Cloud-Infrastruktur zu scannen. Klicken Sie hier, um Nessus Expert zu testen.

Füllen Sie das Formular unten aus, um mit einer Nessus Pro-Testversion fortzufahren.

Tenable Nessus Professional kaufen

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt. Tenable Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Testen Sie Tenable Nessus Expert kostenlos

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie haben Tenable Nessus Professional bereits?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Tenable Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen