Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Kommunizieren von Geschäftsrisiken: Warum bestehende Cybersecurity-Metriken zu kurz greifen

Wie vermittelt man den C-Level-Führungskräften seines Unternehmens den mit dem Cybersecurity-Programm verbundenen Kontext für das Geschäftsrisiko? Mit dieser Frage setze ich mich in meiner Rolle als Cybersecurity-Verantwortlicher tagtäglich auseinander.

Als Sicherheits- und Risikomanagement-Verantwortlichen steht uns ein breites Spektrum von Frameworks und Kontrollen zur Verfügung, mit deren Hilfe wir selbst die kleinsten Facetten unserer Programme bis ins letzte Detail messen können. Obwohl solche Metriken für die Verwaltung des Alltagsbetriebs unserer Teams von unschätzbarem Wert sind, stellen sie für die Kommunikation mit den Geschäftsverantwortlichen keine große Hilfe dar.

Bei Interaktionen mit der Führungsebene oder auf Ebene des Prüfungsausschusses – der in den meisten Vorständen für das Thema Sicherheit zuständig ist – wollen Führungskräfte nachvollziehen, wie sich Ihr Cybersecurity-Programm auf die Fähigkeit des Unternehmens auswirkt, sein zentrales Leistungsversprechen zu erfüllen. Doch eine weltweite Studie unter mehr als 800 Business- und Cybersecurity-Leadern, durchgeführt von Forrester Consulting im Auftrag von Tenable, hat ergeben, dass 66 % der Geschäftsverantwortlichen bestenfalls nur einigermaßen zuversichtlich sind, dass ihr Sicherheitsteam in der Lage ist, das Risiko- oder Sicherheitsniveau ihres Unternehmens zu quantifizieren.

Damit soll nicht suggeriert werden, dass Sicherheitsverantwortliche etwas falsch machen. Vielmehr ist dies ein klarer Beleg für eine unausweichliche Tatsache: Aktuelle Verfahren zur Messung des Cyberrisikos bieten Unternehmen nicht das benötigte Maß an geschäftlichem Kontext. Mehr als die Hälfte der befragten Sicherheitsverantwortlichen ist nicht davon überzeugt, über die notwendigen Technologien oder Prozesse zur Vorhersage von Cybersecurity-Bedrohungen für ihr Unternehmen zu verfügen, und etwa zwei Fünftel sind unsicher, ob ihnen die erforderlichen Daten zur Verfügung stehen.

Cesar Garza, CISO bei Home Depot Mexico in San Pedro, Mexiko, beschreibt die Herausforderungen mit einem einzigen Wort: „Ergebnisse.“ In einem Interview mit Tenable sagte Garza: „Den Grad unseres Cyberrisikos zu bestimmen fällt uns nicht besonders schwer. Wir haben Reifegrad-Bewertungen, Schwachstellenbewertungen, Penetrationstests und alle möglichen Audits und Assessments, die uns [von der weltweiten Unternehmenszentrale] zugeschickt werden. Der schwere Teil ist die Frage, was mit all den Ergebnissen geschehen soll. Die meisten davon erfordern Investitionen, endlose OpEx, eine Erhöhung der Mitarbeiterzahl oder Investitionen in neue Technologien.“

Wie kalkulieren wir das Cyberrisiko?

Das Cyberrisiko richtet sich nach den zum gegebenen Zeitpunkt vorhandenen Assets, Sicherheitskontrollen, Bedrohungen und Schwachstellen. Wenn Sie nicht wissen, welche Assets für Ihr Kerngeschäft am kritischsten sind, ist es unmöglich nachzuvollziehen, welche Cyberrisiken tatsächlich eine Bedrohung für Ihr Unternehmen darstellen. Sobald Sie Ihre kritischsten Assets ermittelt haben, müssen Sie sich im nächsten Schritt ein Verständnis davon verschaffen, welche der Zehntausenden von Bedrohungen und Schwachstellen, denen Ihr Unternehmen jedes Jahr ausgesetzt ist, tatsächlich das größte Risiko für diese entscheidenden Assets darstellen.

Der Studie von Forrester zufolge definieren weniger als 50 % der Sicherheitsverantwortlichen die Auswirkungen von Cybersecurity-Bedrohungen im Kontext eines spezifischen Geschäftsrisikos. Die Mehrheit der befragten Sicherheitsverantwortlichen (56 %) berücksichtigt bei der Priorisierung von Schwachstellen keine Ziele des unternehmerischen Risikomanagements. Lediglich die Hälfte (51 %) meldet, dass ihr Team eng mit Business-Stakeholdern zusammenarbeitet, um Kosten-, Leistungs- und Risikominderungsziele auf geschäftliche Anforderungen abzustimmen. Und nur jeder Vierte gibt an, die Leistungsmetriken der Sicherheitsabteilung regelmäßig gemeinsam mit Business-Kollegen zu prüfen.

Darüber hinaus ergab die Forrester-Studie Folgendes:

  • Mehr als die Hälfte (56 %) der Sicherheitsverantwortlichen gibt an, dass ihr Team den Sicherheitsstatus der kritischsten Assets ihres Unternehmens nicht gut überblicken kann.
  • Etwa 60 % der Befragten sagen, dass sie die Mitarbeiter vor Ort zwecks Risikobewertung weitgehend oder vollständig überblicken können. Bei Mitarbeitern, die standortfern oder im Homeoffice arbeiten, ist dies nur bei (52 %) der Befragten der Fall.
  • Nur 51 % können die von Auftragnehmern oder Geschäftspartnern verwendeten Systeme weitgehend oder vollständig überblicken und 55 % geben dies für Drittanbieter an.

Ohne geschäftlichen Kontext ist keine Berechnung des Cyberrisikos möglich

Zwei der häufigsten Fragen, die Geschäftsleitung und Vorstand an mich richten: „Sind wir sicher?“ und „Wie schneidet unser Programm im Vergleich zu ähnlichen Unternehmen ab?“

Im Gegensatz zu unseren Business-Kollegen verfügen wir als Sicherheitsverantwortliche nur in begrenztem Umfang über objektive Daten, auf denen wir die Cyberrisiko-Gleichung aus Assets, Sicherheitskontrollen, Bedrohungen und Schwachstellen aufbauen können. Nur so lassen sich diese beiden Fragen jedoch beantworten. Kein bestehendes Framework kann unseren Sicherheitsbetrieb in seiner Gesamtheit erfassen, sodass Sicherheitsverantwortliche keine andere Wahl haben, als sich einen Flickenteppich aus unterschiedlichen Maßnahmen zusammenzubasteln. Ohne objektive Messung des geschäftlichen Kontexts für jedes unserer Assets kann uns die rechnerische Ermittlung des Cyberrisikos nur bedingt weiterhelfen.

In der Tat geht aus der Studie von Forrester hervor, dass weniger als die Hälfte der befragten Sicherheitsverantwortlichen die verwendeten branchenspezifischen Benchmarking-Frameworks im Hinblick auf ein genaues Reporting der geschäftlichen Risiken für sehr effektiv halten. Und mehr als die Hälfte sind der Ansicht, beim Benchmarking ihrer Sicherheitskontrollen unzureichende Arbeit zu leisten.

Parallel dazu sind in der Angriffsoberfläche von Unternehmen derart viele Variablen von Belang, dass es auf absehbare Zeit vermutlich zu keinem branchenweiten Konsens im Hinblick auf Sicherheitsmetriken kommen wird. Kein Unternehmen kann jemals von sich behaupten, zu 100 % sicher zu sein. Uns stehen lediglich unsere fundierten Berechnungen dessen zur Verfügung, was als akzeptables Risikoniveau betrachtet wird. Dadurch können wir aus geschäftlicher Sicht entscheiden, wie weit wir noch gehen sollten, sobald ein angemessenes Maß der Gefährdung behoben wurde.

Wie also kann man die Kluft zwischen Cybersecurity und Business mit den vorhandenen Mitteln überbrücken?

Es gibt keine allgemeingültige Antwort, aber als Beispiel können wir uns LafargeHolcim IT EMEA in Madrid zuwenden. „Wir evaluieren unser Penetrationsverhältnis über die verschiedenen vorhandenen Schutzebenen hinweg“, erklärt Jose Maria Labernia Salvador, Leiter des Bereichs IT-Sicherheit und interne Kontrolle des Unternehmens, in einem Interview mit Tenable. „Dies hilft unserer Geschäftsleitung, die potenzielle Gefährdung in unserem Umfeld zu verstehen und ihre Risikobereitschaft in der gesamten Cybersecurity-Wertschöpfungskette zu bestimmen. Unser Modell ist KPI-orientiert sowie daten- bzw. segmentorientiert agnostisch, da man nie weiß, was der anfängliche Angriffsvektor sein wird, der das Potenzial hat, sich lateral zu verbreiten und unserer Organisation zu schaden.“

Mit den vorhandenen Daten zum gewünschten Ziel

Risiko ist relativ, nicht absolut. In Unternehmen wird es immer Risiko geben. Die Frage ist, ob wir das Risiko durch eine bestimmte geschäftliche Maßnahme verringert oder erhöht haben. Mit den derzeit verfügbaren Optionen zur Bewertung der Sicherheit kann man – ähnlich einer mit Kreide gezogenen Startlinie – seinen Ausgangspunkt festlegen, von dem aus man sich dann ein Bild davon machen kann, was zur Verbesserung des Sicherheitsprogramms getan werden muss.

Bei Home Depot Mexico setzt Garza Tenable.io in Verbindung mit Lumin ein, um „unseren aktuellen Grad der Cyber Exposure nahezu in Echtzeit sichtbar zu machen. Wir können Cyberrisiken priorisieren und alles über einen zentralen Bildschirm managen.“ Er erklärt, dass das Unternehmen gerade ein Executive Dashboard aufbaut, das seinen C-Level-Führungskräften mehr Einblick verschaffen wird.

Es gibt keinen universellen Ansatz zur Ermittlung der Risikoindikatoren, die für Ihr Unternehmen am wichtigsten sind. Als Fachexperten bleibt uns nichts anderes übrig, als gemeinsam darauf hinzuarbeiten, Metriken für das Geschäftsrisiko zu entwerfen, die für Geschäftsverantwortliche der Führungsebene besonders aussagekräftig sind.

In diesem Sinne überlasse ich Ihnen die folgende Liste mit den Fragen, die mir im Laufe meiner beruflichen Laufbahn von Vorständen und C-Level-Führungskräften gestellt wurden:

  • Was und/oder wo sind unsere kritischsten Risiken, Funktionen und Assets?
    • Was unternehmen wir zu deren Schutz?
  • Wie ausgereift ist unser Programm im Vergleich zur Branche und zu ähnlichen Unternehmen?
    • Welche Roadmap haben wir zur Verbesserung unseres Reifegrads?
  • Wie ist unser Sicherheitsprogramm ausgestattet, verglichen mit Mitbewerbern oder ähnlichen Unternehmen in unserem Branchensektor?
  • Sind unsere geschäftskritischsten Funktionen heute sicherer als noch vor einem Jahr?
  • Was unternehmen wir gegen (Name der letzten Schlagzeilen machenden Schwachstelle hier einfügen)?

Vielleicht wird diese Liste Sie zu eigenen Ideen für andere Indikatoren des Geschäftsrisikos anregen, deren Messung sich lohnt, sodass wir gemeinsam bessere Möglichkeiten finden können, um Cybersecurity und Business aufeinander abzustimmen.

In den vorherigen Blog-Beiträgen dieser Serie wurden Herausforderungen bei der Abstimmung von Cybersecurity und Business behandelt sowie Gründe dafür, warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher bzw. gefährdet sind wir?“ zu beantworten. Des Weiteren haben wir untersucht, was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen. In künftigen Beiträgen werden wir untersuchen, mit welchen fünf Schritten eine Abstimmung mit dem Business erreicht werden kann, und einen Tag im Leben eines Business-orientierten Sicherheitsverantwortlichen verbringen.

Mehr erfahren:

Abonnieren Sie den Tenable Blog

Abonnieren
Kostenlos testen Jetzt kaufen

Testen Sie Tenable.io

30 TAGE KOSTENLOS

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Melden Sie sich jetzt an.

Tenable.io kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen
Kostenlos testen Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community. Vollständige Details finden Sie hier.

Kostenlos testen Jetzt kaufen

Tenable.io Web Application Scanning testen

30 TAGE KOSTENLOS

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Kostenlos testen Vertrieb kontaktieren

Tenable.io Container Security testen

30 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Erfahren Sie mehr über Industrial Security

Demo für Tenable.sc anfordern

Bitte tragen Sie Ihre Kontaktdaten in das Formular unten ein. Ein Vertriebsmitarbeiter wird Sie in Kürze kontaktieren, um einen Termin für die Demo zu vereinbaren.Sie können auch einen kurzen Kommentar mitschicken (begrenzt auf 255 Zeichen). Bitte beachten Sie, dass Felder mit einem Sternchen (*) Pflichtfelder sind.

Kostenlos testen Vertrieb kontaktieren

Tenable Lumin testen

30 TAGE KOSTENLOS

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Demo von Tenable.ot anfordern

Passgenauer Schutz Ihrer operativen Technologien –
durch effektive Risikoreduzierung.