Kommunizieren von Geschäftsrisiken: Warum bestehende Cybersecurity-Metriken zu kurz greifen

Wie vermittelt man den C-Level-Führungskräften seines Unternehmens den mit dem Cybersecurity-Programm verbundenen Kontext für das Geschäftsrisiko? Mit dieser Frage setze ich mich in meiner Rolle als Cybersecurity-Verantwortlicher tagtäglich auseinander.

Als Sicherheits- und Risikomanagement-Verantwortlichen steht uns ein breites Spektrum von Frameworks und Kontrollen zur Verfügung, mit deren Hilfe wir selbst die kleinsten Facetten unserer Programme bis ins letzte Detail messen können. Obwohl solche Metriken für die Verwaltung des Alltagsbetriebs unserer Teams von unschätzbarem Wert sind, stellen sie für die Kommunikation mit den Geschäftsverantwortlichen keine große Hilfe dar.

Bei Interaktionen mit der Führungsebene oder auf Ebene des Prüfungsausschusses – der in den meisten Vorständen für das Thema Sicherheit zuständig ist – wollen Führungskräfte nachvollziehen, wie sich Ihr Cybersecurity-Programm auf die Fähigkeit des Unternehmens auswirkt, sein zentrales Leistungsversprechen zu erfüllen. Doch eine weltweite Studie unter mehr als 800 Business- und Cybersecurity-Leadern, durchgeführt von Forrester Consulting im Auftrag von Tenable, hat ergeben, dass 66 % der Geschäftsverantwortlichen bestenfalls nur einigermaßen zuversichtlich sind, dass ihr Sicherheitsteam in der Lage ist, das Risiko- oder Sicherheitsniveau ihres Unternehmens zu quantifizieren.

Damit soll nicht suggeriert werden, dass Sicherheitsverantwortliche etwas falsch machen. Vielmehr ist dies ein klarer Beleg für eine unausweichliche Tatsache: Aktuelle Verfahren zur Messung des Cyberrisikos bieten Unternehmen nicht das benötigte Maß an geschäftlichem Kontext. Mehr als die Hälfte der befragten Sicherheitsverantwortlichen ist nicht davon überzeugt, über die notwendigen Technologien oder Prozesse zur Vorhersage von Cybersecurity-Bedrohungen für ihr Unternehmen zu verfügen, und etwa zwei Fünftel sind unsicher, ob ihnen die erforderlichen Daten zur Verfügung stehen.

Cesar Garza, CISO bei Home Depot Mexico in San Pedro, Mexiko, beschreibt die Herausforderungen mit einem einzigen Wort: „Ergebnisse.“ In einem Interview mit Tenable sagte Garza: „Den Grad unseres Cyberrisikos zu bestimmen fällt uns nicht besonders schwer. Wir haben Reifegrad-Bewertungen, Schwachstellenbewertungen, Penetrationstests und alle möglichen Audits und Assessments, die uns [von der weltweiten Unternehmenszentrale] zugeschickt werden. Der schwere Teil ist die Frage, was mit all den Ergebnissen geschehen soll. Die meisten davon erfordern Investitionen, endlose OpEx, eine Erhöhung der Mitarbeiterzahl oder Investitionen in neue Technologien.“

Wie kalkulieren wir das Cyberrisiko?

Das Cyberrisiko richtet sich nach den zum gegebenen Zeitpunkt vorhandenen Assets, Sicherheitskontrollen, Bedrohungen und Schwachstellen. Wenn Sie nicht wissen, welche Assets für Ihr Kerngeschäft am kritischsten sind, ist es unmöglich nachzuvollziehen, welche Cyberrisiken tatsächlich eine Bedrohung für Ihr Unternehmen darstellen. Sobald Sie Ihre kritischsten Assets ermittelt haben, müssen Sie sich im nächsten Schritt ein Verständnis davon verschaffen, welche der Zehntausenden von Bedrohungen und Schwachstellen, denen Ihr Unternehmen jedes Jahr ausgesetzt ist, tatsächlich das größte Risiko für diese entscheidenden Assets darstellen.

Der Studie von Forrester zufolge definieren weniger als 50 % der Sicherheitsverantwortlichen die Auswirkungen von Cybersecurity-Bedrohungen im Kontext eines spezifischen Geschäftsrisikos. Die Mehrheit der befragten Sicherheitsverantwortlichen (56 %) berücksichtigt bei der Priorisierung von Schwachstellen keine Ziele des unternehmerischen Risikomanagements. Lediglich die Hälfte (51 %) meldet, dass ihr Team eng mit Business-Stakeholdern zusammenarbeitet, um Kosten-, Leistungs- und Risikominderungsziele auf geschäftliche Anforderungen abzustimmen. Und nur jeder Vierte gibt an, die Leistungsmetriken der Sicherheitsabteilung regelmäßig gemeinsam mit Business-Kollegen zu prüfen.

Darüber hinaus ergab die Forrester-Studie Folgendes:

• Mehr als die Hälfte (56 %) der Sicherheitsverantwortlichen gibt an, dass ihr Team den Sicherheitsstatus der kritischsten Assets ihres Unternehmens nicht gut überblicken kann.
• Etwa 60 % der Befragten sagen, dass sie die Mitarbeiter vor Ort zwecks Risikobewertung weitgehend oder vollständig überblicken können. Bei Mitarbeitern, die standortfern oder im Homeoffice arbeiten, ist dies nur bei (52 %) der Befragten der Fall.
• Nur 51 % können die von Auftragnehmern oder Geschäftspartnern verwendeten Systeme weitgehend oder vollständig überblicken und 55 % geben dies für Drittanbieter an.

Ohne geschäftlichen Kontext ist keine Berechnung des Cyberrisikos möglich

Zwei der häufigsten Fragen, die Geschäftsleitung und Vorstand an mich richten: „Sind wir sicher?“ und „Wie schneidet unser Programm im Vergleich zu ähnlichen Unternehmen ab?“

Im Gegensatz zu unseren Business-Kollegen verfügen wir als Sicherheitsverantwortliche nur in begrenztem Umfang über objektive Daten, auf denen wir die Cyberrisiko-Gleichung aus Assets, Sicherheitskontrollen, Bedrohungen und Schwachstellen aufbauen können. Nur so lassen sich diese beiden Fragen jedoch beantworten. Kein bestehendes Framework kann unseren Sicherheitsbetrieb in seiner Gesamtheit erfassen, sodass Sicherheitsverantwortliche keine andere Wahl haben, als sich einen Flickenteppich aus unterschiedlichen Maßnahmen zusammenzubasteln. Ohne objektive Messung des geschäftlichen Kontexts für jedes unserer Assets kann uns die rechnerische Ermittlung des Cyberrisikos nur bedingt weiterhelfen.

In der Tat geht aus der Studie von Forrester hervor, dass weniger als die Hälfte der befragten Sicherheitsverantwortlichen die verwendeten branchenspezifischen Benchmarking-Frameworks im Hinblick auf ein genaues Reporting der geschäftlichen Risiken für sehr effektiv halten. Und mehr als die Hälfte sind der Ansicht, beim Benchmarking ihrer Sicherheitskontrollen unzureichende Arbeit zu leisten.

Parallel dazu sind in der Angriffsoberfläche von Unternehmen derart viele Variablen von Belang, dass es auf absehbare Zeit vermutlich zu keinem branchenweiten Konsens im Hinblick auf Sicherheitsmetriken kommen wird. Kein Unternehmen kann jemals von sich behaupten, zu 100 % sicher zu sein. Uns stehen lediglich unsere fundierten Berechnungen dessen zur Verfügung, was als akzeptables Risikoniveau betrachtet wird. Dadurch können wir aus geschäftlicher Sicht entscheiden, wie weit wir noch gehen sollten, sobald ein angemessenes Maß der Gefährdung behoben wurde.

Wie also kann man die Kluft zwischen Cybersecurity und Business mit den vorhandenen Mitteln überbrücken?

Es gibt keine allgemeingültige Antwort, aber als Beispiel können wir uns LafargeHolcim IT EMEA in Madrid zuwenden. „Wir evaluieren unser Penetrationsverhältnis über die verschiedenen vorhandenen Schutzebenen hinweg“, erklärt Jose Maria Labernia Salvador, Leiter des Bereichs IT-Sicherheit und interne Kontrolle des Unternehmens, in einem Interview mit Tenable. „Dies hilft unserer Geschäftsleitung, die potenzielle Gefährdung in unserem Umfeld zu verstehen und ihre Risikobereitschaft in der gesamten Cybersecurity-Wertschöpfungskette zu bestimmen. Unser Modell ist KPI-orientiert sowie daten- bzw. segmentorientiert agnostisch, da man nie weiß, was der anfängliche Angriffsvektor sein wird, der das Potenzial hat, sich lateral zu verbreiten und unserer Organisation zu schaden.“

Mit den vorhandenen Daten zum gewünschten Ziel

Risiko ist relativ, nicht absolut. In Unternehmen wird es immer Risiko geben. Die Frage ist, ob wir das Risiko durch eine bestimmte geschäftliche Maßnahme verringert oder erhöht haben. Mit den derzeit verfügbaren Optionen zur Bewertung der Sicherheit kann man – ähnlich einer mit Kreide gezogenen Startlinie – seinen Ausgangspunkt festlegen, von dem aus man sich dann ein Bild davon machen kann, was zur Verbesserung des Sicherheitsprogramms getan werden muss.

Bei Home Depot Mexico setzt Garza Tenable.io in Verbindung mit Lumin ein, um „unseren aktuellen Grad der Cyber Exposure nahezu in Echtzeit sichtbar zu machen. Wir können Cyberrisiken priorisieren und alles über einen zentralen Bildschirm managen.“ Er erklärt, dass das Unternehmen gerade ein Executive Dashboard aufbaut, das seinen C-Level-Führungskräften mehr Einblick verschaffen wird.

Es gibt keinen universellen Ansatz zur Ermittlung der Risikoindikatoren, die für Ihr Unternehmen am wichtigsten sind. Als Fachexperten bleibt uns nichts anderes übrig, als gemeinsam darauf hinzuarbeiten, Metriken für das Geschäftsrisiko zu entwerfen, die für Geschäftsverantwortliche der Führungsebene besonders aussagekräftig sind.

In diesem Sinne überlasse ich Ihnen die folgende Liste mit den Fragen, die mir im Laufe meiner beruflichen Laufbahn von Vorständen und C-Level-Führungskräften gestellt wurden:

• Was und/oder wo sind unsere kritischsten Risiken, Funktionen und Assets?
  • Was unternehmen wir zu deren Schutz?
• Wie ausgereift ist unser Programm im Vergleich zur Branche und zu ähnlichen Unternehmen?
  • Welche Roadmap haben wir zur Verbesserung unseres Reifegrads?
• Wie ist unser Sicherheitsprogramm ausgestattet, verglichen mit Mitbewerbern oder ähnlichen Unternehmen in unserem Branchensektor?
• Sind unsere geschäftskritischsten Funktionen heute sicherer als noch vor einem Jahr?
• Was unternehmen wir gegen (Name der letzten Schlagzeilen machenden Schwachstelle hier einfügen)?

Vielleicht wird diese Liste Sie zu eigenen Ideen für andere Indikatoren des Geschäftsrisikos anregen, deren Messung sich lohnt, sodass wir gemeinsam bessere Möglichkeiten finden können, um Cybersecurity und Business aufeinander abzustimmen.

Lesen Sie die Blog-Reihe: Die Entwicklung zum Business-orientierten Cybersecurity-Verantwortlichen

In den Blog-Beiträgen dieser Serie wurden die Herausforderungen bei der Abstimmung von Cybersecurity und Business behandelt sowie Gründe dafür, warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher bzw. gefährdet sind wir?“ zu beantworten. Außerdem untersuchten wir, was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen, erörterten die Frage, warum bestehende Cybersecurity-Metriken zu kurz greifen, erkundeten fünf Schritte für eine bessere Abstimmung mit dem Busines und boten einen Einblick in den beruflichen Alltag eines Business-orientierten Cybersecurity-Verantwortlichen.

Mehr erfahren:

• Weitere wichtige Erkenntnisse aus der Studie finden Sie hier
• Laden Sie die komplette Studie Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen herunter
• Lesen Sie diese Blog-Beiträge:
  • Cybersecurity und Business in Einklang bringen: Niemand behauptet, es sei einfach
  • Warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher sind wir“ zu beantworten
  • Was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen
• Laden Sie das Whitepaper Was es heißt, ein Business-orientierter Sicherheitsverantwortlicher zu sein herunter
• Lesen Sie das E-Book Die Entwicklung zum Business-orientierten Sicherheitsverantwortlichen
• Hören Sie sich die Cyber Exposure-Podcast-Reihe „Interview with Tenable CSO Bob Huber“ an
• Reservieren Sie sich Ihren Platz für unser kommendes Webinar und Live Q&A am 30. September, „Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen“