Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen

Eine unabhängige Studie über Geschäftsrisiken zeigt, dass Cybersecurity-Verantwortliche weitgehend außen vor waren, als Unternehmen aus aller Welt sich einen Wettlauf dabei lieferten, Strategien zur Reaktion auf die Coronavirus-Pandemie zu entwickeln.

Die globale COVID-19-Pandemie hat zahlreiche tiefgreifende Veränderungen zur Folge, wozu auch die Art und Weise zählt, wie Unternehmen Geschäftsrisiken planen und verwalten. Doch viele Cybersecurity-Verantwortliche kämpfen weiterhin erfolglos um ein Mitspracherecht. 

Konkret verdeutlicht eine von Forrester Consulting im Auftrag von Tenable durchgeführte Studie, welche besorgniserregende Kluft zwischen Business- und Cybersecurity-Leadern besteht. Obwohl fast alle Befragten (96 %) bestätigten, dass ihre Unternehmen COVID-19-Reaktionsstrategien entwickelt haben, gaben 75 % an, dass Business- und Sicherheitsmaßnahmen bestenfalls „einigermaßen“ aufeinander abgestimmt sind.

In einer Zeit, in der Homeoffice-Arbeitsmodelle als Reaktion auf die Pandemie auf einmal flächendeckend akzeptiert werden, und dadurch eine Fülle von Endbenutzer-Geräten mit Unternehmensnetzwerken verbunden sind, ist dies zutiefst besorgniserregend. Remote-Desktops, die früher als netter Bonus für eine ausgesuchte Gruppe von Mitarbeitern galten, sind heute unerlässliche Tools, die von einer Vielzahl von Mitarbeitern genutzt werden, um den Betrieb von Unternehmen aufrechtzuerhalten. Mitarbeiter verbinden sich plötzlich mit zentralen Business-Systemen und -Applikationen – über ihre bis dato ungetesteten und möglicherweise anfälligen privaten Router und Heimnetzwerke. Durch die Popularität von IoT-Geräten (Internet of Things) werden sie zu potenziellen Bedrohungsvektoren. In einem gewöhnlichen Heimnetzwerk könnten Amazon Alexa- oder andere Tools mit Sprachaktivierung, TV-Geräte mit Internetverbindung und Spielkonsolen vorhanden sein – sowie verschiedene Laptops, Tablets und Smartphones von Ehepartnern, Kindern oder anderen Mitgliedern des Haushalts.

Schätzungen des Brookings Institute zufolge arbeiteten zum Stichtag am 9. April 2020 bis zur Hälfte aller US-amerikanischen Arbeitnehmer im Homeoffice, was es als „eine massive Verlagerung“ bezeichnet. Aus einer Studie von Pew Research geht hervor, dass vor der Pandemie nur 7 % der zivilen Arbeitnehmer in den Vereinigten Staaten – also ungefähr 9,8 Millionen der etwa 140 Millionen zivilen Arbeitnehmer des Landes – Zugang zu einem „flexiblen Arbeitsplatz“ (als Arbeitgeberleistung) oder Möglichkeiten zur Telearbeit hatten.

Und Cyberkriminelle stürzen sich darauf, die explosionsartig vergrößerte Angriffsoberfläche auszunutzen. Der Studie von Forrester zufolge hatten Mitte April 2020 bereits vier von zehn Unternehmen (41 %) mindestens einen geschäftsschädigenden* Cyberangriff erlitten, der auf eine Phishing- oder Malware-Kampagne im Zusammenhang mit COVID-19 zurückzuführen war. Die Daten basieren auf einer in 10 Ländern durchgeführten Online-Umfrage unter mehr als 800 Business- und Cybersecurity-Leadern und stammen aus der Studie Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen

Betrugsfälle mit COVID-Bezug waren die häufigste Ursache aller in der Studie gemeldeten geschäftsschädigenden Cyberangriffe. Obwohl die Weltgesundheitsorganisation COVID-19 erst einige Wochen zuvor zur Pandemie erklärt hatte, wurden Angriffe mit COVID-Bezug zum Zeitpunkt der Durchführung der Umfrage bereits häufiger verzeichnet als andere geschäftsschädigende Angriffe, wie etwa im Zusammenhang mit Betrug (40 %), Datenschutzvorfällen (37 %), Ransomware (36 %) und Software-Schwachstellen (34 %).

Auf persönlicher Ebene empfinde ich die Umfrageergebnisse auf seltsame Weise als Bestätigung: Sie belegen, dass ich nicht der einzige Sicherheitsverantwortliche bin, dem diese Trends Sorgen bereiten. Zwei von drei Befragten der Forrester-Umfrage (67 %) sind sehr oder äußerst besorgt darüber, dass durch COVID-19 verursachte Veränderungen im Personalbestand das Risikoniveau ihres Unternehmens weiter erhöhen könnte. 

Noch problematischer ist, dass etwa die Hälfte (48 %) der befragten Cybersecurity-Verantwortlichen angibt, nur mäßigen bis gar keinen Überblick über ihre Remote-Mitarbeiter im Homeoffice zu haben.

Eine der wichtigsten Maßnahmen, mit der Unternehmen diese Kluft überbrücken können, besteht darin, dass sie den Cybersecurity-Bereich in die Ausarbeitung von Risikomanagement-Strategien einbeziehen. 

Wie Risikomanagement Ihnen helfen kann, zu einem Business-orientierten Cybersecurity-Verantwortlichen zu werden 

CISOs, CSOs und andere Cybersecurity-Verantwortliche eignen sich hervorragend dafür, eine größere Rolle im Risikomanagement und den damit verbundenen Disziplinen Business Continuity, Disaster Recovery und Krisenmanagement zu übernehmen. Bedingt durch unsere berufliche Tätigkeit befinden wir uns genau an der Schnittstelle zwischen Technologie und Business. Wir haben Einblick in alle Systeme, Daten und Prozesse, die zur Umsetzung eines Business Continuity- und Disaster Recovery-Plans notwendig sind. Durch Mitwirkung im Risikomanagement kann Ihre Arbeit auch etwas überschaubarer werden: Wenn Sie alle Ihre kritischen Prozesse und Assets im Kontext des damit verbundenen erweiterten Unternehmensrisikos verstehen können, wird Sie dies in Sachen Cybersecurity nur noch stärker machen. 

Die Durchführung von Risikomanagement-Maßnahmen, die als Brücke zwischen dem Business- und InfoSec-Bereich des Unternehmens dienen können, bietet zudem einen klaren operativen Nutzen. Die Erkenntnisse aus diesem Prozess werden dem gesamten Unternehmen ein besseres Verständnis davon vermitteln, wie Ressourcen (sowohl personelle als auch finanzielle) am besten priorisiert werden können, um den Geschäftsbetrieb selbst während einer Krise in Gang zu halten.  

Sentara Healthcare: Eine Fallstudie zu effektiver Abstimmung

Sentara Healthcare dient als Fallstudie für eine effektive Abstimmung. In einem Interview mit Tenable wies Dan Bowden, der CISO bei Sentara Healthcare, darauf hin, dass die IT- und Sicherheitsteams des Unternehmens zu Beginn der Pandemie zwei entscheidende Aufgaben zu bewältigen hatten: Zum einen mussten sie einer großen Zahl von Mitarbeitern die Möglichkeit bieten, im Homeoffice zu arbeiten. Zum anderen mussten sie dabei helfen, reguläre Krankenhauszimmer in Intensivpflegeräume umzufunktionieren, indem sie die OT- (operative Technologie) und IoT-Systeme (Internet der Dinge) austauschten, die zur Versorgung eines plötzlichen Zustroms kritisch erkrankter Patienten notwendig waren.

„Ich würde sagen, dass unser gesamter Arbeitsaufwand im März und April zu über 50 % darin bestand, Intensivkapazitäten aufzubauen und herauszufinden, wie [wir] den hohen Verbrauch von persönlicher Schutzausrüstung mithilfe von Technologie reduzieren können“, so Bowden.

Zwar verlief die Umstellung letztendlich erfolgreich, doch der Patching-Prozess des Unternehmens geriet in der Folge zwei Monate lang aus den Fugen.

„Ich bin ein CISO, der sehr stark auf Schwachstellen-Scanning setzt, und das gilt [ebenso] für mein Team“, so Bowden. „Wir haben eine bedarfsbasierte Richtlinie, die zu befolgen ist, wenn wir eine neue Schwachstelle finden. Und wir mussten das Timing unseres Schwachstellen-Scannings und unsere Patching-Richtlinie geringfügig anpassen, da unsere IT-Teams Umstellungen an den Betten in Krankenhäusern vornahmen. Ein reguläres [Krankenhaus-] Zimmer ist in technologischer Hinsicht auf eine bestimmte Weise konfiguriert. Wenn daraus dann ein Intensivpflegeraum werden soll, kommt es zu kaskadierenden Veränderungen bei zahlreichen Technologiesystemen und Applikationen, die damit einhergehen. Unsere Infrastruktur- und Anwendungsteams waren sehr damit beschäftigt, die von uns bereitgestellte Bettenfläche von einer kleinen Anzahl von Intensivbetten auf eine sehr große Anzahl von Intensivbetten umzustellen. Wir mussten also einen Weg finden, unseren Patching-Zeitplan weiterhin so einzuhalten, dass Risiken effizient und effektiv verwaltet werden können. Dabei haben wir sehr auf das Vulnerability Priority Rating von Tenable gesetzt. In diesem Frühjahr und Sommer haben wir es vermutlich wesentlich mehr eingesetzt als zuvor.“

Im Juni verlief der Patching-Prozess wieder nach Plan. Da nun das vierte Quartal näher rückt, stehen Bowden wichtige Budgetentscheidungen bevor – wie in so vielen Branchensektoren, die von den wirtschaftlichen Auswirkungen von COVID-19 betroffen sind. „Wir versuchen, [Betriebsausgaben] zu senken und das Budget wieder einzuhalten. Wie erreichen wir, dass 2020 ein kostendeckendes Jahr wird? Wir sind sehr darauf fokussiert, den grundlegenden Betrieb aufrechtzuerhalten und neue Anfragen zu bearbeiten, die aufgrund von Schwankungen bei der Verbreitung von COVID-19 auftreten.“

Bowden ergänzt: „Wir haben ein sehr modernes Führungsteam, das uns alle ermutigt, kreativ zu sein und gemeinsam als Unternehmen nach Lösungen zu suchen, um in dieser Situation Wachstum zu erzielen. Diesbezüglich stehen uns also noch einige große Projekte bevor.“ 

Nachweis der Rendite von Cybersecurity-Investitionen

In Zeiten, in denen Unternehmen weltweit ein potenziell langer Zeitraum wirtschaftlicher Ungewissheit bevorsteht, ist es wichtiger denn je, Investitionen auf der Grundlage von Risiken zu priorisieren. Die Studie von Forrester zeigt, dass Sicherheits- und Geschäftsverantwortliche bemerkenswerte Ergebnisse liefern, wenn sie an einem Strang ziehen. Beispielsweise verfügen 85 % der Business-orientierten Sicherheits­verantwortlichen über Metriken, um den Cybersecurity-ROI und die Auswirkungen auf die Geschäftsentwicklung zu verfolgen, verglichen mit nur einem Viertel (25 %) ihrer eher reaktiv und isoliert agierenden Kollegen. Bei Business-orientierten Sicherheitsverantwortlichen ist es zudem achtmal wahrscheinlicher, dass sie das Sicherheits- bzw. Risikoniveau des Unternehmens quantifizieren können, als bei Fachkollegen, die eher isoliert arbeiten. Und die überwiegende Mehrheit (86 %) hat einen Prozess, in dem Erwartungen klar formuliert sind und kontinuierliche Prozess­verbesserungen aufgezeigt werden, im Vergleich zu nur 32 % ihrer eher reaktiv und isoliert agierenden Kollegen. 

Wenn Sie sich an der Entwicklung der Enterprise Risk Management (ERM)-Strategie Ihres Unternehmens beteiligen, sind Sie auf dem besten Weg, ein Business-orientierter Cybersecurity-Leader zu werden.

Diese sechs Schritte helfen Ihnen bei der anfänglichen Identifizierung und Bewertung von Unternehmensrisiken:

  1. Erstellen Sie eine Umfrage zur Risikobewertung und verteilen Sie diese an wichtige Stakeholder. Umfragen dieser Art richten sich in der Regel an die Senior Director-Ebene sowie an übergeordnete Ebenen und sollten Vertreter aus allen wichtigen Abteilungen Ihres Unternehmens umfassen, einschließlich Finanzen, Recht, Personalwesen, Informationstechnologie, Informationssicherheit, Vertrieb, Operations, Marketing und F&E. Sobald Ihre Umfrage abgeschlossen ist, sollten Sie die Antworten in Risikokategorien einordnen, damit Sie ein Verzeichnis der Unternehmensrisiken anlegen können.
  2. Führen Sie Untersuchungen und Analysen durch, um die Risiken Ihres Unternehmens mit Umfragen zu Branchenrisiken zu vergleichen.
  3. Entwickeln Sie eine Methodik zur Risikobewertung, einschließlich Wahrscheinlichkeit und Auswirkung, um eine Bewertung des Gesamtrisikos zu erhalten. 
  4. Identifizieren Sie wichtige Verantwortliche in Ihrem Unternehmen und nehmen Sie sich Zeit für persönliche Gespräche, um Feedback zu Risiken und Priorisierung sowie zur Wahrscheinlichkeit und Auswirkung von Risiken einzuholen.
  5. Legen Sie die Ergebnisse Ihrer Risikobewertung dem Management vor, um abschließend die größten Risiken zu ermitteln und Risikoverantwortliche auf Leitungsebene zu bestimmen.
  6. Arbeiten Sie mit Risikoverantwortlichen auf Leitungsebene zusammen, um Aktivitäten zur Eindämmung der größten Risiken festzulegen.

Die oben genannten Schritte sind mit hohem Aufwand verbunden. Für Sie ergibt sich jedoch der große Vorteil, dass Sie über klare Prioritäten verfügen. Sie erhalten eine Liste mit Unternehmensrisiken, auf die sich alle Beteiligten verständigt haben. Dabei wird Cybersecurity vermutlich ein eigenständiges Unternehmensrisiko sein, sich jedoch zweifellos in irgendeiner Form auf viele – wenn nicht alle – anderen Unternehmensrisiken auswirken.

Wenn Sie die Bewertung des Unternehmensrisikos mit einer Business-Impact-Analyse kombinieren – ein unverzichtbarer Bestandteil von Business Continuity und Disaster Recovery, um zu bestimmen, auf welche kritischen Systeme und Geschäftsprozesse Ihr Unternehmen am wenigsten verzichten kann –, bilden beide Aspekte die Grundlage für die Entwicklung einer Business-orientierten Cybersecurity-Strategie. Dadurch liegt Ihnen eine Liste der kritischsten Unternehmensrisiken und -prozesse vor, sodass Sie auch in Krisenzeiten und bei Wiederaufnahme des normalen Geschäftsbetriebs klare Prioritäten setzen können – ganz gleich, ob die jeweilige Krise aus einem Cyberangriff, einer Naturkatastrophe oder aus einer globalen Pandemie resultiert. 

In Zeiten der Stabilität können Unternehmen das unternehmensweite Risikomanagement nur allzu leicht als bloße Checkliste betrachten, die am besten von einem eigenständigen Team von Risikoexperten abgearbeitet werden sollte. Doch durch COVID-19 befanden sich Business- und Technologieverantwortliche plötzlich in einem Crash­kurs für Krisenmanagement. Wir alle sollten diesen Moment zum Anlass zu nehmen, um unsere eigene Vorgehensweise im Hinblick auf Unternehmensrisiken zu überdenken, damit wir besser auf schlechte Zeiten vorbereitet sind und gute Zeiten zu unserem Vorteil nutzen können. 

Additional blogs in this series focused on the challenges of aligning cybersecurity and business and why cybersecurity leaders struggle to answer the question “how secure, or at risk, are we?". We also examined what COVID-19 response strategies reveal about the business-cyber disconnect and considered why existing cybersecurity metrics fall short when CISOs need to communicate with executives and the board. In upcoming posts, we’ll discuss what a business-aligned cybersecurity practice looks like — and how you can get started building one in your organization — and provide our tips and recommendations for transforming your own role into that of a business-aligned cybersecurity leader.

Mehr erfahren:

Im Rahmen dieser Umfrage bezieht sich der Begriff „geschäftsschädigend“ auf einen Cyberangriff oder Sicherheitsverstoß, der zu mindestens einer der folgenden Konsequenzen geführt hat: Verlust von Kunden-, Mitarbeiter- oder anderen vertraulichen Daten, Unterbrechung des normalen Geschäftsbetriebs, Auszahlung von Lösegeld, finanzieller Verlust/Diebstahl und/oder Diebstahl von geistigem Eigentum.

Verwandte Artikel

Abonnieren Sie den Tenable Blog

Abonnieren
Kostenlos testen Jetzt kaufen

Testen Sie Tenable.io

30 TAGE KOSTENLOS

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Melden Sie sich jetzt an.

Tenable.io kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen
Kostenlos testen Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community. Vollständige Details finden Sie hier.

Kostenlos testen Jetzt kaufen

Tenable.io Web Application Scanning testen

30 TAGE KOSTENLOS

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Kostenlos testen Vertrieb kontaktieren

Tenable.io Container Security testen

30 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Demo für Tenable.sc anfordern

Bitte tragen Sie Ihre Kontaktdaten in das Formular unten ein. Ein Vertriebsmitarbeiter wird Sie in Kürze kontaktieren, um einen Termin für die Demo zu vereinbaren.Sie können auch einen kurzen Kommentar mitschicken (begrenzt auf 255 Zeichen). Bitte beachten Sie, dass Felder mit einem Sternchen (*) Pflichtfelder sind.

Kostenlos testen Vertrieb kontaktieren

Tenable Lumin testen

30 TAGE KOSTENLOS

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Demo von Tenable.ot anfordern

Passgenauer Schutz Ihrer operativen Technologien –
durch effektive Risikoreduzierung.