Was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen

Eine unabhängige Studie über Geschäftsrisiken zeigt, dass Cybersecurity-Verantwortliche weitgehend außen vor waren, als Unternehmen aus aller Welt sich einen Wettlauf dabei lieferten, Strategien zur Reaktion auf die Coronavirus-Pandemie zu entwickeln.

Die globale COVID-19-Pandemie hat zahlreiche tiefgreifende Veränderungen zur Folge, wozu auch die Art und Weise zählt, wie Unternehmen Geschäftsrisiken planen und verwalten. Doch viele Cybersecurity-Verantwortliche kämpfen weiterhin erfolglos um ein Mitspracherecht. 

Konkret verdeutlicht eine von Forrester Consulting im Auftrag von Tenable durchgeführte Studie, welche besorgniserregende Kluft zwischen Business- und Cybersecurity-Leadern besteht. Obwohl fast alle Befragten (96 %) bestätigten, dass ihre Unternehmen COVID-19-Reaktionsstrategien entwickelt haben, gaben 75 % an, dass Business- und Sicherheitsmaßnahmen bestenfalls „einigermaßen“ aufeinander abgestimmt sind.

In einer Zeit, in der Homeoffice-Arbeitsmodelle als Reaktion auf die Pandemie auf einmal flächendeckend akzeptiert werden, und dadurch eine Fülle von Endbenutzer-Geräten mit Unternehmensnetzwerken verbunden sind, ist dies zutiefst besorgniserregend. Remote-Desktops, die früher als netter Bonus für eine ausgesuchte Gruppe von Mitarbeitern galten, sind heute unerlässliche Tools, die von einer Vielzahl von Mitarbeitern genutzt werden, um den Betrieb von Unternehmen aufrechtzuerhalten. Mitarbeiter verbinden sich plötzlich mit zentralen Business-Systemen und -Applikationen – über ihre bis dato ungetesteten und möglicherweise anfälligen privaten Router und Heimnetzwerke. Durch die Popularität von IoT-Geräten (Internet of Things) werden sie zu potenziellen Bedrohungsvektoren. In einem gewöhnlichen Heimnetzwerk könnten Amazon Alexa- oder andere Tools mit Sprachaktivierung, TV-Geräte mit Internetverbindung und Spielkonsolen vorhanden sein – sowie verschiedene Laptops, Tablets und Smartphones von Ehepartnern, Kindern oder anderen Mitgliedern des Haushalts.

Schätzungen des Brookings Institute zufolge arbeiteten zum Stichtag am 9. April 2020 bis zur Hälfte aller US-amerikanischen Arbeitnehmer im Homeoffice, was es als „eine massive Verlagerung“ bezeichnet. Aus einer Studie von Pew Research geht hervor, dass vor der Pandemie nur 7 % der zivilen Arbeitnehmer in den Vereinigten Staaten – also ungefähr 9,8 Millionen der etwa 140 Millionen zivilen Arbeitnehmer des Landes – Zugang zu einem „flexiblen Arbeitsplatz“ (als Arbeitgeberleistung) oder Möglichkeiten zur Telearbeit hatten.

Und Cyberkriminelle stürzen sich darauf, die explosionsartig vergrößerte Angriffsoberfläche auszunutzen. Der Studie von Forrester zufolge hatten Mitte April 2020 bereits vier von zehn Unternehmen (41 %) mindestens einen geschäftsschädigenden* Cyberangriff erlitten, der auf eine Phishing- oder Malware-Kampagne im Zusammenhang mit COVID-19 zurückzuführen war. Die Daten basieren auf einer in 10 Ländern durchgeführten Online-Umfrage unter mehr als 800 Business- und Cybersecurity-Leadern und stammen aus der Studie Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen. 

Betrugsfälle mit COVID-Bezug waren die häufigste Ursache aller in der Studie gemeldeten geschäftsschädigenden Cyberangriffe. Obwohl die Weltgesundheitsorganisation COVID-19 erst einige Wochen zuvor zur Pandemie erklärt hatte, wurden Angriffe mit COVID-Bezug zum Zeitpunkt der Durchführung der Umfrage bereits häufiger verzeichnet als andere geschäftsschädigende Angriffe, wie etwa im Zusammenhang mit Betrug (40 %), Datenschutzvorfällen (37 %), Ransomware (36 %) und Software-Schwachstellen (34 %).

Auf persönlicher Ebene empfinde ich die Umfrageergebnisse auf seltsame Weise als Bestätigung: Sie belegen, dass ich nicht der einzige Sicherheitsverantwortliche bin, dem diese Trends Sorgen bereiten. Zwei von drei Befragten der Forrester-Umfrage (67 %) sind sehr oder äußerst besorgt darüber, dass durch COVID-19 verursachte Veränderungen im Personalbestand das Risikoniveau ihres Unternehmens weiter erhöhen könnte. 

Noch problematischer ist, dass etwa die Hälfte (48 %) der befragten Cybersecurity-Verantwortlichen angibt, nur mäßigen bis gar keinen Überblick über ihre Remote-Mitarbeiter im Homeoffice zu haben.

Eine der wichtigsten Maßnahmen, mit der Unternehmen diese Kluft überbrücken können, besteht darin, dass sie den Cybersecurity-Bereich in die Ausarbeitung von Risikomanagement-Strategien einbeziehen. 

Wie Risikomanagement Ihnen helfen kann, zu einem Business-orientierten Cybersecurity-Verantwortlichen zu werden 

CISOs, CSOs und andere Cybersecurity-Verantwortliche eignen sich hervorragend dafür, eine größere Rolle im Risikomanagement und den damit verbundenen Disziplinen Business Continuity, Disaster Recovery und Krisenmanagement zu übernehmen. Bedingt durch unsere berufliche Tätigkeit befinden wir uns genau an der Schnittstelle zwischen Technologie und Business. Wir haben Einblick in alle Systeme, Daten und Prozesse, die zur Umsetzung eines Business Continuity- und Disaster Recovery-Plans notwendig sind. Durch Mitwirkung im Risikomanagement kann Ihre Arbeit auch etwas überschaubarer werden: Wenn Sie alle Ihre kritischen Prozesse und Assets im Kontext des damit verbundenen erweiterten Unternehmensrisikos verstehen können, wird Sie dies in Sachen Cybersecurity nur noch stärker machen. 

Die Durchführung von Risikomanagement-Maßnahmen, die als Brücke zwischen dem Business- und InfoSec-Bereich des Unternehmens dienen können, bietet zudem einen klaren operativen Nutzen. Die Erkenntnisse aus diesem Prozess werden dem gesamten Unternehmen ein besseres Verständnis davon vermitteln, wie Ressourcen (sowohl personelle als auch finanzielle) am besten priorisiert werden können, um den Geschäftsbetrieb selbst während einer Krise in Gang zu halten.  

Sentara Healthcare: Eine Fallstudie zu effektiver Abstimmung

Sentara Healthcare dient als Fallstudie für eine effektive Abstimmung. In einem Interview mit Tenable wies Dan Bowden, der CISO bei Sentara Healthcare, darauf hin, dass die IT- und Sicherheitsteams des Unternehmens zu Beginn der Pandemie zwei entscheidende Aufgaben zu bewältigen hatten: Zum einen mussten sie einer großen Zahl von Mitarbeitern die Möglichkeit bieten, im Homeoffice zu arbeiten. Zum anderen mussten sie dabei helfen, reguläre Krankenhauszimmer in Intensivpflegeräume umzufunktionieren, indem sie die OT- (operative Technologie) und IoT-Systeme (Internet der Dinge) austauschten, die zur Versorgung eines plötzlichen Zustroms kritisch erkrankter Patienten notwendig waren.

„Ich würde sagen, dass unser gesamter Arbeitsaufwand im März und April zu über 50 % darin bestand, Intensivkapazitäten aufzubauen und herauszufinden, wie [wir] den hohen Verbrauch von persönlicher Schutzausrüstung mithilfe von Technologie reduzieren können“, so Bowden.

Zwar verlief die Umstellung letztendlich erfolgreich, doch der Patching-Prozess des Unternehmens geriet in der Folge zwei Monate lang aus den Fugen.

„Ich bin ein CISO, der sehr stark auf Schwachstellen-Scanning setzt, und das gilt [ebenso] für mein Team“, so Bowden. „Wir haben eine bedarfsbasierte Richtlinie, die zu befolgen ist, wenn wir eine neue Schwachstelle finden. Und wir mussten das Timing unseres Schwachstellen-Scannings und unsere Patching-Richtlinie geringfügig anpassen, da unsere IT-Teams Umstellungen an den Betten in Krankenhäusern vornahmen. Ein reguläres [Krankenhaus-] Zimmer ist in technologischer Hinsicht auf eine bestimmte Weise konfiguriert. Wenn daraus dann ein Intensivpflegeraum werden soll, kommt es zu kaskadierenden Veränderungen bei zahlreichen Technologiesystemen und Applikationen, die damit einhergehen. Unsere Infrastruktur- und Anwendungsteams waren sehr damit beschäftigt, die von uns bereitgestellte Bettenfläche von einer kleinen Anzahl von Intensivbetten auf eine sehr große Anzahl von Intensivbetten umzustellen. Wir mussten also einen Weg finden, unseren Patching-Zeitplan weiterhin so einzuhalten, dass Risiken effizient und effektiv verwaltet werden können. Dabei haben wir sehr auf das Vulnerability Priority Rating von Tenable gesetzt. In diesem Frühjahr und Sommer haben wir es vermutlich wesentlich mehr eingesetzt als zuvor.“

Im Juni verlief der Patching-Prozess wieder nach Plan. Da nun das vierte Quartal näher rückt, stehen Bowden wichtige Budgetentscheidungen bevor – wie in so vielen Branchensektoren, die von den wirtschaftlichen Auswirkungen von COVID-19 betroffen sind. „Wir versuchen, [Betriebsausgaben] zu senken und das Budget wieder einzuhalten. Wie erreichen wir, dass 2020 ein kostendeckendes Jahr wird? Wir sind sehr darauf fokussiert, den grundlegenden Betrieb aufrechtzuerhalten und neue Anfragen zu bearbeiten, die aufgrund von Schwankungen bei der Verbreitung von COVID-19 auftreten.“

Bowden ergänzt: „Wir haben ein sehr modernes Führungsteam, das uns alle ermutigt, kreativ zu sein und gemeinsam als Unternehmen nach Lösungen zu suchen, um in dieser Situation Wachstum zu erzielen. Diesbezüglich stehen uns also noch einige große Projekte bevor.“ 

Nachweis der Rendite von Cybersecurity-Investitionen

In Zeiten, in denen Unternehmen weltweit ein potenziell langer Zeitraum wirtschaftlicher Ungewissheit bevorsteht, ist es wichtiger denn je, Investitionen auf der Grundlage von Risiken zu priorisieren. Die Studie von Forrester zeigt, dass Sicherheits- und Geschäftsverantwortliche bemerkenswerte Ergebnisse liefern, wenn sie an einem Strang ziehen. Beispielsweise verfügen 85 % der Business-orientierten Sicherheits­verantwortlichen über Metriken, um den Cybersecurity-ROI und die Auswirkungen auf die Geschäftsentwicklung zu verfolgen, verglichen mit nur einem Viertel (25 %) ihrer eher reaktiv und isoliert agierenden Kollegen. Bei Business-orientierten Sicherheitsverantwortlichen ist es zudem achtmal wahrscheinlicher, dass sie das Sicherheits- bzw. Risikoniveau des Unternehmens quantifizieren können, als bei Fachkollegen, die eher isoliert arbeiten. Und die überwiegende Mehrheit (86 %) hat einen Prozess, in dem Erwartungen klar formuliert sind und kontinuierliche Prozess­verbesserungen aufgezeigt werden, im Vergleich zu nur 32 % ihrer eher reaktiv und isoliert agierenden Kollegen. 

Wenn Sie sich an der Entwicklung der Enterprise Risk Management (ERM)-Strategie Ihres Unternehmens beteiligen, sind Sie auf dem besten Weg, ein Business-orientierter Cybersecurity-Leader zu werden.

Diese sechs Schritte helfen Ihnen bei der anfänglichen Identifizierung und Bewertung von Unternehmensrisiken:

1. Erstellen Sie eine Umfrage zur Risikobewertung und verteilen Sie diese an wichtige Stakeholder. Umfragen dieser Art richten sich in der Regel an die Senior Director-Ebene sowie an übergeordnete Ebenen und sollten Vertreter aus allen wichtigen Abteilungen Ihres Unternehmens umfassen, einschließlich Finanzen, Recht, Personalwesen, Informationstechnologie, Informationssicherheit, Vertrieb, Operations, Marketing und F&E. Sobald Ihre Umfrage abgeschlossen ist, sollten Sie die Antworten in Risikokategorien einordnen, damit Sie ein Verzeichnis der Unternehmensrisiken anlegen können.
2. Führen Sie Untersuchungen und Analysen durch, um die Risiken Ihres Unternehmens mit Umfragen zu Branchenrisiken zu vergleichen.
3. Entwickeln Sie eine Methodik zur Risikobewertung, einschließlich Wahrscheinlichkeit und Auswirkung, um eine Bewertung des Gesamtrisikos zu erhalten. 
4. Identifizieren Sie wichtige Verantwortliche in Ihrem Unternehmen und nehmen Sie sich Zeit für persönliche Gespräche, um Feedback zu Risiken und Priorisierung sowie zur Wahrscheinlichkeit und Auswirkung von Risiken einzuholen.
5. Legen Sie die Ergebnisse Ihrer Risikobewertung dem Management vor, um abschließend die größten Risiken zu ermitteln und Risikoverantwortliche auf Leitungsebene zu bestimmen.
6. Arbeiten Sie mit Risikoverantwortlichen auf Leitungsebene zusammen, um Aktivitäten zur Eindämmung der größten Risiken festzulegen.

Die oben genannten Schritte sind mit hohem Aufwand verbunden. Für Sie ergibt sich jedoch der große Vorteil, dass Sie über klare Prioritäten verfügen. Sie erhalten eine Liste mit Unternehmensrisiken, auf die sich alle Beteiligten verständigt haben. Dabei wird Cybersecurity vermutlich ein eigenständiges Unternehmensrisiko sein, sich jedoch zweifellos in irgendeiner Form auf viele – wenn nicht alle – anderen Unternehmensrisiken auswirken.

Wenn Sie die Bewertung des Unternehmensrisikos mit einer Business-Impact-Analyse kombinieren – ein unverzichtbarer Bestandteil von Business Continuity und Disaster Recovery, um zu bestimmen, auf welche kritischen Systeme und Geschäftsprozesse Ihr Unternehmen am wenigsten verzichten kann –, bilden beide Aspekte die Grundlage für die Entwicklung einer Business-orientierten Cybersecurity-Strategie. Dadurch liegt Ihnen eine Liste der kritischsten Unternehmensrisiken und -prozesse vor, sodass Sie auch in Krisenzeiten und bei Wiederaufnahme des normalen Geschäftsbetriebs klare Prioritäten setzen können – ganz gleich, ob die jeweilige Krise aus einem Cyberangriff, einer Naturkatastrophe oder aus einer globalen Pandemie resultiert. 

In Zeiten der Stabilität können Unternehmen das unternehmensweite Risikomanagement nur allzu leicht als bloße Checkliste betrachten, die am besten von einem eigenständigen Team von Risikoexperten abgearbeitet werden sollte. Doch durch COVID-19 befanden sich Business- und Technologieverantwortliche plötzlich in einem Crash­kurs für Krisenmanagement. Wir alle sollten diesen Moment zum Anlass zu nehmen, um unsere eigene Vorgehensweise im Hinblick auf Unternehmensrisiken zu überdenken, damit wir besser auf schlechte Zeiten vorbereitet sind und gute Zeiten zu unserem Vorteil nutzen können. 

Lesen Sie die Blog-Reihe: Die Entwicklung zum Business-orientierten Cybersecurity-Verantwortlichen

In den Blog-Beiträgen dieser Serie wurden die Herausforderungen bei der Abstimmung von Cybersecurity und Business behandelt sowie Gründe dafür, warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher bzw. gefährdet sind wir?“ zu beantworten. Außerdem untersuchten wir, was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen, erörterten die Frage, warum bestehende Cybersecurity-Metriken zu kurz greifen, erkundeten fünf Schritte für eine bessere Abstimmung mit dem Busines und boten einen Einblick in den beruflichen Alltag eines Business-orientierten Cybersecurity-Verantwortlichen.

Mehr erfahren:

• Weitere wichtige Erkenntnisse aus der Studie finden Sie hier
• Laden Sie die komplette Studie Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen herunter
• Lesen Sie die Blog-Beiträge Cybersecurity und Business in Einklang bringen: Niemand behauptet, es sei einfach und Warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher sind wir“ zu beantworten
• Laden Sie das Whitepaper Was es heißt, ein Business-orientierter Sicherheitsverantwortlicher zu sein herunter
• Lesen Sie das E-Book Die Entwicklung zum Business-orientierten Sicherheitsverantwortlichen
• Hören Sie sich die Cyber Exposure-Podcast-Reihe „Interview with Tenable CSO Bob Huber“ an

Im Rahmen dieser Umfrage bezieht sich der Begriff „geschäftsschädigend“ auf einen Cyberangriff oder Sicherheitsverstoß, der zu mindestens einer der folgenden Konsequenzen geführt hat: Verlust von Kunden-, Mitarbeiter- oder anderen vertraulichen Daten, Unterbrechung des normalen Geschäftsbetriebs, Auszahlung von Lösegeld, finanzieller Verlust/Diebstahl und/oder Diebstahl von geistigem Eigentum.