Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren
  • Twitter
  • Facebook
  • LinkedIn

Warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher sind wir“ zu beantworten

Warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher sind wir“ zu beantworten

Unabhängige Studie über Geschäftsrisiken zeigt, dass Cybersecurity selten vollständig in die Unternehmens­strategie integriert ist – jedoch sollte sie es sein.

Stellen Sie sich Folgendes vor: Es wurde eine Schlagzeilen machende Schwachstelle aufgedeckt. Überall in den Nachrichten und sozialen Medien wird darüber berichtet. Es geht um Software, die weltweit von fast jedem Unternehmen verwendet wird. Der Vorstand verlangt Antworten und Ihre C-Level-Führungskräfte verbreiten Panik. Ihr CEO beruft eine Krisensitzung ein. Die erste Frage an Sie lautet: „Wie sicher sind wir?“ 

Sind Sie auf eine Antwort vorbereitet?

Wenn ja, gehören Sie zu den Glücklichen. Laut einer Studie, die von Forrester Consulting im Auftrag von Tenable durchgeführt wurde, können lediglich vier von 10 Sicherheitsverantwortlichen die Frage „Wie sicher sind bzw. gefährdet wir?“ mit einem hohen Maß an Zuversicht beantworten. 

Jeder, der im Bereich Cybersecurity auch nur etwas Erfahrung hat, weiß, warum die Beantwortung dieser Frage weitaus schwieriger ist, als es den Anschein haben mag. 

Sicherlich können Sie Daten darüber liefern, wie viele Systeme betroffen sind und wie schnell Ihr Team Abhilfe schaffen kann. Doch all diese Daten werden Ihrem CEO nicht die gewünschten Antworten geben. Was er oder sie wirklich wissen will, ist Folgendes: Wird sich diese Schwachstelle negativ auf unsere Fähigkeit auswirken, unserem Kerngeschäft nachzugehen? 

Die in Auftrag gegebene Forrester-Studie – die auf einer Umfrage unter 416 Sicherheitsverantwortlichen und 425 geschäftlichen Führungskräften in 10 Ländern basiert – macht deutlich, dass in der Art und Weise, wie Unternehmen Cyberrisiken verstehen und handhaben, eine Diskrepanz besteht. Laut dieser Studie, Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen, sind ein besorgniserregender Anteil von 66 % der Geschäftsverantwortlichen bestenfalls nur einigermaßen zuversichtlich, dass ihr Sicherheitsteam in der Lage ist, das Risiko- oder Sicherheitsniveau ihres Unternehmens zu quantifizieren.* Darüber hinaus ergab die Studie Folgendes:

  • Weniger als 50 % der Sicherheitsverantwortlichen definieren die Auswirkungen von Cybersecurity-Bedrohungen im Kontext eines spezifischen Geschäftsrisikos. 
  • Lediglich die Hälfte der Sicherheitsverantwortlichen (51 %) meldet, dass ihr Sicherheitsteam mit Business-Stakeholdern zusammenarbeitet, um Kosten-, Leistungs- und Risikominderungsziele auf geschäftliche Anforderungen abzustimmen.
  • Nur 43 % der Sicherheitsverantwortlichen geben an, dass sie die Leistungskennzahlen der Sicherheitsorganisation regelmäßig gemeinsam mit Business-Stakeholdern überprüfen.
  • Weniger als die Hälfte der Sicherheitsverantwortlichen (47 %) ziehen bei der Entwicklung von Cybersecurity-Strategien regelmäßig geschäftliche Führungskräfte hinzu. Umgekehrt beraten sich vier von zehn geschäftlichen Führungskräften bei der Ausarbeitung von Geschäftsstrategien nur selten – wenn überhaupt – mit Sicherheitsverantwortlichen.
  • Nur 54 % der Sicherheitsverantwortlichen und 42 % der geschäftlichen Führungskräfte geben an, dass ihre Cybersecurity-Ziele völlig oder weitgehend auf Geschäftsziele abgestimmt sind. 

„Die größte Herausforderung bei Gesprächen mit Geschäftsverantwortlichen besteht darin, dabei nicht-technisch und geschäftsorientiert zu bleiben oder aber in der Lage zu sein, technischen Jargon in die Business-Sprache zu übersetzen“ erklärt Kevin Kerr, CISO von Oak Ridge National Laboratory im US-Bundesstaat Tennessee, in einem Interview mit Tenable. „Wenn Sie das Geschäft nicht verstehen, ist das nicht möglich. Es muss Ihnen klar sein, wo die Befürchtungen der Geschäftsverantwortlichen liegen, was sie als Bedrohung empfinden und was sie für wichtig halten. Wenn Sie ihr Business verstehen, wissen Sie, was sie zu erreichen versuchen, was sie zu schützen versuchen und was sie zu monetarisieren versuchen. Dann präsentieren Sie Ihnen die beste Möglichkeit, dies auf sichere Weise zu tun, um die Standards zu erfüllen, für die Sie zur Rechenschaft gezogen werden, [während Sie ihnen zugleich] die Freiheit geben, ihren Geschäften nachzugehen.“

Geschäftlichen Kontext verstehen

Auf den geschäftlichen Kontext von Cyberrisiken einzugehen ist nicht einfach, und die Antworten werden von Unternehmen zu Unternehmen unterschiedlich ausfallen. 

„Risiko ist ein Begriff, den Manager kennen und fürchten, und er ist auch im Bereich der Cybersicherheit gut bekannt“, sagt Cesar Garza, CISO bei Home Depot Mexico in San Pedro, Mexiko. „Wir Cybersecurity-Experten beschäftigen uns ständig mit Risiken: Schwachstellen, Codefehler, menschliches Versagen, fehlerhafte Prozesse, veraltete Technologien, Fehlkonfigurationen usw. Risiko ist der verbindende Faktor zwischen der Sprache der Cybersicherheit und der Sprache des Business. Es ist die gemeinsame Basis. Dennoch ist es eine Herausforderung, Cybersecurity-Risiken in Geschäftsrisiken zu übersetzen, die von Führungskräften verstanden werden müssen. In einigen Fällen müssen wir das Worst-Case-Szenario heraufbeschwören, über Befürchtungen wie Geldstrafen, Markenschäden und den Verlust der Kundenloyalität sprechen, um die Botschaft auch wirklich zu vermitteln. Deshalb sage ich gerne: ‚Lassen Sie uns über Risiken sprechen, damit wir unsere Investitionen in die Cybersicherheit verstehen können‘.“

Um geschäftlichen Kontext bereitzustellen, müssen Sicherheits- und Risikomanagement-Verantwortliche zunächst in der Lage sein, zwei entscheidende Fragen zu beantworten:

  1. Worin besteht die zentrale Wertschöpfung Ihres Unternehmens? In der Produktion könnte die Antwort darin bestehen, Widgets herzustellen und mit Gewinn zu verkaufen. Die Antwort im Gesundheitswesen könnte sein, Patienten medizinische Versorgung zu bieten. In der öffentlichen Verwaltung lautet die Antwort möglicherweise, eine Dienstleistung für die Öffentlichkeit zu erbringen, z. B. Führerscheine auszustellen oder sich um die Müllentsorgung zu kümmern. 
  2. Welche Ihrer IT-Assets sind entscheidend, um diese zentrale Wertschöpfung zu erzielen? Gibt es zum Beispiel ein ERP-System oder eine Anwendung für Patientenakten oder eine Datenbank, die Ihre Geschäftstätigkeit zum Erliegen bringen würde, wenn sie offline genommen würde? Gibt es Benutzergruppen, deren Computer im Fall einer Kompromittierung wichtiges geistiges Eigentum oder sensible Daten offenlegen würden, die das Unternehmen daran hindern könnten, diese zentrale Wertschöpfung zu erbringen? Ist eine Cloud-Umgebung vorhanden, die, wenn sie offline geschaltet würde, einen wichtigen kundenorientierten Web-Service, wie etwa eine Bank- oder E-Commerce-Website, zum Ausfall bringen könnte?

„Es ist wirklich wichtig, gute Geschäftspartnerschaften oder Rücksprachen mit den verschiedenen Geschäftsverantwortlichen zu haben, um zu verstehen, welche Initiativen im Unternehmen laufen“, erklärt Rick Vadgama, VP und CISO für eine weltweite Reiseplattform in Needham, Massachussetts, in einem Interview mit Tenable. „Wenn ein System oder eine Funktion ausfallen würde, wie würde sich das auf die Einnahmequelle auswirken? Auf Grundlage dieser Informationen wüssten wir dann aus der Sicherheitsperspektive, wofür wir unsere Energie und Zeit aufwenden sollten, um sicherzustellen, dass wir alle Assets im Blick haben, aus denen sich dieses [System] zusammensetzt, und dass wir verstehen, wo die Schwachstellen liegen. Als InfoSec-Verantwortliche sind wir für enorm große Umgebungen zuständig. Durch echte Zusammenarbeit mit den Geschäftsverantwortlichen hört man aus erster Hand, was diese als die wichtigsten Systeme verstehen, ohne die sie nicht leben können, und kann dann die Arbeit entsprechend darauf ausrichten.“

Es ist zwar entscheidend, den Geschäftskontext besser zu verstehen, aber ebenso wichtig ist es, sich darüber im Klaren zu sein, dass uns die vorhandenen Asset-Management- und Konfigurationsdatenbanken selbst mit einem solchen Verständnis nur bis zu einem bestimmten Punkt helfen können. Zunächst einmal handelt es sich bei Bestandsaufnahmen und Konfigurationsmanagement um relativ statische Vorgänge. Meiner Erfahrung nach beschränken sich die meisten Organisationen auf die Durchführung einer jährlichen Risikobewertung oder Business-Impact-Analyse für kritische Geschäftsfunktionen. Ein derart statischer Ansatz reicht kaum aus, um den Realitäten der modernen Angriffsoberfläche Rechnung zu tragen, die eine dynamische Mischung aus On-Premises- und cloudbasierter IT, Internet of Things (IoT) und operativer Technologie umfasst. 

In den meisten großen Unternehmen werden beispielsweise täglich Cloud-Services nach Bedarf hoch- und heruntergefahren. Es werden ständig Computerressourcen hinzugefügt und entfernt, wenn Mitarbeiter einem Unternehmen beitreten oder daraus ausscheiden. Anwendungen und Software werden kontinuierlich implementiert und aktualisiert, wenn sich die Geschäftsanforderungen ändern. Und als Reaktion auf die COVID-19-Pandemie hat eine große Zahl von Mitarbeitern weltweit auf ein Homeoffice-Modell umgestellt, das vermutlich zu einer Veränderung in der Arbeitsweise von Unternehmen führen wird. Da sich das heutige Geschäft im Tempo des digitalen Handels bewegt, können Asset-Bestandslisten nicht Schritt halten. Sicherheitsverantwortliche müssen die ihnen zur Verfügung stehenden Tools nutzen, um sich ein möglichst umfassendes Verständnis der Kritikalität von Assets zu verschaffen. 

„Das derzeitige Tempo des Wachstums – besonders relevant in einer Branche, die normalerweise anorganisch wächst – zusammen mit einem gewissen Maß an Unklarheit bei der Durchführung qualitativer Risikobewertungen zählen zu den größten Herausforderungen, vor denen wir als Sicherheitsexperten stehen“, erklärt Jose Maria Labernia Salvador, Leiter der Abteilung IT-Sicherheit und interne Kontrolle bei LafargeHolcim IT EMEA in Madrid in einem Interview mit Tenable.

Sie müssen nicht nur Ihre geschäftskritischen Assets identifizieren, sondern zudem auch priorisieren können, welche der Zehntausenden von Bedrohungen und Schwachstellen, denen Ihr Unternehmen jedes Jahr ausgesetzt ist, tatsächlich das größte Risiko für diese entscheidenden Assets darstellen. Sicherheitsverantwortliche müssen die Bedrohung durch eine Schwachstelle oder Angriffsmethode gegen die geschäftlichen Auswirkungen von Behebungs- oder Eindämmungsmaßnahmen abwägen. Im Grunde genommen müssen Sie verstehen, wie stark Ihr Unternehmen durch das Problem gefährdet sind, wie schnell Sie es mithilfe der vorhandenen soliden Prozesse behandeln können und welche Auswirkungen es auf den Wert Ihres Kerngeschäfts hätte, wenn Sie nichts unternehmen, anstatt das Problem anzugehen.

Wenn die nächste medienwirksame Schwachstelle Ihren Vorstand in Panik versetzt, werden Sie bereit sein?

Letztendlich sind Ihre C-Level-Führungskräfte höchstwahrscheinlich keine Cybersecurity-Experten und mit Sicherheit keine Schwachstellenexperten. Sie wollen einfach nur wissen, welche Auswirkungen die Cybersecurity-Praxis des Unternehmens auf dessen Fähigkeit zur Wertschöpfung hat. Mit einem Business-orientierten Ansatz – bei dem Sie zuversichtlich einschätzen können, wie viele Schwachstellen für diejenigen Assets kritisch sind, die Ihre Kerngeschäftsbereiche am stärksten beeinflussen – werden Sie in die Lage versetzt, auf die Frage „Wie sicher bzw. gefährdet sind wir?“ eine klare Antwort zu geben. 

In den vorherigen Blog-Beiträgen dieser Serie wurden die Herausforderungen bei der Abstimmung von Cybersecurity und Business behandelt sowie Gründe dafür, warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher bzw. gefährdet sind wir?“ zu beantworten. Des Weiteren haben wir untersucht, was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen, und uns damit beschäftigt, warum bestehende Cybersecurity-Metriken zu kurz greifen, wenn CISOs mit Unternehmensleitung und Vorstand kommunizieren müssen. In kommenden Beiträgen stellen wir eine Beschreibung der notwendigen Schritte zur Verbesserung der Abstimmung zwischen Cybersecurity und Business in Ihrem Unternehmen bereit und bieten einen Einblick in den Tag eines Business-orientierten Cybersecurity-Verantwortlichen. 

Mehr erfahren:

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

Kostenlos testen Jetzt kaufen

Testen Sie Tenable.io

30 TAGE KOSTENLOS

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Melden Sie sich jetzt an.

Tenable.io kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen
Kostenlos testen Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community. Vollständige Details finden Sie hier.

Kostenlos testen Jetzt kaufen

Tenable.io Web Application Scanning testen

30 TAGE KOSTENLOS

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Kostenlos testen Vertrieb kontaktieren

Tenable.io Container Security testen

30 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Demo für Tenable.sc anfordern

Bitte tragen Sie Ihre Kontaktdaten in das Formular unten ein. Ein Vertriebsmitarbeiter wird Sie in Kürze kontaktieren, um einen Termin für die Demo zu vereinbaren.Sie können auch einen kurzen Kommentar mitschicken (begrenzt auf 255 Zeichen). Bitte beachten Sie, dass Felder mit einem Sternchen (*) Pflichtfelder sind.

Kostenlos testen Vertrieb kontaktieren

Tenable Lumin testen

30 TAGE KOSTENLOS

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Demo von Tenable.ot anfordern

Passgenauer Schutz Ihrer operativen Technologien –
durch effektive Risikoreduzierung.