Warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher sind wir“ zu beantworten

Unabhängige Studie über Geschäftsrisiken zeigt, dass Cybersecurity selten vollständig in die Unternehmens­strategie integriert ist – jedoch sollte sie es sein.

Stellen Sie sich Folgendes vor: Es wurde eine Schlagzeilen machende Schwachstelle aufgedeckt. Überall in den Nachrichten und sozialen Medien wird darüber berichtet. Es geht um Software, die weltweit von fast jedem Unternehmen verwendet wird. Der Vorstand verlangt Antworten und Ihre C-Level-Führungskräfte verbreiten Panik. Ihr CEO beruft eine Krisensitzung ein. Die erste Frage an Sie lautet: „Wie sicher sind wir?“ 

Sind Sie auf eine Antwort vorbereitet?

Wenn ja, gehören Sie zu den Glücklichen. Laut einer Studie, die von Forrester Consulting im Auftrag von Tenable durchgeführt wurde, können lediglich vier von 10 Sicherheitsverantwortlichen die Frage „Wie sicher sind bzw. gefährdet wir?“ mit einem hohen Maß an Zuversicht beantworten. 

Jeder, der im Bereich Cybersecurity auch nur etwas Erfahrung hat, weiß, warum die Beantwortung dieser Frage weitaus schwieriger ist, als es den Anschein haben mag. 

Sicherlich können Sie Daten darüber liefern, wie viele Systeme betroffen sind und wie schnell Ihr Team Abhilfe schaffen kann. Doch all diese Daten werden Ihrem CEO nicht die gewünschten Antworten geben. Was er oder sie wirklich wissen will, ist Folgendes: Wird sich diese Schwachstelle negativ auf unsere Fähigkeit auswirken, unserem Kerngeschäft nachzugehen? 

Die in Auftrag gegebene Forrester-Studie – die auf einer Umfrage unter 416 Sicherheitsverantwortlichen und 425 geschäftlichen Führungskräften in 10 Ländern basiert – macht deutlich, dass in der Art und Weise, wie Unternehmen Cyberrisiken verstehen und handhaben, eine Diskrepanz besteht. Laut dieser Studie, Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen, sind ein besorgniserregender Anteil von 66 % der Geschäftsverantwortlichen bestenfalls nur einigermaßen zuversichtlich, dass ihr Sicherheitsteam in der Lage ist, das Risiko- oder Sicherheitsniveau ihres Unternehmens zu quantifizieren.* Darüber hinaus ergab die Studie Folgendes:

• Weniger als 50 % der Sicherheitsverantwortlichen definieren die Auswirkungen von Cybersecurity-Bedrohungen im Kontext eines spezifischen Geschäftsrisikos. 
• Lediglich die Hälfte der Sicherheitsverantwortlichen (51 %) meldet, dass ihr Sicherheitsteam mit Business-Stakeholdern zusammenarbeitet, um Kosten-, Leistungs- und Risikominderungsziele auf geschäftliche Anforderungen abzustimmen.
• Nur 43 % der Sicherheitsverantwortlichen geben an, dass sie die Leistungskennzahlen der Sicherheitsorganisation regelmäßig gemeinsam mit Business-Stakeholdern überprüfen.
• Weniger als die Hälfte der Sicherheitsverantwortlichen (47 %) ziehen bei der Entwicklung von Cybersecurity-Strategien regelmäßig geschäftliche Führungskräfte hinzu. Umgekehrt beraten sich vier von zehn geschäftlichen Führungskräften bei der Ausarbeitung von Geschäftsstrategien nur selten – wenn überhaupt – mit Sicherheitsverantwortlichen.
• Nur 54 % der Sicherheitsverantwortlichen und 42 % der geschäftlichen Führungskräfte geben an, dass ihre Cybersecurity-Ziele völlig oder weitgehend auf Geschäftsziele abgestimmt sind. 

„Die größte Herausforderung bei Gesprächen mit Geschäftsverantwortlichen besteht darin, dabei nicht-technisch und geschäftsorientiert zu bleiben oder aber in der Lage zu sein, technischen Jargon in die Business-Sprache zu übersetzen“ erklärt Kevin Kerr, CISO von Oak Ridge National Laboratory im US-Bundesstaat Tennessee, in einem Interview mit Tenable. „Wenn Sie das Geschäft nicht verstehen, ist das nicht möglich. Es muss Ihnen klar sein, wo die Befürchtungen der Geschäftsverantwortlichen liegen, was sie als Bedrohung empfinden und was sie für wichtig halten. Wenn Sie ihr Business verstehen, wissen Sie, was sie zu erreichen versuchen, was sie zu schützen versuchen und was sie zu monetarisieren versuchen. Dann präsentieren Sie Ihnen die beste Möglichkeit, dies auf sichere Weise zu tun, um die Standards zu erfüllen, für die Sie zur Rechenschaft gezogen werden, [während Sie ihnen zugleich] die Freiheit geben, ihren Geschäften nachzugehen.“

Geschäftlichen Kontext verstehen

Auf den geschäftlichen Kontext von Cyberrisiken einzugehen ist nicht einfach, und die Antworten werden von Unternehmen zu Unternehmen unterschiedlich ausfallen. 

„Risiko ist ein Begriff, den Manager kennen und fürchten, und er ist auch im Bereich der Cybersicherheit gut bekannt“, sagt Cesar Garza, CISO bei Home Depot Mexico in San Pedro, Mexiko. „Wir Cybersecurity-Experten beschäftigen uns ständig mit Risiken: Schwachstellen, Codefehler, menschliches Versagen, fehlerhafte Prozesse, veraltete Technologien, Fehlkonfigurationen usw. Risiko ist der verbindende Faktor zwischen der Sprache der Cybersicherheit und der Sprache des Business. Es ist die gemeinsame Basis. Dennoch ist es eine Herausforderung, Cybersecurity-Risiken in Geschäftsrisiken zu übersetzen, die von Führungskräften verstanden werden müssen. In einigen Fällen müssen wir das Worst-Case-Szenario heraufbeschwören, über Befürchtungen wie Geldstrafen, Markenschäden und den Verlust der Kundenloyalität sprechen, um die Botschaft auch wirklich zu vermitteln. Deshalb sage ich gerne: ‚Lassen Sie uns über Risiken sprechen, damit wir unsere Investitionen in die Cybersicherheit verstehen können‘.“

Um geschäftlichen Kontext bereitzustellen, müssen Sicherheits- und Risikomanagement-Verantwortliche zunächst in der Lage sein, zwei entscheidende Fragen zu beantworten:

1. Worin besteht die zentrale Wertschöpfung Ihres Unternehmens? In der Produktion könnte die Antwort darin bestehen, Widgets herzustellen und mit Gewinn zu verkaufen. Die Antwort im Gesundheitswesen könnte sein, Patienten medizinische Versorgung zu bieten. In der öffentlichen Verwaltung lautet die Antwort möglicherweise, eine Dienstleistung für die Öffentlichkeit zu erbringen, z. B. Führerscheine auszustellen oder sich um die Müllentsorgung zu kümmern. 
2. Welche Ihrer IT-Assets sind entscheidend, um diese zentrale Wertschöpfung zu erzielen? Gibt es zum Beispiel ein ERP-System oder eine Anwendung für Patientenakten oder eine Datenbank, die Ihre Geschäftstätigkeit zum Erliegen bringen würde, wenn sie offline genommen würde? Gibt es Benutzergruppen, deren Computer im Fall einer Kompromittierung wichtiges geistiges Eigentum oder sensible Daten offenlegen würden, die das Unternehmen daran hindern könnten, diese zentrale Wertschöpfung zu erbringen? Ist eine Cloud-Umgebung vorhanden, die, wenn sie offline geschaltet würde, einen wichtigen kundenorientierten Web-Service, wie etwa eine Bank- oder E-Commerce-Website, zum Ausfall bringen könnte?

„Es ist wirklich wichtig, gute Geschäftspartnerschaften oder Rücksprachen mit den verschiedenen Geschäftsverantwortlichen zu haben, um zu verstehen, welche Initiativen im Unternehmen laufen“, erklärt Rick Vadgama, VP und CISO für eine weltweite Reiseplattform in Needham, Massachussetts, in einem Interview mit Tenable. „Wenn ein System oder eine Funktion ausfallen würde, wie würde sich das auf die Einnahmequelle auswirken? Auf Grundlage dieser Informationen wüssten wir dann aus der Sicherheitsperspektive, wofür wir unsere Energie und Zeit aufwenden sollten, um sicherzustellen, dass wir alle Assets im Blick haben, aus denen sich dieses [System] zusammensetzt, und dass wir verstehen, wo die Schwachstellen liegen. Als InfoSec-Verantwortliche sind wir für enorm große Umgebungen zuständig. Durch echte Zusammenarbeit mit den Geschäftsverantwortlichen hört man aus erster Hand, was diese als die wichtigsten Systeme verstehen, ohne die sie nicht leben können, und kann dann die Arbeit entsprechend darauf ausrichten.“

Es ist zwar entscheidend, den Geschäftskontext besser zu verstehen, aber ebenso wichtig ist es, sich darüber im Klaren zu sein, dass uns die vorhandenen Asset-Management- und Konfigurationsdatenbanken selbst mit einem solchen Verständnis nur bis zu einem bestimmten Punkt helfen können. Zunächst einmal handelt es sich bei Bestandsaufnahmen und Konfigurationsmanagement um relativ statische Vorgänge. Meiner Erfahrung nach beschränken sich die meisten Organisationen auf die Durchführung einer jährlichen Risikobewertung oder Business-Impact-Analyse für kritische Geschäftsfunktionen. Ein derart statischer Ansatz reicht kaum aus, um den Realitäten der modernen Angriffsoberfläche Rechnung zu tragen, die eine dynamische Mischung aus On-Premises- und cloudbasierter IT, Internet of Things (IoT) und operativer Technologie umfasst. 

In den meisten großen Unternehmen werden beispielsweise täglich Cloud-Services nach Bedarf hoch- und heruntergefahren. Es werden ständig Computerressourcen hinzugefügt und entfernt, wenn Mitarbeiter einem Unternehmen beitreten oder daraus ausscheiden. Anwendungen und Software werden kontinuierlich implementiert und aktualisiert, wenn sich die Geschäftsanforderungen ändern. Und als Reaktion auf die COVID-19-Pandemie hat eine große Zahl von Mitarbeitern weltweit auf ein Homeoffice-Modell umgestellt, das vermutlich zu einer Veränderung in der Arbeitsweise von Unternehmen führen wird. Da sich das heutige Geschäft im Tempo des digitalen Handels bewegt, können Asset-Bestandslisten nicht Schritt halten. Sicherheitsverantwortliche müssen die ihnen zur Verfügung stehenden Tools nutzen, um sich ein möglichst umfassendes Verständnis der Kritikalität von Assets zu verschaffen. 

„Das derzeitige Tempo des Wachstums – besonders relevant in einer Branche, die normalerweise anorganisch wächst – zusammen mit einem gewissen Maß an Unklarheit bei der Durchführung qualitativer Risikobewertungen zählen zu den größten Herausforderungen, vor denen wir als Sicherheitsexperten stehen“, erklärt Jose Maria Labernia Salvador, Leiter der Abteilung IT-Sicherheit und interne Kontrolle bei LafargeHolcim IT EMEA in Madrid in einem Interview mit Tenable.

Sie müssen nicht nur Ihre geschäftskritischen Assets identifizieren, sondern zudem auch priorisieren können, welche der Zehntausenden von Bedrohungen und Schwachstellen, denen Ihr Unternehmen jedes Jahr ausgesetzt ist, tatsächlich das größte Risiko für diese entscheidenden Assets darstellen. Sicherheitsverantwortliche müssen die Bedrohung durch eine Schwachstelle oder Angriffsmethode gegen die geschäftlichen Auswirkungen von Behebungs- oder Eindämmungsmaßnahmen abwägen. Im Grunde genommen müssen Sie verstehen, wie stark Ihr Unternehmen durch das Problem gefährdet sind, wie schnell Sie es mithilfe der vorhandenen soliden Prozesse behandeln können und welche Auswirkungen es auf den Wert Ihres Kerngeschäfts hätte, wenn Sie nichts unternehmen, anstatt das Problem anzugehen.

Wenn die nächste medienwirksame Schwachstelle Ihren Vorstand in Panik versetzt, werden Sie bereit sein?

Letztendlich sind Ihre C-Level-Führungskräfte höchstwahrscheinlich keine Cybersecurity-Experten und mit Sicherheit keine Schwachstellenexperten. Sie wollen einfach nur wissen, welche Auswirkungen die Cybersecurity-Praxis des Unternehmens auf dessen Fähigkeit zur Wertschöpfung hat. Mit einem Business-orientierten Ansatz – bei dem Sie zuversichtlich einschätzen können, wie viele Schwachstellen für diejenigen Assets kritisch sind, die Ihre Kerngeschäftsbereiche am stärksten beeinflussen – werden Sie in die Lage versetzt, auf die Frage „Wie sicher bzw. gefährdet sind wir?“ eine klare Antwort zu geben. 

Lesen Sie die Blog-Reihe: Die Entwicklung zum Business-orientierten Cybersecurity-Verantwortlichen

In den Blog-Beiträgen dieser Serie wurden die Herausforderungen bei der Abstimmung von Cybersecurity und Business behandelt sowie Gründe dafür, warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher bzw. gefährdet sind wir?“ zu beantworten. Außerdem untersuchten wir, was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen, erörterten die Frage, warum bestehende Cybersecurity-Metriken zu kurz greifen, erkundeten fünf Schritte für eine bessere Abstimmung mit dem Busines und boten einen Einblick in den beruflichen Alltag eines Business-orientierten Cybersecurity-Verantwortlichen.

Mehr erfahren:

• Weitere wichtige Erkenntnisse aus der Studie finden Sie hier
• Weitere Informationen erhalten Sie auf unserer Website
• Laden Sie die komplette Studie Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen herunter
• Lesen Sie den Blog-Beitrag Cybersecurity und Business in Einklang bringen: Niemand behauptet, es sei einfach
• Laden Sie das Whitepaper Was es heißt, ein Business-orientierter Sicherheitsverantwortlicher zu sein herunter