Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070
E-Book von Tenable

Die Entwicklung zum Business‑orientierten Sicherheitsverantwortlichen

Einleitung: Die Zukunft gehört Business-orientierten Sicherheitsverantwortlichen


Einleitung: Die Zukunft gehört Business-orientierten Sicherheitsverantwortlichen

Die schlechte Nachricht ist, dass zwischen Business und Cybersecurity eine Kluft besteht. Die gute Nachricht? Diese beiden Bereiche aufeinander abzustimmen, kann den entscheidenden Unterschied ausmachen.

Wenn Sie schon länger als CISO, CSO oder anderer Cybersecurity-Verantwortlicher tätig sind, wurden Sie vermutlich schon recht häufig von einem CEO, Vorstandsmitglied oder einer anderen Führungskraft gefragt: „Wie sicher sind wir?“ Und Sie wissen auch, dass die Beantwortung dieser Frage nicht so einfach ist, wie es scheinen mag.

In einer Zeit, in der sich Unternehmensrisiken rapide verändern – durch Pandemien, Konjunkturrückgänge und Remote-Arbeit – verstärken die weltweit grassierenden Cyberangriffe und Bedrohungen nicht nur jedes Risiko, sondern haben Cybersecurity zu einem Thema gemacht, das jetzt auch von der Unternehmensleitung unter die Lupe genommen wird. Diejenigen unter uns, die an vorderster Front stehen, haben jedoch mit einer Vielzahl von Problemen zu kämpfen, die es schwierig machen, den Geschäftsverantwortlichen ein klares Bild von der Cybersecurity-Lage in unserem Unternehmen zu vermitteln.

Mit dem Ziel, einige dieser zentralen Herausforderungen an die Oberfläche zu bringen und Sicherheitsverantwortlichen dabei zu helfen, einen sinnvollen Dialog mit ihren Kollegen in der Geschäftsleitung zu initiieren, beauftragte Tenable Forrester Consulting damit, eine Online-Umfrage unter 416 Sicherheitsverantwortlichen und 425 Wirtschaftsführern durchzuführen und aus den Ergebnissen eine Studie zu erstellen, die Cybersecurity-Strategien und -Praktiken in mittelständischen bis großen Unternehmen untersucht. Diese Studie, Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen, macht deutlich, dass zwischen den Erwartungen der Geschäftsleitung und der Realität, mit der Sicherheitsverantwortliche konfrontiert sind, eine Diskrepanz besteht. Sie zeigt aber auch die vielleicht größte Chance auf, die sich heute für digitale Unternehmen bietet – nämlich die Rolle des CISO auf die gleiche Stufe anzuheben wie andere Führungspositionen.

Die Zukunft gehört Business-orientierten Sicherheitsverantwortlichen

Die Studie zeigt vier zentrale Themen auf:

  1. Cybersecurity-Bedrohungen gedeihen in einem Klima der Ungewissheit, weshalb dieses Thema auch für die Vorstandsebene interessant wird. Die überwiegende Mehrheit der Unternehmen (94 %) hat in den vergangenen 12 Monaten mindestens einen geschäftsschädigenden* Cyberangriff oder Sicherheitsverstoß erlitten. Etwa zwei Drittel (65 %) der Befragten gaben an, dass bei diesen Angriffen auch OT-Assets (operative Technologien) betroffen waren.
  2. Geschäftsverantwortliche wollen ein klares Bild von der Cybersecurity-Lage in ihren Unternehmen, doch ihre Cybersecurity-Kollegen haben Schwierigkeiten, ihnen dieses zu vermitteln. Laut eigenen Angaben können nur vier von zehn Sicherheitsverantwortlichen die Frage „Wie sicher bzw. gefährdet sind wir?“ mit einem hohen Maß an Gewissheit beantworten. Der Mangel an konsolidierten Daten und entsprechendem geschäftlichen Kontext trägt zu den Herausforderungen bei, denen Cybersecurity-Entscheidungsträger gegenüberstehen.
  3. Es gibt eine Diskrepanz in der Art und Weise, wie Unternehmen Cyberrisiken erkennen und managen. Weniger als 50 % der Sicherheitsverantwortlichen definieren die Auswirkungen von Cybersecurity-Bedrohungen im Kontext eines spezifischen Geschäftsrisikos. Lediglich die Hälfte der Sicherheitsverantwortlichen (51 %) meldet, dass ihr Sicherheitsteam mit Business-Stakeholdern zusammenarbeitet, um Kosten-, Leistungs- und Risikominderungsziele auf geschäftliche Anforderungen abzustimmen. Nur jeder vierte Sicherheitsverantwortliche (43 %) gibt an, die Leistungsmetriken der Sicherheitsabteilung regelmäßig gemeinsam mit Business-Stakeholdern zu prüfen.
  4. Cybersecurity muss zu einer Strategie zur Reduzierung des Geschäftsrisikos heranreifen. Das ist jedoch erst dann möglich, wenn Sicherheitsverantwortliche mehr Einblick in ihre Angriffsoberfläche haben. Knapp über die Hälfte der Sicherheitsverantwortlichen gibt an, dass ihre Sicherheitsabteilung die gesamte Angriffsoberfläche des Unternehmens umfassend im Blick hat und bewerten kann, und weniger als 50 % setzen kontextbezogene Bedrohungsmetriken ein, um das Cyberrisiko des Unternehmens zu messen. Das heißt, ihre Fähigkeit, Cyberrisiken zu analysieren und Behebungsmaßnahmen nach geschäftlicher Kritikalität und Bedrohungskontext zu priorisieren und durchzuführen, ist begrenzt.

Die Studie zeigt, dass Security- und Business-Leader signifikante, nachweisbare Ergebnisse liefern, wenn sie sich an gemeinsam vereinbarten Daten zum Unternehmensrisiko orientieren. Bei Business-orientierten Sicherheitsverantwortlichen ist es im Vergleich zu ihren eher isoliert arbeitenden Kollegen acht Mal wahrscheinlicher, dass sie ein hohes Maß an Vertrauen in ihre Fähigkeit haben, die Sicherheits- oder Risikolage ihrer Unternehmen zu quantifizieren. Angesichts der aktuellen Wirtschaftslage, in der ein weltweiter Wirtschaftsabschwung Unternehmen dazu veranlasst, ihre Ausgaben zu überdenken, ist folgende Entwicklung umso bemerkenswerter: 85 % der Business-orientierten Sicherheitsverantwortlichen verfügen über Metriken, um den Cybersecurity-ROI und die Auswirkungen auf die Geschäftsentwicklung zu verfolgen, im Vergleich zu nur 25 % ihrer eher reaktiv und isoliert agierenden Kollegen.

Dan Bowden, CISO bei Sentara Healthcare, äußerste sich bereits letztes Jahr in einem Interview mit Tenable dazu: „Heutzutage wird in der Gesellschaft sehr darauf geachtet, wie gut Unternehmen Risiken managen – Führungsteams und Vorstände in jedem Unternehmen wollen Teil der Lösung sein, wenn es darum geht, das Problem zu beseitigen. Wenn Sie ihnen verlässliche Daten über die Gefährdung geben können sowie dazu, was wirklich unbedingt getan werden muss, können sie mit den Daten etwas anfangen. Sie möchten ihren Teil beitragen sein und Sie dabei unterstützen, Risiken besser im Griff zu haben.“

„Heutzutage wird in der Gesellschaft sehr darauf geachtet, wie gut Unternehmen Risiken managen – Führungsteams und Vorstände in jedem Unternehmen wollen Teil der Lösung sein, wenn es darum geht, das Problem zu beseitigen.“ – Dan Bowden, CISO, Sentara Healthcare

Um die erforderliche Abstimmung von Sicherheit und Business zu erreichen, benötigen CISOs und andere Sicherheitsverantwortliche die richtige Kombination von Technologien, Daten, Prozessen und Mitarbeitern. Beispielsweise verfügt die überwiegende Mehrheit von Unternehmen (80 %), in denen Sicherheit und Business eng kooperieren, über einen Business Information Security Officer (BISO) oder eine ähnliche Rolle, verglichen mit nur 35 % der in dieser Hinsicht weniger koordinierten Unternehmen. Die Studie ergab außerdem, dass Business-orientierte Sicherheitsverantwortliche bei der Automatisierung wichtiger Vulnerability Assessment-Prozesse um +49 bis +66 Prozentpunkte besser abschneiden als ihre eher reaktiv und isoliert agierenden Fachkollegen.

In den folgenden Kapiteln erörtern wir diese und weitere Ergebnisse der Studie und zeigen auf, wie Tenable Ihrem Unternehmen helfen kann, die technologischen und datentechnischen Herausforderungen zu überwinden, die zu dieser Diskrepanz führen. In Kapitel 1 befassen wir uns eingehender mit den vielen Herausforderungen, vor denen Sicherheitsverantwortliche bei der Beantwortung der Frage „Wie sicher sind wir?“ stehen. In Kapitel 2 gehen wir in Anlehnung an Schlagzeilen darauf ein, wie Unternehmen mit COVID-19 umgegangen sind, um zu verdeutlichen, wie sich die Kluft zwischen Business und Cybersecurity in der Praxis manifestiert. In Kapitel 3 gehen wir der Frage nach, warum vorhandene Cybersecurity-Metriken nicht ausreichen und CISOs und anderen Sicherheitsverantwortlichen nicht die benötigten Daten liefern, um Geschäftsrisiken Rechnung zu tragen. In Kapitel 4 und Kapitel 5 wird erörtert, wie eine Business-orientierte Cybersecurity-Praxis aussieht und wie Sie damit beginnen können, eine solche in Ihrem Unternehmen aufzubauen. Darüber hinaus geben wir Tipps und Empfehlungen, wie Sie Ihre eigene Rolle in die eines Business-orientierten Cybersecurity-Verantwortlichen transformieren können.

– Robert Huber, Chief Security Officer, Tenable *Im Rahmen dieser Studie bezieht sich der Begriff „geschäftsschädigend“ auf einen Cyberangriff oder Sicherheitsverstoß, der zu mindestens einer der folgenden Konsequenzen geführt hat: Verlust von Kunden-, Mitarbeiter- oder anderen vertraulichen Daten, Unterbrechung des normalen Geschäftsbetriebs, Auszahlung von Lösegeld, finanzieller Verlust/Diebstahl und/oder Diebstahl von geistigem Eigentum.

Wie Unternehmen Cyberrisiken objektiv messen können

Durch die Umsetzung von Best Practices für das Cyber Exposure -Management können Unternehmen funktionale Silos effektiver abbauen und bei der Erörterung von Risiken eine gemeinsame Sprache sprechen, die sowohl Business- als auch Sicherheitsteams verstehen. Mit Tenable sind Unternehmen in der Lage, Cyberrisiken auf der gesamten Angriffsoberfläche ganzheitlich zu bewerten, zu managen und letztendlich zu reduzieren. Anhand von Cyber Exposure können Unternehmen ihr Cyberrisiko objektiv messen und sowohl intern als auch mit anderen Unternehmen der Branche vergleichen, um die strategische Entscheidungsfindung zu unterstützen und Sicherheitsinitiativen besser auf Geschäftsziele abzustimmen. So wie in anderen Aufgabenbereichen Aufzeichnungssysteme zum Einsatz kommen (beispielsweise ITSM im IT-Bereich und CRM im Vertrieb), kann Tenable als Aufzeichnungssystem fungieren, das ein effektives Managen und Messen von Cyberrisiken im Kontext des Geschäftsrisikos ermöglicht.

Mehr erfahren

Kapitel 1: Warum es Cybersecurity-Verantwortlichen schwerfällt, die Frage „Wie sicher sind wir?“ zu beantworten


Kapitel 1: Warum es Cybersecurity-Verantwortlichen schwerfällt, die Frage „Wie sicher sind wir?“ zu beantworten

Cybersecurity ist nur selten vollständig in die Unternehmensstrategie integriert – jedoch sollte sie es sein.

Stellen Sie sich Folgendes vor: Es wurde eine Schlagzeilen machende Schwachstelle aufgedeckt. Überall in den Nachrichten und sozialen Medien wird darüber berichtet. Es geht um Software, die weltweit von fast jedem Unternehmen verwendet wird. Der Vorstand verlangt Antworten und Ihre C-Level-Führungskräfte verbreiten Panik. Ihr CEO beruft eine Krisensitzung ein. Die erste Frage an Sie lautet: „Wie sicher bzw. gefährdet sind wir?“

Sind Sie auf eine Antwort vorbereitet?

Wenn ja, gehören Sie zu den Glücklichen. Laut der Studie Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen von Forrester Consulting können nur vier von zehn Sicherheitsverantwortlichen die Frage „Wie sicher bzw. gefährdet sind wir?“ mit einem hohen Maß an Gewissheit beantworten.

Jeder, der im Bereich Cybersecurity auch nur etwas Erfahrung hat, weiß, warum die Beantwortung dieser Frage weitaus schwieriger ist, als es den Anschein haben mag.

Sicherlich können Sie Daten darüber liefern, wie viele Systeme betroffen sind und wie schnell Ihr Team Abhilfe schaffen kann. Doch all diese Daten werden Ihrem CEO nicht die gewünschten Antworten geben. Was er oder sie wirklich wissen will, ist Folgendes: Wird sich diese Schwachstelle negativ auf unsere Fähigkeit auswirken, unserem Kerngeschäft nachzugehen?

Letztendlich sind Ihre C-Level-Führungskräfte höchstwahrscheinlich keine Cybersecurity-Experten und mit Sicherheit keine Schwachstellenexperten. Sie wollen einfach nur wissen, welche Auswirkungen die Cybersecurity-Praxis des Unternehmens auf dessen Fähigkeit zur Wertschöpfung hat.

Die Studie von Forrester Consulting verdeutlicht, dass eine Diskrepanz in der Art und Weise besteht, wie Unternehmen Cyberrisiken erkennen und managen. Beispielsweise ist ein besorgniserregender Anteil von 66 % der Geschäftsverantwortlichen – bestenfalls – nur einigermaßen zuversichtlich, dass ihr Sicherheitsteam in der Lage ist, das Risiko- oder Sicherheitsniveau ihres Unternehmens zu quantifizieren. Darüber hinaus ergab die Studie Folgendes:

  • Weniger als 50 % der Sicherheitsverantwortlichen definieren die Auswirkungen von Cybersecurity-Bedrohungen im Kontext eines spezifischen Geschäftsrisikos.
  • Lediglich die Hälfte der Sicherheitsverantwortlichen (51 %) meldet, dass ihr Sicherheitsteam mit Business-Stakeholdern zusammenarbeitet, um Kosten-, Leistungs- und Risikominderungsziele auf geschäftliche Anforderungen abzustimmen.
  • Nur 43 % der Sicherheitsverantwortlichen geben an, dass sie die Leistungskennzahlen der Sicherheitsorganisation regelmäßig gemeinsam mit Business-Stakeholdern überprüfen.
  • Weniger als die Hälfte der Sicherheitsverantwortlichen 47 % zieht bei der Entwicklung von Cybersecurity-Strategien regelmäßig geschäftliche Führungskräfte hinzu. Umgekehrt beraten sich vier von zehn geschäftlichen Führungskräften (42 %) bei der Ausarbeitung von Geschäftsstrategien nur selten – wenn überhaupt – mit Sicherheitsverantwortlichen.
  • Nur 54 % der Sicherheitsverantwortlichen und 42 % der geschäftlichen Führungskräfte geben an, dass ihre Cybersecurity-Ziele völlig oder weitgehend auf Geschäftsziele abgestimmt sind.

Geschäftlichen Kontext verstehen

Auf den geschäftlichen Kontext von Cyberrisiken einzugehen, ist nicht einfach, und die Antworten werden von Unternehmen zu Unternehmen unterschiedlich ausfallen. Um geschäftlichen Kontext bereitzustellen, müssen Sicherheits- und Risikomanagement-Verantwortliche zunächst in der Lage sein, zwei entscheidende Fragen zu beantworten:

  1. Was ist der Hauptgrund für die Existenz Ihres Unternehmens? In der Produktion könnte die Antwort darin bestehen, Widgets herzustellen und mit Gewinn zu verkaufen. Die Antwort im Gesundheitswesen könnte sein, Patienten medizinische Versorgung zu bieten. In der öffentlichen Verwaltung lautet die Antwort möglicherweise, eine Dienstleistung für die Öffentlichkeit zu erbringen, z. B. Führerscheine auszustellen oder sich um die Müllentsorgung zu kümmern.
  2. Welche Ihrer IT-Assets sind unerlässlich, um diesen Hauptgrund für die Existenz Ihres Unternehmens zu erfüllen? Gibt es zum Beispiel ein ERP-System oder eine Anwendung für Patientenakten oder eine Datenbank, die Ihre Geschäftstätigkeit zum Erliegen bringen würde, wenn sie offline genommen würde? Gibt es Benutzergruppen, deren Computer im Fall einer Kompromittierung wichtiges geistiges Eigentum oder sensible Daten offenlegen würden, die das Unternehmen daran hindern könnten, diese zentrale Wertschöpfung zu erbringen? Ist eine Cloud-Umgebung vorhanden, die, wenn sie offline geschaltet würde, einen wichtigen kundenorientierten Web-Service, wie etwa eine Bank- oder E-Commerce-Website, zum Absturz bringen könnte?

Laden Sie die vollständige Studie herunter: Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen

Eine von Forrester Consulting durchgeführte Auftragsstudie unter mehr als 800 Business- und Cybersecurity-Leadern weltweit

Jetzt herunterladen
Laden Sie die vollständige Studie herunter: Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen

Vorhandene Asset-Management- und Konfigurationsdatenbanken können bei der Beantwortung dieser geschäftlichen Fragen nur bedingt weiterhelfen. Zunächst einmal handelt es sich bei Asset-Bestandsaufnahmen und Konfigurationsmanagement um relativ statische Vorgänge. Die meisten Organisationen beschränken sich auf die Durchführung einer jährlichen Risikobewertung oder Business-Impact-Analyse für kritische Geschäftsfunktionen. Ein derart statischer Ansatz reicht kaum aus, um den Realitäten der modernen Angriffsoberfläche Rechnung zu tragen, die eine dynamische Mischung aus On-Premises- und cloudbasierter IT, Internet of Things (IoT) und operativer Technologie (OT) umfasst.

Vorhandene Asset-Management- und Konfigurationsdatenbanken können bei der Beantwortung geschäftlicher Fragen nur bedingt weiterhelfen.

In den meisten großen Unternehmen werden beispielsweise täglich Cloud-Services nach Bedarf hoch- und heruntergefahren. Es werden ständig Computerressourcen hinzugefügt und entfernt, wenn Mitarbeiter einem Unternehmen beitreten oder daraus ausscheiden. Anwendungen und Software werden kontinuierlich implementiert und aktualisiert, wenn sich die Geschäftsanforderungen ändern. Und als Reaktion auf die COVID-19-Pandemie hat eine große Zahl von Mitarbeitern weltweit auf ein Homeoffice-Modell umgestellt, das vermutlich zu einer Veränderung in der Arbeitsweise von Unternehmen führen wird. Da sich das heutige Geschäft im Tempo des digitalen Handels bewegt, können Asset-Bestandslisten nicht Schritt halten. Sicherheitsverantwortliche müssen die ihnen zur Verfügung stehenden Tools nutzen, um sich ein möglichst umfassendes Verständnis der Kritikalität von Assets zu verschaffen.

Sie müssen nicht nur Ihre geschäftskritischen Assets identifizieren, sondern zudem auch priorisieren können, welche der Zehntausenden von Bedrohungen und Schwachstellen, denen Ihr Unternehmen jedes Jahr ausgesetzt ist, tatsächlich das größte Risiko für diese entscheidenden Assets darstellen. Sicherheitsverantwortliche müssen die Bedrohung durch eine Schwachstelle oder Angriffsmethode gegen die geschäftlichen Auswirkungen von Behebungs- oder Eindämmungsmaßnahmen abwägen. Im Grunde genommen müssen Sie verstehen, wie stark Ihr Unternehmen durch das Problem gefährdet sind, wie schnell Sie es mithilfe der vorhandenen soliden Prozesse behandeln können und welche Auswirkungen es auf den Wert Ihres Kerngeschäfts hätte, wenn Sie nichts unternehmen, anstatt das Problem anzugehen.

Wenn die nächste medienwirksame Schwachstelle die Aufmerksamkeit Ihres Vorstands auf sich zieht, werden Sie bereit sein?

Letztendlich sind Ihre C-Level-Führungskräfte höchstwahrscheinlich keine Cybersecurity-Experten und mit Sicherheit keine Schwachstellenexperten. Sie wollen einfach nur wissen, welche Auswirkungen die Cybersecurity-Praxis des Unternehmens auf dessen Fähigkeit zur Wertschöpfung hat. Ein Business-orientierter Ansatz – bei dem Sie zuversichtlich einschätzen können, wie viele Schwachstellen für diejenigen Assets kritisch sind, die Ihre Kerngeschäftsbereiche am stärksten beeinflussen – befähigt Sie, auf die Frage „Wie sicher bzw. gefährdet sind wir?“ eine klare Antwort zu geben.

Vorbereitung zur Beantwortung der Frage: „Sind wir gefährdet?“

Jeder, der mit Informationssicherheit zu tun hat, wird bestätigen, dass Sie nur das schützen können, von dem Sie auch wissen, dass es existiert. Ohne umfassendes Verständnis der Assets in Ihrer Umgebung ist es schwer, sich ein grundlegendes Verständnis Ihres Cyberrisikos zu verschaffen. Wenn Ihnen darüber hinaus nicht klar ist, welche Rolle die einzelnen Assets für die Unterstützung kritischer Geschäftsfunktionen spielen, ist es unmöglich, die Auswirkungen der Abschaltung eines Systems zur Behebung einer Schwachstelle zu messen oder zu entscheiden, ob es überhaupt sinnvoll ist, sich mit einem bestimmten System zu befassen. Wo also anfangen?

  1. Entwickeln Sie ein Verständnis der Unternehmensumgebung. Kooperieren Sie mit Ihren Kollegen aus dem Business-Bereich, um die Dienste und Applikationen zu verstehen, die geschützt werden müssen, und diese zu identifizieren und zu priorisieren. Denn wo anfangen, wenn alles gleich wichtig ist? Ohne entsprechende Informationen können Sie nicht eindeutig bestimmen, welche Teile des Business möglicherweise von einem Exploit betroffen sind. Zudem wird es quasi unmöglich sein, zu wissen, mit wem Sie im Falle eines Problems zusammenarbeiten müssen.
  2. Bewerten Sie sämtliche Assets kontinuierlich. Die meisten älteren Scanner wurden für traditionelle IT-Umgebungen entwickelt und sind daher nicht darauf ausgelegt, Schwachstellen in den dynamischsten Teilbereichen der modernen Angriffsoberfläche zu erkennen. Hierzu zählen etwa die Cloud, operative Technologien und Container-Umgebungen. Deshalb sollten Sie zu einer umfassenden Lösung wechseln, die aktives Scannen, passives Monitoring, Agents, Connectors und Integrationen bietet, damit Sie einen möglichst großen Teil Ihrer Umgebung bewerten können – und zwar unabhängig davon, wo und in welcher Umgebung sich Assets befinden, ob sie in den Prüfungsumfang von Audits fallen oder wie häufig sie mit dem Netzwerk verbunden sind.
  3. Fügen Sie geschäftlichen Kontext hinzu, indem Sie Assets mit beschreibenden Metadaten kennzeichnen. Verwenden Sie Tags, um geschäftskritische Assets zu identifizieren. Durch Tagging können Sie Risiken nach Geschäftseinheit (welche „Aufgabe“ unterstützen diese Assets?) oder Team (mit wem muss ich zusammenarbeiten, um potenzielle Probleme zu beheben?) messen. Mit Tenable können Sie Assets sowohl automatisch (anhand von Regeln) als auch manuell taggen.
  4. Priorisieren Sie Schwachstellen auf Basis des Risikos und bestimmen Sie Maßnahmen. Sie müssen nicht nur Ihre geschäftskritischen Assets identifizieren, sondern zudem auch priorisieren, welche der Bedrohungen und Schwachstellen, denen Ihr Unternehmen ausgesetzt ist, tatsächlich das größte Risiko für diese entscheidenden Assets darstellen. Sicherheitsverantwortliche müssen die Bedrohung durch eine Schwachstelle oder Angriffsmethode gegen die geschäftlichen Auswirkungen von Behebungs- oder Eindämmungsmaßnahmen abwägen. Sie müssen vorhersagen können, bei welchen der vielen Tausend Schwachstellen, die Jahr für Jahr neu entdeckt werden, die Wahrscheinlichkeit einer Ausnutzung durch Angreifer am höchsten ist, wie stark Ihr Unternehmen durch diese Schwachstellen gefährdet sind und wie schnell Sie mithilfe Ihrer vorhandenen Behebungsverfahren auf diese Schwachstellen reagieren können. Zudem ist die Frage zu beantworten, welche Auswirkungen es auf den Wert Ihres Kerngeschäfts hätte, wenn Sie nichts unternehmen, anstatt das Problem anzugehen.

Kapitel 2: Fallstudie: Die Kluft zwischen Business und Cybersecurity in der Praxis


Kapitel 2: Fallstudie: Die Kluft zwischen Business und Cybersecurity in der Praxis

Als Unternehmen aus aller Welt sich einen Wettlauf dabei lieferten, Strategien zur Reaktion auf die COVID-19-Pandemie zu entwickeln, war es offensichtlich, dass der Cybersecurity-Bereich dabei kein Mitspracherecht hatte.

Es ist allgemein bekannt, dass Cyberkriminelle im Zuge von großen Ereignissen, etwa einer weltweiten Krise oder einer Schlagzeilen machenden Schwachstelle wie WannaCry, verstärkt Malware- und Phishing-Betrug begehen. Im Jahr 2020 hat kein Ereignis größere Schlagzeilen produziert als der Ausbruch von COVID-19 – einer durch Viren übertragenen Krankheit, die eine globale Pandemie auslgelöst hat. Die Krise traf viele Unternehmen unvorbereitet und machte deutlich, wie mangelnde Disaster Response- und Business Continuity-Bereitschaft in Verbindung mit einer unzureichenden Abstimmung zwischen Business- und Security-Leadern Unternehmen in Gefahr bringen.

Obwohl fast alle Befragten (96 %) in der Auftragsstudie von Forrester Consulting bestätigten, dass ihre Unternehmen COVID-19-Reaktionsstrategien entwickelt haben, gab die überwiegende Mehrheit (75 %) an, dass Business- und Sicherheitsmaßnahmen bestenfalls „einigermaßen“ aufeinander abgestimmt sind.

In einer Zeit, in der Homeoffice-Arbeitsmodelle als Reaktion auf die Pandemie auf einmal flächendeckend akzeptiert werden, und dadurch eine Fülle von Endbenutzer-Geräten mit Unternehmensnetzwerken verbunden sind, ist dies zutiefst besorgniserregend. Remote-Desktops, die früher als netter Bonus für eine ausgesuchte Gruppe von Mitarbeitern galten, sind heute unerlässliche Tools, die von einer Vielzahl von Mitarbeitern genutzt werden, um den Betrieb von Unternehmen aufrechtzuerhalten. Mitarbeiter verbinden sich plötzlich mit zentralen Business-Systemen und -Applikationen – über ihre bis dato ungetesteten und möglicherweise anfälligen privaten Router und Heimnetzwerke. Durch die Popularität von IoT-Geräten (Internet of Things) werden sie zu potenziellen Bedrohungsvektoren. In einem gewöhnlichen Heimnetzwerk könnten Amazon Alexa- oder andere Tools mit Sprachaktivierung, TV-Geräte mit Internetverbindung und Spielkonsolen vorhanden sein – ganz zu schweigen von den verschiedenen Laptops, Tablets und Smartphones von Ehepartnern, Kindern oder anderen Mitgliedern des Haushalts.

Etwa die Hälfte (48 %) der von Forrester Consulting befragten Cybersecurity-Verantwortlichen gibt an, nur mäßigen bis gar keinen Überblick über ihre Remote-Mitarbeiter im Homeoffice zu haben.

Schätzungen des Brookings Institute zufolge arbeiteten zum Stichtag am 9. April 2020 bis zur Hälfte aller US-amerikanischen Arbeitnehmer im Homeoffice, was es als „eine massive Verlagerung“ bezeichnet. Aus einer Studie von Pew Research geht hervor, dass vor der Pandemie nur 7 % der zivilen Arbeitnehmer in den Vereinigten Staaten – also ungefähr 9,8 Millionen der etwa 140 Millionen zivilen Arbeitnehmer des Landes – Zugang zu einem „flexiblen Arbeitsplatz“ (als Arbeitgeberleistung) oder Möglichkeiten zur Telearbeit hatten.

Und Cyberkriminelle stürzen sich darauf, die explosionsartig vergrößerte Angriffsoberfläche auszunutzen. Der Studie von Forrester zufolge hatten Mitte April 2020 bereits vier von zehn Unternehmen (41 %) mindestens einen geschäftsschädigenden* Cyberangriff erlitten, der auf eine Phishing- oder Malware-Kampagne im Zusammenhang mit COVID-19 zurückzuführen war. De facto waren Betrugsfälle mit COVID-Bezug die häufigste Ursache aller in der Studie gemeldeten geschäftsschädigenden Cyberangriffe. Obwohl die Weltgesundheitsorganisation COVID-19 erst einige Wochen zuvor zur Pandemie erklärt hatte, wurden Angriffe mit COVID-Bezug zum Zeitpunkt der Durchführung der Umfrage bereits häufiger verzeichnet als andere geschäftsschädigende Angriffe, wie etwa im Zusammenhang mit Betrug (40 %), Datenschutzvorfällen (37 %), Ransomware (36 %) und Software-Schwachstellen (34 %).

Diese Trends bereiten Cybersecurity-Verantwortlichen verständlicherweise Sorgen. Zwei von drei Befragten der Forrester-Umfrage (67 %) sind sehr oder äußerst besorgt darüber, dass durch COVID-19 verursachte Veränderungen im Personalbestand das Risikoniveau ihres Unternehmens weiter erhöhen könnte.

Noch problematischer ist, dass etwa die Hälfte (48 %) der Cybersecurity-Verantwortlichen angibt, nur mäßigen bis gar keinen Überblick über ihre Remote-Mitarbeiter im Homeoffice zu haben.

Eine der wichtigsten Maßnahmen, mit der Unternehmen diese Kluft überbrücken können, besteht darin, dass sie den Cybersecurity-Bereich in die Ausarbeitung von Risikomanagement-Strategien einbeziehen.

Wie Risikomanagement Ihnen helfen kann, zu einem Business-orientierten Cybersecurity-Verantwortlichen zu werden

CISOs, CSOs und andere Cybersecurity-Verantwortliche eignen sich hervorragend dafür, eine größere Rolle im Risikomanagement und den damit verbundenen Disziplinen Business Continuity, Disaster Recovery und Krisenmanagement zu übernehmen. Bedingt durch Ihre berufliche Tätigkeit befinden Sie sich genau an der Schnittstelle zwischen Technologie und Business. Sie haben Einblick in alle Systeme, Daten und Prozesse, die zur Umsetzung eines Business Continuity- und Disaster Recovery-Plans notwendig sind. Die Beteiligung am Risikomanagement kann auch Ihre Arbeit ein wenig überschaubarer machen: Wenn Sie alle Ihre kritischen Prozesse und Assets im Kontext des damit verbundenen erweiterten Unternehmensrisikos verstehen können, wird Sie dies in Sachen Cybersecurity nur noch stärker machen.

Die Durchführung von Risikomanagement-Maßnahmen, die als Brücke zwischen dem Business- und InfoSec-Bereich des Unternehmens dienen können, bieten zudem einen klaren operativen Nutzen. Die Erkenntnisse aus diesem Prozess werden dem gesamten Unternehmen ein besseres Verständnis davon vermitteln, wie Ressourcen (sowohl personelle als auch finanzielle) am besten priorisiert werden können, um den Geschäftsbetrieb selbst während einer Krise in Gang zu halten.

Wenn Sie alle Ihre kritischen Prozesse und Assets im Kontext des damit verbundenen erweiterten Unternehmensrisikos verstehen können, wird Sie dies in Sachen Cybersecurity nur noch stärker machen.

In Zeiten, in denen Unternehmen ein möglicherweise langer Zeitraum wirtschaftlicher Ungewissheit bevorsteht, ist es wichtiger denn je, Investitionen auf der Grundlage von Risiken zu priorisieren. Die Studie von Forrester zeigt, dass Sicherheits- und Geschäftsverantwortliche bemerkenswerte Ergebnisse liefern, wenn sie an einem Strang ziehen. Beispielsweise verfügen 85 % der Business-orientierten Sicherheitsverantwortlichen über Metriken, um den Cybersecurity-ROI und die Auswirkungen auf die Geschäftsentwicklung zu verfolgen, verglichen mit nur einem Viertel (25 %) ihrer eher reaktiv und isoliert agierenden Kollegen.

Wenn Sie sich an der Entwicklung der Enterprise Risk Management (ERM)-Strategie Ihres Unternehmens beteiligen, sind Sie auf dem besten Weg, ein Business-orientierter Cybersecurity-Leader zu werden.

Diese sechs Schritte helfen Ihnen bei der anfänglichen Identifizierung und Bewertung von Unternehmensrisiken:

  1. Erstellen Sie eine Umfrage zur Risikobewertung und verteilen Sie diese an wichtige Stakeholder. Umfragen dieser Art richten sich in der Regel an die Senior Director-Ebene sowie an übergeordnete Ebenen und sollten Vertreter aus allen wichtigen Abteilungen Ihres Unternehmens umfassen, einschließlich Finanzen, Recht, Personalwesen, Informationstechnologie, Informationssicherheit, Vertrieb, Operations, Marketing und F&E. Sobald Ihre Umfrage abgeschlossen ist, sollten Sie die Antworten in Risikokategorien einordnen, damit Sie ein Verzeichnis der Unternehmensrisiken anlegen können.
  2. Führen Sie Untersuchungen und Analysen durch, um die Risiken Ihres Unternehmens mit Umfragen zu Branchenrisiken zu vergleichen.
  3. Entwickeln Sie eine Methodik zur Risikobewertung, einschließlich Wahrscheinlichkeit und Auswirkung, um eine Bewertung des Gesamtrisikos zu erhalten.
  4. Identifizieren Sie wichtige Verantwortliche in Ihrem Unternehmen und nehmen Sie sich Zeit für persönliche Gespräche, um Feedback zu Risiken und Priorisierung sowie zur Wahrscheinlichkeit und Auswirkung von Risiken einzuholen.
  5. Legen Sie die Ergebnisse Ihrer Risikobewertung dem Management vor, um abschließend die größten Risiken zu ermitteln und Risikoverantwortliche auf Leitungsebene zu bestimmen.
  6. Arbeiten Sie mit Risikoverantwortlichen auf Leitungsebene zusammen, um Aktivitäten zur Eindämmung der größten Risiken festzulegen.

Die oben genannten Schritte sind mit hohem Aufwand verbunden. Für Sie ergibt sich jedoch der große Vorteil, dass Sie über klare Prioritäten verfügen. Sie erhalten eine Liste mit Unternehmensrisiken, auf die sich alle Beteiligten verständigt haben. Dabei wird Cybersecurity vermutlich ein eigenständiges Unternehmensrisiko sein, sich jedoch zweifellos in irgendeiner Form auf viele – wenn nicht alle – anderen Unternehmensrisiken auswirken.

Wenn Sie die Bewertung des Unternehmensrisikos mit einer Business-Impact-Analyse kombinieren – ein unverzichtbarer Bestandteil von Business Continuity und Disaster Recovery, um zu bestimmen, auf welche kritischen Systeme und Geschäftsprozesse Ihr Unternehmen am wenigsten verzichten kann –, bilden beide Aspekte die Grundlage für die Entwicklung einer Business-orientierten Cybersecurity-Strategie. Dadurch liegt Ihnen eine Liste der kritischsten Unternehmensrisiken und -prozesse vor, sodass Sie auch in Krisenzeiten und bei Wiederaufnahme des normalen Geschäftsbetriebs klare Prioritäten setzen können – ganz gleich, ob die jeweilige Krise aus einem Cyberangriff, einer Naturkatastrophe oder aus einer globalen Pandemie resultiert.

In stabilen Zeiten fällt es Unternehmen nur allzu leicht, das Risikomanagement im Unternehmen als bloße Checkliste zu betrachten, die am besten von einem eigenständigen Team von Risikoexperten abgearbeitet werden sollte. Doch durch COVID-19 befanden sich Business- und Technologieverantwortliche plötzlich in einem Crash­kurs für Krisenmanagement. Es empfiehlt sich, diesen Moment zum Anlass zu nehmen, um Ihre eigene Vorgehensweise im Hinblick auf Unternehmensrisiken zu überdenken, damit Sie besser auf schlechte Zeiten vorbereitet sind und gute Zeiten zu Ihrem Vorteil nutzen können.

Im Rahmen dieser Studie bezieht sich der Begriff „geschäftsschädigend“ auf einen Cyberangriff oder Sicherheitsverstoß, der zu mindestens einer der folgenden Konsequenzen geführt hat: Verlust von Kunden-, Mitarbeiter- oder anderen vertraulichen Daten, Unterbrechung des normalen Geschäftsbetriebs, Auszahlung von Lösegeld, finanzieller Verlust/Diebstahl und/oder Diebstahl von geistigem Eigentum.

Cyber Exposure Score: Wie sicher ist das Unternehmen?

Mit Tenable Lumin können Unternehmen ihre Cyber Exposure effektiv messen und Benchmark-Vergleiche sowohl intern als auch extern mit ähnlichen Unternehmen anstellen.

Mehr erfahren
Cyber Exposure Score: Wie sicher ist das Unternehmen?

Managen Ihrer Sicherheitslage in Zeiten schneller Veränderungen

In Zeiten rascher Veränderungen ist es besonders wichtig zu verstehen, wie neue Geschäftsstrategien die Angriffsoberfläche Ihres Unternehmens vergrößern und gleichzeitig zu neuen Risiken führen können. Als Sicherheitsverantwortlicher müssen Sie in der Lage sein, die Auswirkungen dieser Veränderungen auf Ihre Sicherheitslage zu messen und diese Informationen zuständigen Kollegen im gesamten Unternehmen in einer für sie verständlichen Weise zu vermitteln.

Um diese beiden Anforderungen zu erfüllen, hat Tenable den Cyber Exposure Score (CES) entwickelt – eine einfache, objektive Bewertung, die der Schnittstelle zwischen Ihren technischen und geschäftlichen Risiken entspricht. Der CES stützt sich auf Datenwissenschaft und wird täglich automatisch durch maschinelle Lernalgorithmen aktualisiert, die Daten zu Schwachstellen mit anderen Risikoindikatoren wie Threat-Intelligence und Asset-Kritikalität kombinieren. Der Wert verbindet das Vulnerability Priority Rating (VPR) von Tenable, das die Wahrscheinlichkeit einer Ausnutzung und deren potenzielle Auswirkungen misst, mit unserem Asset Criticality Rating (ACR), das den geschäftlichen Wert jedes betroffenen Assets nachverfolgt.

Da die sich wandelnde Bedrohungslandschaft einen stetigen Austausch erfordert, bietet Tenable auch einen kontinuierlichen Überblick über Cyber Exposure-Trends. Hierzu zählen Visualisierungen, die Verbesserungen oder Verschlechterungen im Laufe der Zeit veranschaulichen und Ihnen und Ihren Business-Stakeholdern Erkenntnisse zur Wirksamkeit von Sicherheitsprogrammen bieten. Sie können den CES-Wert Ihres Unternehmens in den letzten sechs Monaten anzeigen und Wertveränderungen der letzten sieben Tage hervorheben, damit potenzielle Probleme erkannt werden. Nutzen Sie diese Daten, um Ihre Fortschritte im zeitlichen Verlauf zu verfolgen, Problembereiche zu ermitteln und Ressourcen entsprechend zuzuteilen.

Kapitel 3: Kommunikation des Geschäftsrisikos: Warum bestehende Cybersecurity-Metriken zu kurz greifen


Kapitel 3: Kommunikation des Geschäftsrisikos: Warum bestehende Cybersecurity-Metriken zu kurz greifen

Trotz einer Fülle von verfügbaren Tools haben InfoSec-Verantwortliche Schwierigkeiten, die Kluft zwischen Business und Sicherheit zu überbrücken.

Wie vermitteln Sie C-Level-Führungskräften den Geschäftsrisiko-Kontext Ihres Cybersecurity-Programms?

Sicherheits- und Risikomanagement-Verantwortlichen steht ein breites Spektrum von Frameworks und Kontrollen zur Verfügung, mit deren Hilfe sie selbst die kleinsten Facetten ihrer Programme bis ins letzte Detail messen können. Obwohl solche Metriken für die Verwaltung des Alltagsbetriebs von Sicherheitsteams von unschätzbarem Wert sind, sind sie für die Kommunikation mit Business-Leadern keine große Hilfe.

Bei Interaktionen mit der Führungsebene oder auf Ebene des Prüfungsausschusses – der in den meisten Vorständen für das Thema Sicherheit zuständig ist – wollen Führungskräfte nachvollziehen, wie sich Ihr Cybersecurity-Programm auf die Fähigkeit des Unternehmens auswirkt, sein zentrales Leistungsversprechen zu erfüllen. Doch eine weltweite Studie unter mehr als 800 Business- und Cybersecurity-Leadern, durchgeführt von Forrester Consulting im Auftrag von Tenable, hat ergeben, dass 66 % der Geschäftsverantwortlichen bestenfalls nur einigermaßen zuversichtlich sind, dass ihr Sicherheitsteam in der Lage ist, das Risiko- oder Sicherheitsniveau ihres Unternehmens zu quantifizieren.

Aktuelle Verfahren zur Messung des Cyberrisikos bieten Unternehmen nicht das benötigte Maß an geschäftlichem Kontext.

Damit soll nicht suggeriert werden, dass Sicherheitsverantwortliche etwas falsch machen. Vielmehr ist dies ein klarer Beleg für eine unausweichliche Tatsache: Aktuelle Verfahren zur Messung des Cyberrisikos bieten Unternehmen nicht das benötigte Maß an geschäftlichem Kontext. Mehr als die Hälfte der befragten Sicherheitsverantwortlichen ist nicht davon überzeugt, über die notwendigen Technologien oder Prozesse zur Vorhersage von Cybersecurity-Bedrohungen für ihr Unternehmen zu verfügen, und etwa zwei Fünftel sind unsicher, ob ihnen die erforderlichen Daten zur Verfügung stehen.

Wie kalkulieren wir das Cyberrisiko?

Das Cyberrisiko richtet sich nach den zum gegebenen Zeitpunkt vorhandenen Assets, Sicherheitskontrollen, Bedrohungen und Schwachstellen. Wenn Sie nicht wissen, welche Assets für Ihr Kerngeschäft am kritischsten sind, ist es unmöglich nachzuvollziehen, welche Cyberrisiken tatsächlich eine Bedrohung für Ihr Unternehmen darstellen. Sobald Sie Ihre kritischsten Assets ermittelt haben, müssen Sie sich im nächsten Schritt ein Verständnis davon verschaffen, welche der Zehntausenden von Bedrohungen und Schwachstellen, denen Ihr Unternehmen jedes Jahr ausgesetzt ist, tatsächlich das größte Risiko für diese entscheidenden Assets darstellen.

Die Mehrheit der von Forrester Consulting befragten Sicherheitsverantwortlichen (56 %) wendet bei der Priorisierung von Schwachstellen keine Ziele des unternehmerischen Risikomanagements an.

Der Studie von Forrester zufolge definieren weniger als 50 % der Sicherheitsverantwortlichen die Auswirkungen von Cybersecurity-Bedrohungen im Kontext eines spezifischen Geschäftsrisikos. Die Mehrheit der befragten Sicherheitsverantwortlichen (56 %) berücksichtigt bei der Priorisierung von Schwachstellen keine Ziele des unternehmerischen Risikomanagements. Lediglich die Hälfte (51 %) meldet, dass ihr Team eng mit Business-Stakeholdern zusammenarbeitet, um Kosten-, Leistungs- und Risikominderungsziele auf geschäftliche Anforderungen abzustimmen. Und nur jeder Vierte gibt an, die Leistungsmetriken der Sicherheitsabteilung regelmäßig gemeinsam mit Business-Kollegen zu prüfen.

Darüber hinaus ergab die Studie Folgendes:

  • Mehr als die Hälfte (56 %) der Sicherheitsverantwortlichen gibt an, dass ihr Team den Sicherheitsstatus der kritischsten Assets ihres Unternehmens nicht gut überblicken kann.
  • Etwa 60 % der Befragten sagen, dass sie die Mitarbeiter vor Ort zwecks Risikobewertung weitgehend oder vollständig überblicken können. Bei Mitarbeitern, die standortfern oder im Homeoffice arbeiten, ist dies nur bei (52 %) der Befragten der Fall.
  • Nur 51 % können die von Auftragnehmern oder Geschäftspartnern verwendeten Systeme weitgehend oder vollständig überblicken und 55 % geben dies für Drittanbieter an.

Ohne geschäftlichen Kontext ist keine Berechnung des Cyberrisikos möglich

Zwei der häufigsten Fragen, die Mitglieder von Geschäftsleitung und Vorstand an Sicherheitsverantwortliche richten, sind: „Sind wir sicher?“ und „Wie schneidet unser Programm im Vergleich zu ähnlichen Unternehmen ab?“

Im Gegensatz zu ihren Business-Kollegen verfügen Sicherheitsverantwortliche nur in begrenztem Umfang über objektive Daten, auf denen sie die Cyberrisiko-Gleichung aus Assets, Sicherheitskontrollen, Bedrohungen und Schwachstellen aufbauen können. Nur so lassen sich diese beiden Fragen jedoch beantworten. Kein bestehendes Framework kann den InfoSec-Betrieb in seiner Gesamtheit erfassen, sodass Sicherheitsverantwortliche keine andere Wahl haben, als sich einen Flickenteppich aus unterschiedlichen Maßnahmen zusammenzubasteln. Ohne objektive Messung des geschäftlichen Kontexts für jedes Ihrer Assets kann die rechnerische Ermittlung des Cyberrisikos Ihnen nur bedingt weiterhelfen.

Weniger als die Hälfte der befragten Sicherheitsverantwortlichen hält die verwendeten Branchen-Benchmarking-Frameworks im Hinblick auf ein genaues Reporting der geschäftlichen Risiken für sehr effektiv.

In der Tat geht aus der Studie von Forrester hervor, dass weniger als die Hälfte der befragten Sicherheitsverantwortlichen die verwendeten branchenspezifischen Benchmarking-Frameworks im Hinblick auf ein genaues Reporting der geschäftlichen Risiken für sehr effektiv halten. Und mehr als die Hälfte sind der Ansicht, beim Benchmarking ihrer Sicherheitskontrollen unzureichende Arbeit zu leisten.

Parallel dazu sind in der Angriffsoberfläche von Unternehmen derart viele Variablen von Belang, dass es auf absehbare Zeit vermutlich zu keinem branchenweiten Konsens im Hinblick auf Sicherheitsmetriken kommen wird. Kein Unternehmen kann jemals von sich behaupten, zu 100 % sicher zu sein. Sicherheitsverantwortlichen stehen lediglich ihre fundierten Berechnungen dessen zur Verfügung, was als akzeptables Risikoniveau betrachtet wird. Dadurch können sie aus geschäftlicher Sicht entscheiden, wie weit sie noch gehen sollten, sobald ein angemessenes Maß der Gefährdung behoben wurde.

Wie also kann man die Kluft zwischen Cybersecurity und Business mit den vorhandenen Mitteln überbrücken?

Laden Sie die vollständige Studie herunter: Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen

Eine von Forrester Consulting durchgeführte Auftragsstudie unter mehr als 800 Business- und Cybersecurity-Leadern weltweit

Jetzt herunterladen
Laden Sie die vollständige Studie herunter: Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen

Mit den vorhandenen Daten zum gewünschten Ziel

Risiko ist relativ, nicht absolut. In Unternehmen wird es immer Risiko geben. Die Frage ist, ob die Leiter des Unternehmens das Risiko durch eine bestimmte geschäftliche Maßnahme verringert oder erhöht haben. Mit derzeit verfügbaren Optionen zur Sicherheitsbewertung können Sie – ähnlich einer mit Kreide gezogenen Startlinie – Ihren Ausgangspunkt festlegen, von dem aus Sie sich dann ein Bild davon machen können, was zur Verbesserung Ihres Sicherheitsprogramms getan werden muss.

Es gibt keinen universellen Ansatz zur Ermittlung der Risikoindikatoren, die für Ihr Unternehmen am wichtigsten sind. Als Fachexperten bleibt Sicherheitsverantwortlichen nichts anderes übrig, als gemeinsam darauf hinzuarbeiten, Metriken für das Geschäftsrisiko zu entwerfen, die für Geschäftsverantwortliche der Führungsebene besonders aussagekräftig sind.

Zu diesem Zweck hat Tenable CSO Robert Huber die folgende Liste mit konkreten Fragen zusammengestellt, die ihm im Laufe seiner Karriere von Vorständen und C-Level-Führungskräften gestellt wurden. Berücksichtigen Sie diese Beispiele in Ihren Überlegungen, wenn Sie sich auf Ihre eigenen Meetings mit der Unternehmensleitung vorbereiten.

  1. Was und/oder wo sind unsere kritischsten Risiken, Funktionen und Assets?
  2. Was unternehmen wir zu deren Schutz?
  3. Wie ausgereift ist unser Programm im Vergleich zur Branche und zu ähnlichen Unternehmen?
  4. Welche Roadmap haben wir zur Verbesserung unseres Reifegrads?
  5. Wie ist unser Sicherheitsprogramm ausgestattet, verglichen mit Mitbewerbern oder ähnlichen Unternehmen in unserem Branchensektor?
  6. Sind unsere geschäftskritischsten Funktionen heute sicherer als noch vor einem Jahr?
  7. Was unternehmen wir gegen (Name der letzten Schlagzeilen machenden Schwachstelle hier einfügen)?

Vielleicht entwickeln Sie ausgehend von den obigen Fragen eigene Ideen zu anderen Indikatoren des Geschäftsrisikos, deren Messung sich lohnt, sodass Sicherheitsverantwortliche gemeinsam bessere Möglichkeiten finden können, um Cybersecurity und Business aufeinander abzustimmen.

Einführung einer gemeinsamen Sprache zur Vermittlung Ihrer Sicherheitsstrategie an die Geschäftsleitung und den Vorstand

Die Kluft zwischen Business und Sicherheit zu überwinden stellt eine Herausforderung dar. Sicherheitsverantwortliche benötigen bessere Möglichkeiten, um Fragen von Kollegen aus dem Business-Bereich zu beantworten. Die Forrester-Studie verdeutlicht die Notwendigkeit eines Tools, das eine klare, präzise Messung des Geschäftsrisikos ermöglicht, den Geschäftsverantwortlichen handlungsrelevante Erkenntnisse liefert und Sicherheitsteams zudem die erforderliche Funktionsvielfalt bietet. Und genau an dieser Stelle setzt Tenable Lumin an.

  • Cyber Exposure berechnen und kommunizieren
    Über den Cyber Exposure Score (CES) erhalten Sie eine objektive Messung des Cyberrisikos. Dabei werden Schwachstellendaten mit anderen Risikoindikatoren wie Threat-Intelligence und Asset-Kritikalität kombiniert. Der CES-Wert kann für eine beliebige Gruppe von Assets ermittelt werden, von einem einzelnen Asset bis hin zu allen Assets im gesamten Unternehmen. Anhand dieser Informationen können Sie Ihre Maßnahmen zum Schutz Ihrer kritischsten Funktionen und Assets priorisieren und Fortschritte quantifizieren.
  • Fortschritte anhand von Cyber Exposure-Trends verfolgen
    Erweiterte Visualisierungen verdeutlichen Trendentwicklungen im zeitlichen Verlauf als Indikator für die Effektivität von Sicherheitsprogrammen. Verfolgen Sie den CES-Wert Ihres Unternehmens in den letzten sechs Monaten und heben Sie Wertveränderungen der letzten sieben Tage hervor, damit potenzielle Probleme erkannt werden. Nutzen Sie diese Daten, um Ihre Fortschritte im zeitlichen Verlauf zu verfolgen, Problembereiche zu ermitteln und Ressourcen entsprechend zuzuteilen.
  • Reifegrad mit anderen Unternehmen der Branche vergleichen
    Unternehmen können sich mit ähnlichen Firmen der Branche vergleichen und so Defizite und Stärken rasch ermitteln. Diverse wichtige Metriken werden zum Vergleich herangezogen, beispielsweise CES und Bewertungsreife. So entsteht eine Baseline, anhand der Sie die Effektivität Ihres Sicherheitsbetriebs analysieren und mit anderen Unternehmen der Branche und allgemeinen Durchschnittswerten abgleichen können.
  • Lücken und Best Practices innerhalb Ihres Unternehmens analysieren
    Da der CES-Wert für beliebige Asset-Gruppen ermittelt werden kann, können Sicherheitsteams interne Betriebsgruppen (z. B. Geschäftsbereiche, IT-Umgebungen, Niederlassungen) miteinander vergleichen. Diese Analyse hilft, Aufmerksamkeit und Ressourcen auf Bereiche mit hohem Risiko zu fokussieren und Best Practices für das gesamte Unternehmen abzuleiten. Asset-Gruppierungen können anhand vorhandener Tags individuell zusammengestellt werden, sodass Sie nach Segmenten des Unternehmens filtern und diese analysieren können.

Kapitel 4: In fünf Schritten zum Business-orientierten Cybersecurity-Verantwortlichen


Kapitel 4: In fünf Schritten zum Business-orientierten Cybersecurity-Verantwortlichen

Security- und Business-Bereich liefern nachweisbare Ergebnisse, wenn sie sich an gemeinsam vereinbarten Kontextinformationen orientieren. Wir zeigen Ihnen, wie das möglich ist.

Als Cybersecurity-Verantwortlicher werden Sie mit Daten überschwemmt. Sie wissen, wie viele Schwachstellen es gibt. Sie wissen, wie viele Patches Sie bereitgestellt haben. Sie kennen die neuesten Bedrohungen in- und auswendig. Doch trotz all dieser verfügbaren Informationen könnte es Ihnen schwer fallen, die Frage „Wie sicher bzw. gefährdet sind wir?“ mit einem hohen Maß an Gewissheit zu beantworten.

Der Grund dafür? Ihnen fehlen entscheidende Informationen: der geschäftlicher Kontext.

Die typische Gleichung zur Berechnung der Sicherheits- oder Risikolage eines Unternehmens berücksichtigt Assets, Sicherheitskontrollen, Bedrohungen und Schwachstellen. Ohne geschäftlichen Kontext – d. h. ohne Verständnis davon, welche Assets für das zentrale Leistungsversprechen Ihres Unternehmens am wichtigsten sind und welche Sicherheitskontrollen für diese Assets greifen – sind Ergebnisse von Berechnungen des Sicherheitsrisikos bestenfalls unvollständig.

Sicherheitsverantwortliche können den geschäftlichen Kontext aber nicht nachvollziehen, wenn sie isoliert in Silos arbeiten. Dazu ist ein Maß an strategischer Abstimmung zwischen Business- und Cybersecurity-Leadern erforderlich, das in den meisten Unternehmen nicht vorhanden ist. Die Auftragsstudie von Forrester Consulting zeigt eine erhebliche Kluft zwischen Business und Sicherheit: Nur 54 % der befragten Sicherheitsverantwortlichen und 42 % der geschäftlichen Führungskräfte geben an, dass ihre Cybersecurity-Ziele völlig oder weitgehend auf Geschäftsziele abgestimmt sind. Weniger als die Hälfte der befragten Sicherheitsverantwortlichen zieht laut eigenen Angaben bei der Entwicklung von Cybersecurity-Strategien regelmäßig geschäftliche Führungskräfte hinzu. Schlimmer noch, vier von zehn geschäftlichen Führungskräften konsultieren bei der Ausarbeitung von Geschäftsstrategien in ihrem Unternehmen nur selten – wenn überhaupt – die Sicherheitsverantwortlichen.

Nur 54 % der von Forrester Consulting befragten Sicherheitsverantwortlichen und 42 % der geschäftlichen Führungskräfte geben an, dass ihre Cybersecurity-Ziele völlig oder weitgehend auf Geschäftsziele abgestimmt sind.

Doch die Studie von Forrester zeigt, dass Geschäfts- und Sicherheitsverantwortliche nachweisbare Ergebnisse liefern, wenn sie an einem Strang ziehen. So sind Business-orientierte Sicherheitsverantwortliche beispielsweise:

  • Vorbereitet, Sicherheits- und Risikoberichte vorzulegen: Bei Business-orientierten Sicherheitsverantwortlichen ist es im Vergleich zu ihren eher isoliert arbeitenden Kollegen acht Mal wahrscheinlicher, dass sie ein hohes Maß an Vertrauen in ihre Fähigkeit haben, die Sicherheits- oder Risikolage ihrer Unternehmen zu quantifizieren.
  • Bereit, den ROI ihrer Sicherheitsinitiativen nachzuweisen: Die überwiegende Mehrheit (85 %) der Business-orientierten Sicherheitsverantwortlichen verfügt über Metriken, um den Cybersecurity-ROI und die Auswirkungen auf die Geschäftsentwicklung zu verfolgen, im Vergleich zu nur 25 % ihrer eher reaktiv und isoliert agierenden Kollegen.
  • Mit einem festgelegten Benchmarking-Prozess ausgerüstet: Fast 9 von 10 Business-orientierten Sicherheitsverantwortlichen (86 %) haben einen Prozess, in dem Erwartungen klar formuliert sind und kontinuierliche Prozessverbesserungen gegenüber ähnlichen Unternehmen und/oder internen Gruppen aufgezeigt werden. Bei nicht Business-orientierten Kollegen liegt dieser Wert bei nur 32 %.

Das soll jedoch nicht heißen, dass allein Sicherheitsverantwortliche dafür zuständig sind, diese Abstimmung im Unternehmen zu erreichen. Einige Unternehmen neigen aufgrund der Firmenkultur dazu, Silos aufzubauen. Wenn Sie in einem solchen Unternehmen arbeiten, könnte es immer schwierig sein, sich mit Ihren Business-Kollegen abzustimmen – wie sehr Sie sich auch bemühen.

Wenn Sie sich unsicher sind, in welche Kategorie Ihr Unternehmen hinsichtlich der internen Abstimmung genau fällt, können Sie dies schnell feststellen: Wenn es in Ihrem Unternehmen eine Führungskraft mit dem Titel „Business Information Security Officer“ gibt, ist es im ausgereifteren Bereich der Skala anzusiedeln. Der Studie von Forrester zufolge verfügt die überwiegende Mehrheit von Unternehmen (80 %), in denen Sicherheit und Business eng kooperieren, über einen Business Information Security Officer (BISO) oder eine ähnliche Rolle, verglichen mit nur 35 % der in dieser Hinsicht weniger koordinierten Unternehmen.

Laden Sie die vollständige Studie herunter: Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen

Eine von Forrester Consulting durchgeführte Auftragsstudie unter mehr als 800 Business- und Cybersecurity-Leadern weltweit

Jetzt herunterladen
Laden Sie die vollständige Studie herunter: Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen

Die Entwicklung zum Business-orientierten Cybersecurity-Verantwortlichen

Wenn Sie das Glück haben, für ein Unternehmen mit einer bereits relativ ausgereiften Abstimmung zwischen Business und Cybersecurity tätig zu sein, ist Ihr Weg zum Business-orientierten Sicherheitsverantwortlichen recht klar vorgezeichnet – auch wenn dabei noch viel Arbeit vor Ihnen liegt. Falls Sie aber für ein Unternehmen arbeiten, das sich auf der Skala des Reifegrads der Abstimmung am unteren Ende befindet, ist Ihr Weg mit deutlich größeren Herausforderungen verbunden. Da es keinen universellen Ansatz gibt, bieten Ihnen die folgenden Orientierungshilfen verschiedene Optionen, die jeweils auf die drei allgemeinen Stufen des Abstimmungsreifegrads zugeschnitten sind.

Fünf Schritte für eine verbesserte Abstimmung mit Business-Stakeholdern auf jeder Stufe des unternehmerischen Reifegrads

1 Stellen Sie sicher, dass Sie die Geschäftsziele Ihres Unternehmens für das laufende Jahr verstehen.
Geringe Abstimmung

Sie müssen höchstwahrscheinlich eigene Nachforschungen anstellen und sich mit öffentlich zugänglichen Dokumenten wie Gewinnprognosen und Geschäftsberichten befassen, um sich ein einigermaßen klares Bild der Prioritäten Ihres Unternehmens zu machen.

Moderate Abstimmung

Hier könnte es erforderlich sein, an Gesprächen auf Leadership-Ebene (VP) sowie an All-Hands-Meetings teilzunehmen und nach anderen Möglichkeiten zu suchen, um sich mit Ihren Business-Kollegen zu verständigen.

Hohe Abstimmung

Sie sind bereits bei wöchentlichen Meetings der Geschäftsleitung vertreten (andernfalls müssen Sie sich um Mitwirkung bemühen) und werden regelmäßig gebeten, Präsentationen vor dem Vorstand zu halten.

2 Bringen Sie in Erfahrung, wie diese Geschäftsziele Technologieentscheidungen beeinflussen.
Geringe Abstimmung

Möglicherweise sind Sie auf Beziehungen zu Kollegen im gesamten Unternehmen angewiesen, um sich ein Bild von Ihren kritischsten Systemen und Assets zu machen. Achten Sie insbesondere auf Ausfälle und Vorfälle, um Bereiche zu ermitteln, die für wichtig gehalten werden.

Moderate Abstimmung

Möglicherweise müssen Sie die Dinge selbst in die Hand nehmen und Gespräche mit VPs oder anderen Geschäftsbereichsleitern vereinbaren, um herauszufinden, welche Systeme am wichtigsten sind.

Hohe Abstimmung

Führen Sie eine Bewertung der geschäftlichen Auswirkungen durch, indem Sie Ihre wichtigsten geschäftlichen Führungskräfte befragen, um ein klares Verständnis dafür zu erhalten, welche Systeme für die täglichen Abläufe in Ihrem Unternehmen am wichtigsten sind.

3 Kooperieren Sie mit Business-Stakeholdern, um sicherzugehen, dass geschäftlicher Kontext in Ihre Cybersecurity-Metriken einfließt.
Geringe Abstimmung

Unter Umständen müssen Sie auf externe Quellen wie Branchenveranstaltungen, Fallstudien oder Networking-Gruppen zurückgreifen, um sich einen Gesamtüberblick über häufige Geschäftsanforderungen sowie wichtige Sicherheitsmetriken zu verschaffen und auf einer fundierter Vermutung beruhend zu entscheiden, welche für Ihr Unternehmen geeignet sind.

Moderate Abstimmung

Die Entwicklung solcher Metriken kann eine Herausforderung darstellen, da Sie möglicherweise keinen direkten Kontakt zu Führungskräften haben, die Ihnen bei der Bestimmung des geschäftlichen Kontexts helfen können. Sie müssen Beziehungen zu Geschäftsführern oder Geschäftsbereichsleitern aufbauen und Branchenkollegen konsultieren, um sich ein Verständnis davon zu verschaffen, welche Metriken für Sie am sinnvollsten sind.

Hohe Abstimmung

Bei diesem Schritt geht es einerseits darum, die richtigen Fragen zu stellen, und andererseits um die Identifizierung einer geringen Anzahl von Metriken, die für Ihr Unternehmen die größte Aussagekraft haben.

4 Priorisieren Sie Cybersecurity-Maßnahmen auf der Grundlage der Erkenntnisse, die Sie aus den oben genannten Schritten gewonnen haben.
Geringe Abstimmung

Sie können damit beginnen, Lücken in Ihrem Prozess festzustellen (z. B. fehlende Daten zur Asset-Kritikalität), und dann eine Roadmap entwickeln, um diese Lücken im Laufe der Zeit zu schließen.

Moderate Abstimmung

Daten zur Asset-Kritikalität können mit Bedrohungs- und Schwachstellendaten integriert werden, um zu einem stärker risikobasierten Ansatz überzugehen.

Hohe Abstimmung

Sie sollten außerdem Automatisierung einsetzen und einen prädiktiven Ansatz verwenden, um Ziele des unternehmerischen Risikomanagements bei der Priorisierung von Bedrohungen und Schwachstellen zu berücksichtigen.

5 Kommunizieren Sie mithilfe von Benchmarks, die für Ihre Business-Stakeholder nachvollziehbar sind.
Geringe Abstimmung

Erwägen Sie eine Zusammenarbeit mit externen Beratern, die Ihnen helfen, Ihre Kompetenzen im Bereich der Business-Sprache zu entwickeln. Dadurch sollte Ihr Ansehen bei Geschäftsverantwortlichen steigen, da Sie nicht nur Risiken bewerten, sondern auch das eigentliche Business.

Moderate Abstimmung

Unter Umständen müssen Sie sich verstärkt auf Ihre Beobachtungsgabe verlassen; achten Sie auf den Sprachgebrauch Ihrer geschäftlichen Kollegen und passen Sie Ihre Kommunikation entsprechend an.

Hohe Abstimmung

Aufgrund der Subjektivität vorhandener Frameworks und des fehlenden Branchenkonsens hinsichtlich wichtiger Risikoindikatoren kann dies selbst in Unternehmen mit hoher Abstimmung eine Herausforderung darstellen. Doch wenn Sie bereits ein hohes Maß an Abstimmung im Unternehmen erreicht haben, sollten Ihre Kollegen aus der Führungsebene ein offenes Gespräch bezüglich der Frage begrüßen, was sie wirklich wissen müssen – und was Sie in Ihren Berichten auslassen können.

Quelle: Tenable, August 2020.

Zu einem Business-orientierten Cybersecurity-Verantwortlichen zu werden ist kein Sprint, sondern ein Marathon. Es erfordert, dass man die Sprachen des Business und der Technologie gleichermaßen fließend beherrscht. Doch wie es in der Forrester-Studie heißt: „Moderne Sicherheitsbedrohungen erfordern einen neuen Ansatz.” Die Zukunft gehört Sicherheitsverantwortlichen, die bereit sind, Cybersecurity als Teil des Geschäftsrisikos zu managen.

Kapitel 5: Der berufliche Alltag eines Business-orientierten Sicherheitsverantwortlichen


Kapitel 5: Der berufliche Alltag eines Business-orientierten Sicherheitsverantwortlichen

Die Zukunft gehört Cybersecurity-Verantwortlichen, die Geschäftsrisiken verstehen und ihre Ziele entsprechend abstimmen können. Hier finden Sie acht tägliche Aktivitäten, die Sie dabei unterstützen können.

In den vorangegangenen Kapiteln wurde behandelt, wie die Einschränkungen von Technologien, Prozessen und Daten, die InfoSec-Verantwortlichen zur Verfügung stehen, die chronische Kluft zwischen Cybersecurity und Business weiter vertiefen. Die Diskussion wäre jedoch unvollständig, wenn man nicht auf die menschlichen Faktoren eingeht, die im Kern für diese Kluft ausschlaggebend sind.

CISOs und anderen Cybersecurity-Verantwortlichen kommt auf Leitungsebene eine Sonderrolle zu. Sie müssen die Sprachen der Technologie und des Business gleichermaßen fließend beherrschen. Doch im Vergleich zu Kollegen aus der Finanzabteilung oder dem Vertrieb, die möglicherweise ein Master-Studium in Betriebswirtschaft absolviert oder einen ähnlichen Bildungsstand haben, kommen viele Cybersecurity-Verantwortliche aus dem technischen Bereich, wie etwa der Informatik. InfoSec-Verantwortliche arbeiten sich in der Regel über Stellen im technischen Bereich des Unternehmens nach oben. Daher befinden sie sich sofort im Nachteil, wenn sie den Sprung in eine höhere Management- oder C-Level-Rolle endlich geschafft haben.

CISOs und anderen Cybersecurity-Verantwortlichen kommt auf Leitungsebene eine Sonderrolle zu. Sie müssen die Sprachen der Technologie und des Business gleichermaßen fließend beherrschen.

Technologie ist quasi ihre Muttersprache. Und die von ihnen verwendeten Tools und Prozesse beruhen alle auf dieser Sprache der Technologie. Somit erhalten sie Ergebnisse, die sie in ihrer Muttersprache klar artikulieren können. Die meisten Sicherheitsverantwortlichen haben „Business als Zweitsprache“ erlernt und können sich passabel verständigen. Eine gewisse Diskrepanz bleibt dennoch bestehen, zum Teil auch deshalb, weil die für Ihren Job notwendigen Tools und Frameworks keine einfache Übersetzung zulassen.

All das gehört zur täglichen Arbeit

In einem Whitepaper des SANS Institute aus dem Jahr 2003 wurden diese Herausforderungen, die auch heute noch aktuell sind, wie folgt beschrieben: „Die Verantwortlichkeiten [des CISO] sind mit anderen Vorstandsmitgliedern nicht vergleichbar, nicht einmal bei CIOs ist der Aufgabenbereich dermaßen groß.“ Laut dem Whitepaper von SANS zählen die folgenden Aufgaben zu den wichtigsten Verantwortlichkeiten der meisten CISOs:

  • Bei Anfragen von Kunden, Partnern und der breiten Öffentlichkeit bezüglich der Sicherheitsstrategie des Unternehmens als Repräsentant des Unternehmens auftreten
  • Im Umgang mit Strafverfolgungsbehörden als Repräsentant des Unternehmens auftreten und zugleich dem Ursprung von Netzwerkangriffen und Datendiebstahl durch Mitarbeiter nachgehen
  • Sicherheitsanforderungen mit dem strategischen Businessplan des Unternehmens in Einklang bringen, Risikofaktoren identifizieren und Lösungen in beiden Bereichen finden
  • Sicherheitsrichtlinien und -verfahren entwickeln, die Business-Applikationen adäquat schützen, ohne die zentralen Anforderungen des Kerngeschäfts zu beeinträchtigen
  • Reaktionen auf Sicherheitsverletzungen planen und testen und sich auf potenzielle Diskussionen des Vorfalls mit Kunden, Partnern und der breiten Öffentlichkeit einstellen
  • Auswahltests, Bereitstellung und Wartung von Hardware- und Softwareprodukten im Sicherheitsbereich sowie Outsourcing-Vereinbarungen beaufsichtigen
  • Einen Mitarbeiterstab leiten, der für die Sicherheit des Unternehmens verantwortlich ist – von Netzwerktechnikern, die Firewall-Geräte verwalten, bis hin zum Wachpersonal

Angesichts des schieren Umfangs dieser Rolle kann es schwierig sein, herauszufinden, welche Prioritäten Sie an einem typischen Arbeitstag hinsichtlich Ihrer Arbeitszeit setzen sollten. Die meisten Sicherheitsverantwortlichen würden es vorziehen, in der technischen Komfortzone zu bleiben (dargestellt durch die letzten drei Gliederungspunkte oben) und ihre Arbeitstage damit zu verbringen, für Vorfälle zu planen und Maßnahmen zu beaufsichtigen, die darauf ausgelegt sind, die Wahrscheinlichkeit eines Vorfalls zu minimieren.

In der eigenen Komfortzone zu verweilen, führt jedoch nicht zu größerer Sicherheit. Der Auftragsstudie von Forrester Consulting zufolge haben 94 % der Unternehmen in den vergangenen 12 Monaten mindestens einen Cyberangriff erlitten, der zu mindestens einer der folgenden Konsequenzen geführt hat: Verlust von Kunden-, Mitarbeiter- oder anderen vertraulichen Daten, Unterbrechung des normalen Geschäftsbetriebs, Auszahlung von Lösegeld, finanzieller Verlust/Diebstahl und/oder Diebstahl von geistigem Eigentum. Und die überwiegende Mehrheit der Befragten (77 %) geht davon aus, dass Cyberangriffe in den kommenden zwei Jahren weiter zunehmen werden.

Aus der Studie geht zudem hervor, dass 66 % der Geschäftsverantwortlichen – bestenfalls – nur einigermaßen zuversichtlich sind, dass ihr Sicherheitsteam in der Lage ist, das Risiko- oder Sicherheitsniveau ihres Unternehmens zu quantifizieren.

Der Weg zum Business-orientierten Sicherheitsverantwortlichen: 8 Schritte

Es ist klar, dass sich etwas ändern muss. Sicherheitsverantwortliche müssen Wege finden, um die Abstimmung mit dem Business zu verbessern. Und dazu sind Anstrengungen notwendig – Tag für Tag. Sie müssen genau darauf achten, wie Sie Ihre Zeit priorisieren, damit Ihre Abläufe stets so strukturiert sind, dass Ihnen ausreichend Zeit bleibt, um sich auf eine Abstimmung mit dem geschäftlichen Bereich zu konzentrieren. Hier finden Sie acht Praktiken, die Sie in Ihr Tagesgeschäft einbinden können und die Sie auf Ihrem Weg in eine Business-orientierte Zukunft begleiten werden:

  1. Befassen Sie sich täglich mit öffentlich zugänglichen Dokumenten Ihres Unternehmens. Achten Sie darauf, auf welche Themen Führungskräfte Ihres Unternehmens in Geschäftsberichten, Pressemitteilungen, Nachrichtenartikeln, sozialen Medien und Branchenforen eingehen.
  2. Vereinbaren Sie Gespräche mit Geschäftsbereichsleitern, um sich ein Bild von ihren täglichen Herausforderungen zu machen und Beziehungen aufzubauen. Finden Sie heraus, wie ihre Leistung gemessen wird. Unterstützen Sie sie dabei, Sicherheit anstatt als Hindernis als Triebfeder für ihre geschäftlichen Anforderungen zu betrachten. Dadurch ist es wahrscheinlicher, dass Sie frühzeitiger in strategische Planungen einbezogen werden.
  3. Entwickeln Sie ein grundlegendes Verständnis der Prioritäten und Herausforderungen von Unternehmen in Ihrem Branchensektor. Treten Sie Wirtschaftsverbänden oder anderen Berufsvereinigungen bei, lesen Sie B2B-Artikel in Fachzeitschriften und nehmen Sie an Webinaren und anderen Branchenveranstaltungen teil. Dadurch eignen Sie sich ein Grundvokabular an und machen sich mit wichtigen Sichtweisen vertraut, die Ihnen helfen, Ihre Sicherheitsinitiativen besser auf die speziellen Geschäftsanforderungen Ihres Unternehmens abzustimmen.
  4. Vereinbaren Sie regelmäßige Gespräche mit Ihren C-Level-Kollegen und finden Sie heraus, was ihnen schlaflose Nächte bereitet. Nur wenn Sie die allgemeineren geschäftlichen Probleme verstehen, können Sie auch ein ganzheitliches Verständnis davon entwickeln, was „Risiko“ für Ihr Unternehmen wirklich bedeutet.
  5. Nutzen Sie vierteljährliche Business Reviews als erstklassige Lernmöglichkeit. Hören Sie sich die strategischen Prioritäten und Probleme Ihrer Kollegen genau an und stellen Sie sich die Frage, welche externen geschäftlichen Faktoren diese beeinflussen. Achten Sie darauf, wie jede Führungskraft die Rendite ihrer Business-Investitionen veranschaulicht, und finden Sie Wege, Ihre eigenen ROI-Kennzahlen im Sicherheitsbereich entsprechend anzupassen.
  6. Bauen Sie ein Netzwerk aus vertrauenswürdigen Business-Beratern auf. Ziehen Sie Mentoren aus dem gesamten Spektrum der Geschäftswelt hinzu, die Sie beraten, Rückmeldungen geben und Ihnen so dabei helfen, Ihre Kommunikation für den Business-Bereich nachvollziehbarer zu gestalten.
  7. Bauen Sie Beziehungen zu den Risikoexperten in Ihrem Unternehmen auf. Cybersecurity ist ein Risiko in sich selbst – und ein Faktor in allen anderen Gesprächen rund um das Thema Geschäftsrisiken. Finden Sie heraus, wie Sie sich effektiv an der Entwicklung von unternehmerischen Risikomanagementstrategien beteiligen können, bei denen Cybersecurity im Mittelpunkt steht.
  8. Schenken Sie Beziehungen zu Drittanbietern Beachtung, die in Ihrem Unternehmen bestehen. Möglicherweise haben Sie bereits ein grundlegendes Verständnis der wichtigsten Beziehungen entwickelt, wie etwa zu Ihren Dienstleistern für die Lohn- und Gehaltsabrechnung oder zu ERP-Anbietern. Aber wie viel Einblick haben Sie in die Tools und Plattformen, die von Ihrem Web-Team oder den Service- und Support-Vertragspartnern verwendet werden, die die operative Technologie Ihres Unternehmens warten und betreuen?

Für alle oben genannten Schritte Zeit zu finden und zusätzlich alle anderen Tätigkeiten effektiv auszuüben, die zu Ihrer Rolle gehören, mag als kaum zu bewältigende, geradezu entmutigende Aufgabe erscheinen. Sie werden nicht alles auf einmal erledigen können. Wählen Sie eine oder zwei Tätigkeiten aus, die Ihnen am sinnvollsten erscheinen, und fangen Sie damit an. Wenn Sie sich bewusst dafür entscheiden, Ihre Komfortzone im Technologiebereich zu verlassen und sich stärker an Geschäftsanforderungen auszurichten, profitiert davon nicht nur Ihr Unternehmen. Diese Entscheidung bringt Sie auch beruflich weiter, denn sie versetzt Sie in die begehrte Position, Strategien zur Reduzierung des Geschäftsrisikos aktiv mitzugestalten.

Geeignete Tools zur Abstimmung mit dem Business

Tenable gibt Ihnen Tools an die Hand, mit denen Sie in die Lage versetzt werden, alles zu sehen, vorherzusagen, was wichtig ist, und entsprechende Maßnahmen zu ergreifen, um das Risiko auf der gesamten Angriffsoberfläche zu mindern. Denn die entscheidende Frage „Wie sicher bzw. gefährdet sind wir?“ klar, präzise und überzeugend beantworten zu können, ist im Alltag eines Business-orientierten Sicherheitsverantwortlichen von zentraler Bedeutung.

Alles sehen.

Da sich die Bedrohungslandschaft ständig verändert, müssen Sie Ihre konvergente Angriffsoberfläche fortlaufend und detailliert über ein Echtzeit-Dashboard bewerten können, das eindeutige Informationen zu gefährdeten Bereichen bietet. Tenable bietet Einblick in Tools und Technologien, die moderne Geschäftsstrategien unterstützen – Cloud, Container, Infrastruktur, operative Technologie (OT), Web-Apps und vieles mehr. Genau diese Tools vergrößern die Angriffsoberfläche des Unternehmens und führen zu neuen Geschäftsrisiken. Mit Tenable können Sie den Zustand sämtlicher Assets bewerten, einschließlich Schwachstellen, Fehlkonfigurationen und anderer Statusindikatoren. Aktives Scannen, Agents, passives Monitoring und Cloud Connectors von Tenable bieten Sichtbarkeit und einen kontinuierlichen Überblick über alle Assets – unabhängig davon, ob diese bereits bekannt sind oder bisher unbekannt waren. Mit der branchenweit umfangreichsten Unterstützung für CVEs und Sicherheitskonfigurationen hilft Ihnen Tenable dabei, sich ein besseres Bild und Verständnis sämtlicher vorhandenen Gefährdungen zu verschaffen.

Vorhersagen, was wichtig ist.

Unternehmen sind mit Schwachstellen überhäuft. Von den über 17.000 neuen Schwachstellen, die im Jahr 2019 veröffentlicht wurden, gab es für weniger als 7 % ein veröffentlichtes Exploit. Es ist entscheidend, diese gefährlichsten Schwachstellen zu identifizieren, bevor sie bei einem Angriff eingesetzt werden. Dank über zwei Jahrzehnten Erfahrung und durch maschinelle Lernalgorithmen auf Basis von einem 5 Petabyte großen Data Lake mit über 20 Billionen kontinuierlich bewerteten Datenpunkten zu Bedrohungen, Schwachstellen und Assets bietet Ihnen Tenable die Möglichkeit, Schwachstellen, kritische Assets und Risiken zu identifizieren, die für Ihr Unternehmen und die sichere Umsetzung Ihrer Geschäftsstrategien wirklich wichtig sind. Mit dem prädiktiven Ansatz von Tenable setzen Sie Prioritäten auf Basis von vorhandenen und neu aufkommenden Bedrohungen sowie deren potenziellen geschäftlichen Auswirkungen. Dadurch können Sie sich auf Schwachstellen konzentrieren, bei denen die Wahrscheinlichkeit einer Ausnutzung durch Angreifer am höchsten ist, und zuerst das beheben, was am wichtigsten ist.

Handeln, um Risiken zu mindern.

Reaktive, isolierte und taktisch orientierte Sicherheitsstrategien erschweren es Sicherheitsverantwortlichen, sich ein klares Bild des Cybersecurity-Zustands ihrer Unternehmen zu machen und zu verstehen, welche Bedrohungen das größte Geschäftsrisiko darstellen. Deshalb fällt es ihnen schwer, Maßnahmen zu ergreifen und mit Teams und Business-Kollegen effektiv zu kommunizieren. Tenable bietet Metriken zur Messung des Cyberrisikos und der Programmreife, um Unternehmensprozesse zu verbessern, Risiken zu bewältigen und Ergebnisse klar und zuversichtlich zu kommunizieren. Durch gegenseitige Abstimmung auf Basis dieser Metriken sprechen Sie eine gemeinsame Sprache und können ein ausgewogenes Gleichgewicht zwischen dem Tempo der geschäftlichen Transformation und einer angemessenen Sicherheitslage herstellen. Durch Quantifizierung und Benchmarking der Cyber Exposure mit Tenable können Sie die Effektivität Ihrer Maßnahmen im zeitlichen Verlauf intern und mit Fachkollegen vergleichen. Diese Metriken sind für die Kostenplanung, Ressourcenzuteilung und für Prozessverbesserungen von entscheidender Bedeutung.

Mit Tenable können Sie ganz leicht Bereiche ermitteln, die Aufmerksamkeit erfordern, und Sicherheitsinvestitionen optimieren. Visualisierungen der gesamten Angriffsoberfläche erlauben es allen Beteiligten – vom Analysten bis zur Führungsebene –, die Cyber Exposure des Unternehmens schnell zu verstehen, zu kommunizieren und gezielt zu reduzieren.

COPYRIGHT 2020 TENABLE, INC. ALLE RECHTE VORBEHALTEN. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER, SECURITYCENTER CONTINUOUS VIEW UND LOG CORRELATION ENGINE SIND EINGETRAGENE MARKEN VON TENABLE, INC. TENABLE.SC, LUMIN, ASSURE UND THE CYBER EXPOSURE COMPANY SIND MARKEN VON TENABLE, INC. ALLE ANDEREN PRODUKTE BZW. SERVICES SIND MARKEN IHRER JEWEILIGEN INHABER.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Web App Scanning testen

Profitieren Sie im Rahmen der Exposure-Management-Plattform Tenable One von unserem neuesten Angebot zum Scannen von Webanwendungen, das speziell für moderne Anwendungen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Apps. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web App Scanning umfasst außerdem Tenable Vulnerability Management und Tenable Lumin.

Tenable Web App Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihr Exposure-Management visualisieren und genauer untersuchen, die Risikoreduzierung im Zeitverlauf verfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Testversion von Tenable Lumin umfasst außerdem Tenable Vulnerability Management und Tenable Web App Scanning.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Tenable Lumin Sie dabei unterstützen kann, unternehmensweit Einblick zu gewinnen und Cyberrisiken zu managen.

Testen Sie Tenable Nessus Professional kostenlos

7 TAGE KOSTENLOS

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt.

NEU - Tenable Nessus Expert
Jetzt verfügbar

Nessus Expert bietet noch mehr Funktionen, darunter das Scannen externer Angriffsoberflächen sowie die Möglichkeit, Domänen hinzuzufügen und die Cloud-Infrastruktur zu scannen. Klicken Sie hier, um Nessus Expert zu testen.

Füllen Sie das Formular unten aus, um mit einer Nessus Pro-Testversion fortzufahren.

Tenable Nessus Professional kaufen

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt. Tenable Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Testen Sie Tenable Nessus Expert kostenlos

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie haben Tenable Nessus Professional bereits?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Tenable Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen