Die schlechte Nachricht ist, dass zwischen Business und Cybersecurity eine Kluft besteht. Die gute Nachricht? Diese beiden Bereiche aufeinander abzustimmen, kann den entscheidenden Unterschied ausmachen.
Wenn Sie schon länger als CISO, CSO oder anderer Cybersecurity-Verantwortlicher tätig sind, wurden Sie vermutlich schon recht häufig von einem CEO, Vorstandsmitglied oder einer anderen Führungskraft gefragt: „Wie sicher sind wir?“ Und Sie wissen auch, dass die Beantwortung dieser Frage nicht so einfach ist, wie es scheinen mag.
In einer Zeit, in der sich Unternehmensrisiken rapide verändern – durch Pandemien, Konjunkturrückgänge und Remote-Arbeit – verstärken die weltweit grassierenden Cyberangriffe und Bedrohungen nicht nur jedes Risiko, sondern haben Cybersecurity zu einem Thema gemacht, das jetzt auch von der Unternehmensleitung unter die Lupe genommen wird. Diejenigen unter uns, die an vorderster Front stehen, haben jedoch mit einer Vielzahl von Problemen zu kämpfen, die es schwierig machen, den Geschäftsverantwortlichen ein klares Bild von der Cybersecurity-Lage in unserem Unternehmen zu vermitteln.
Mit dem Ziel, einige dieser zentralen Herausforderungen an die Oberfläche zu bringen und Sicherheitsverantwortlichen dabei zu helfen, einen sinnvollen Dialog mit ihren Kollegen in der Geschäftsleitung zu initiieren, beauftragte Tenable Forrester Consulting damit, eine Online-Umfrage unter 416 Sicherheitsverantwortlichen und 425 Wirtschaftsführern durchzuführen und aus den Ergebnissen eine Studie zu erstellen, die Cybersecurity-Strategien und -Praktiken in mittelständischen bis großen Unternehmen untersucht. Diese Studie, Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen, macht deutlich, dass zwischen den Erwartungen der Geschäftsleitung und der Realität, mit der Sicherheitsverantwortliche konfrontiert sind, eine Diskrepanz besteht. Sie zeigt aber auch die vielleicht größte Chance auf, die sich heute für digitale Unternehmen bietet – nämlich die Rolle des CISO auf die gleiche Stufe anzuheben wie andere Führungspositionen.
Die Zukunft gehört Business-orientierten Sicherheitsverantwortlichen
Die Studie zeigt vier zentrale Themen auf:
- Cybersecurity-Bedrohungen gedeihen in einem Klima der Ungewissheit, weshalb dieses Thema auch für die Vorstandsebene interessant wird. Die überwiegende Mehrheit der Unternehmen (94 %) hat in den vergangenen 12 Monaten mindestens einen geschäftsschädigenden* Cyberangriff oder Sicherheitsverstoß erlitten. Etwa zwei Drittel (65 %) der Befragten gaben an, dass bei diesen Angriffen auch OT-Assets (operative Technologien) betroffen waren.
- Geschäftsverantwortliche wollen ein klares Bild von der Cybersecurity-Lage in ihren Unternehmen, doch ihre Cybersecurity-Kollegen haben Schwierigkeiten, ihnen dieses zu vermitteln. Laut eigenen Angaben können nur vier von zehn Sicherheitsverantwortlichen die Frage „Wie sicher bzw. gefährdet sind wir?“ mit einem hohen Maß an Gewissheit beantworten. Der Mangel an konsolidierten Daten und entsprechendem geschäftlichen Kontext trägt zu den Herausforderungen bei, denen Cybersecurity-Entscheidungsträger gegenüberstehen.
- Es gibt eine Diskrepanz in der Art und Weise, wie Unternehmen Cyberrisiken erkennen und managen. Weniger als 50 % der Sicherheitsverantwortlichen definieren die Auswirkungen von Cybersecurity-Bedrohungen im Kontext eines spezifischen Geschäftsrisikos. Lediglich die Hälfte der Sicherheitsverantwortlichen (51 %) meldet, dass ihr Sicherheitsteam mit Business-Stakeholdern zusammenarbeitet, um Kosten-, Leistungs- und Risikominderungsziele auf geschäftliche Anforderungen abzustimmen. Nur jeder vierte Sicherheitsverantwortliche (43 %) gibt an, die Leistungsmetriken der Sicherheitsabteilung regelmäßig gemeinsam mit Business-Stakeholdern zu prüfen.
- Cybersecurity muss zu einer Strategie zur Reduzierung des Geschäftsrisikos heranreifen. Das ist jedoch erst dann möglich, wenn Sicherheitsverantwortliche mehr Einblick in ihre Angriffsoberfläche haben. Knapp über die Hälfte der Sicherheitsverantwortlichen gibt an, dass ihre Sicherheitsabteilung die gesamte Angriffsoberfläche des Unternehmens umfassend im Blick hat und bewerten kann, und weniger als 50 % setzen kontextbezogene Bedrohungsmetriken ein, um das Cyberrisiko des Unternehmens zu messen. Das heißt, ihre Fähigkeit, Cyberrisiken zu analysieren und Behebungsmaßnahmen nach geschäftlicher Kritikalität und Bedrohungskontext zu priorisieren und durchzuführen, ist begrenzt.
Die Studie zeigt, dass Security- und Business-Leader signifikante, nachweisbare Ergebnisse liefern, wenn sie sich an gemeinsam vereinbarten Daten zum Unternehmensrisiko orientieren. Bei Business-orientierten Sicherheitsverantwortlichen ist es im Vergleich zu ihren eher isoliert arbeitenden Kollegen acht Mal wahrscheinlicher, dass sie ein hohes Maß an Vertrauen in ihre Fähigkeit haben, die Sicherheits- oder Risikolage ihrer Unternehmen zu quantifizieren. Angesichts der aktuellen Wirtschaftslage, in der ein weltweiter Wirtschaftsabschwung Unternehmen dazu veranlasst, ihre Ausgaben zu überdenken, ist folgende Entwicklung umso bemerkenswerter: 85 % der Business-orientierten Sicherheitsverantwortlichen verfügen über Metriken, um den Cybersecurity-ROI und die Auswirkungen auf die Geschäftsentwicklung zu verfolgen, im Vergleich zu nur 25 % ihrer eher reaktiv und isoliert agierenden Kollegen.
Dan Bowden, CISO bei Sentara Healthcare, äußerste sich bereits letztes Jahr in einem Interview mit Tenable dazu: „Heutzutage wird in der Gesellschaft sehr darauf geachtet, wie gut Unternehmen Risiken managen – Führungsteams und Vorstände in jedem Unternehmen wollen Teil der Lösung sein, wenn es darum geht, das Problem zu beseitigen. Wenn Sie ihnen verlässliche Daten über die Gefährdung geben können sowie dazu, was wirklich unbedingt getan werden muss, können sie mit den Daten etwas anfangen. Sie möchten ihren Teil beitragen sein und Sie dabei unterstützen, Risiken besser im Griff zu haben.“
„Heutzutage wird in der Gesellschaft sehr darauf geachtet, wie gut Unternehmen Risiken managen – Führungsteams und Vorstände in jedem Unternehmen wollen Teil der Lösung sein, wenn es darum geht, das Problem zu beseitigen.“ – Dan Bowden, CISO, Sentara Healthcare
Um die erforderliche Abstimmung von Sicherheit und Business zu erreichen, benötigen CISOs und andere Sicherheitsverantwortliche die richtige Kombination von Technologien, Daten, Prozessen und Mitarbeitern. Beispielsweise verfügt die überwiegende Mehrheit von Unternehmen (80 %), in denen Sicherheit und Business eng kooperieren, über einen Business Information Security Officer (BISO) oder eine ähnliche Rolle, verglichen mit nur 35 % der in dieser Hinsicht weniger koordinierten Unternehmen. Die Studie ergab außerdem, dass Business-orientierte Sicherheitsverantwortliche bei der Automatisierung wichtiger Vulnerability Assessment-Prozesse um +49 bis +66 Prozentpunkte besser abschneiden als ihre eher reaktiv und isoliert agierenden Fachkollegen.
In den folgenden Kapiteln erörtern wir diese und weitere Ergebnisse der Studie und zeigen auf, wie Tenable Ihrem Unternehmen helfen kann, die technologischen und datentechnischen Herausforderungen zu überwinden, die zu dieser Diskrepanz führen. In Kapitel 1 befassen wir uns eingehender mit den vielen Herausforderungen, vor denen Sicherheitsverantwortliche bei der Beantwortung der Frage „Wie sicher sind wir?“ stehen. In Kapitel 2 gehen wir in Anlehnung an Schlagzeilen darauf ein, wie Unternehmen mit COVID-19 umgegangen sind, um zu verdeutlichen, wie sich die Kluft zwischen Business und Cybersecurity in der Praxis manifestiert. In Kapitel 3 gehen wir der Frage nach, warum vorhandene Cybersecurity-Metriken nicht ausreichen und CISOs und anderen Sicherheitsverantwortlichen nicht die benötigten Daten liefern, um Geschäftsrisiken Rechnung zu tragen. In Kapitel 4 und Kapitel 5 wird erörtert, wie eine Business-orientierte Cybersecurity-Praxis aussieht und wie Sie damit beginnen können, eine solche in Ihrem Unternehmen aufzubauen. Darüber hinaus geben wir Tipps und Empfehlungen, wie Sie Ihre eigene Rolle in die eines Business-orientierten Cybersecurity-Verantwortlichen transformieren können.
– Robert Huber, Chief Security Officer, Tenable *Im Rahmen dieser Studie bezieht sich der Begriff „geschäftsschädigend“ auf einen Cyberangriff oder Sicherheitsverstoß, der zu mindestens einer der folgenden Konsequenzen geführt hat: Verlust von Kunden-, Mitarbeiter- oder anderen vertraulichen Daten, Unterbrechung des normalen Geschäftsbetriebs, Auszahlung von Lösegeld, finanzieller Verlust/Diebstahl und/oder Diebstahl von geistigem Eigentum.Wie Unternehmen Cyberrisiken objektiv messen können
Durch die Umsetzung von Best Practices für das Cyber Exposure -Management können Unternehmen funktionale Silos effektiver abbauen und bei der Erörterung von Risiken eine gemeinsame Sprache sprechen, die sowohl Business- als auch Sicherheitsteams verstehen. Mit Tenable sind Unternehmen in der Lage, Cyberrisiken auf der gesamten Angriffsoberfläche ganzheitlich zu bewerten, zu managen und letztendlich zu reduzieren. Anhand von Cyber Exposure können Unternehmen ihr Cyberrisiko objektiv messen und sowohl intern als auch mit anderen Unternehmen der Branche vergleichen, um die strategische Entscheidungsfindung zu unterstützen und Sicherheitsinitiativen besser auf Geschäftsziele abzustimmen. So wie in anderen Aufgabenbereichen Aufzeichnungssysteme zum Einsatz kommen (beispielsweise ITSM im IT-Bereich und CRM im Vertrieb), kann Tenable als Aufzeichnungssystem fungieren, das ein effektives Managen und Messen von Cyberrisiken im Kontext des Geschäftsrisikos ermöglicht.