Die oberste Priorität für den CISO in einem zukunftsfähigen Unternehmen besteht darin, seiner Organisation dabei zu helfen, Risiken in der IT-Sicherheit zu ermitteln und zu managen. Benötigt wird dazu ein Risikomanagement-Framework, das potenzielle Gefahren sowohl auf Unternehmens- als auch auf Systemebene identifiziert und handhabt und die zugrunde liegende Abwehrstrategie zielgerichtet intern kommuniziert. Hier setzt der folgende Leitfaden an.

Im Zuge der fortschreitenden Digitalisierung ist Cybersicherheit zu einem grundlegenden Faktor im Risikomanagement moderner Unternehmen und Organisationen geworden. Angesichts der Vielzahl potenzieller Bedrohungen für Daten und die digitale Infrastruktur muss der CISO in der Lage sein, Cybersecurity-Risiken auf jeder Ebene im Unternehmen zu identifizieren, zu verwalten und darüber zu berichten – angefangen bei Servern und Systemsoftware über einzelne Anwendungen bis hin zu kompletten Abteilungen und Geschäftsbereichen und schließlich dem Unternehmen als Ganzes. Darüber hinaus muss der CISO in der Lage sein zu kommunizieren, wie sich die Sicherheitsinitiative im Lauf der Zeit entwickelt und wie sich mithilfe gezielter Investitionen die Organisation im Bereich IT-Security verbessern und das Risiko reduzieren lassen.

Eine entscheidende Herausforderung besteht darin, einen ganzheitlichen Ansatz zur Identifizierung, Messung und Berichterstattung über Cybersicherheitsrisiken auf jeder Ebene im Unternehmen zu entwickeln, diese Informationen systematisch zu bündeln und anschließend das Risikomanagement auf Unternehmensebene zu kommunizieren. Gerade die interne Kommunikation von Risiken etwa gegenüber dem Management ist ein entscheidender Faktor, um die Top-Entscheider spätestens dann abzuholen, wenn Maßnahmen umgesetzt werden sollen. Eine nicht minder große Herausforderung ist es, Strategien und Taktiken zur wirksamen Minimierung von Risiken auf jeder Unternehmensebene zu entwickeln.

Was das Management benötigt

Eine Studie von Kudelski Security ergab, dass sich das C-Board in einem Unternehmen Antworten auf fünf Schlüsselfragen wünscht:

  • Ist der Vorstand vor Cyberangriffen sicher?
  • Woher wissen wir, ob ein Sicherheitsverstoß vorliegt?
  • Wie sieht unser Sicherheitsprogramm im Vergleich zu anderen Unternehmen unserer Branche aus?
  • Verfügen wir über ausreichende Ressourcen für unser Cybersicherheitsprogramm?
  • Wie effektiv ist unser Sicherheitsprogramm und sind unsere Investitionen richtig ausgerichtet?

Entscheidend für die Beantwortung dieser Fragen ist es, die damit verbundenen Risiken, den eigenen Reifegrad sowie die laufenden Investitionen in das Cybersicherheitsprogramm zu verstehen und intern zu kommunizieren. Nahezu jedes Unternehmen ist heutzutage bei der Erreichung seiner Ziele mit Unsicherheiten konfrontiert, die ein Risiko darstellen. Allerdings sind nicht alle Risiken gleich. Risikomanagement-Standards definieren ein Risiko als Produkt zweier Wahrscheinlichkeiten: der Wahrscheinlichkeit des Eintretens und der Schwere der Auswirkungen.

Risikomanagement als fortlaufender Prozes

Vorstände und leitende Angestellte verbringen viel Zeit damit, die Unternehmensstrategie zu definieren und Wege zu finden, wie sich der Shareholder Value steigern lässt. Ein wichtiger Teil dieser Diskussionen ist das Verständnis der mit diesen Strategien verbundenen Risiken und die Bestimmung des Verhältnisses zwischen Risiko und Ertrag. Ein solcher Prozess des Risikomanagements bezieht vor allem dann die gesamte Organisation ein, wenn Manager Entscheidungen über spezifische Ziele und Vorgaben im Rahmen der allgemeinen Geschäftsstrategie treffen. Vor diesem Hintergrund wird offenbar, dass Risikomanagement ein fortlaufender Prozess ist. Vorstände und leitende Angestellte überwachen ständig Risiken und passen Strategien und Taktiken nach Bedarf an. Und mehr als je zuvor zählt das Cybersecurity-Risiko zu ihren größten Sorgen.

Die CISO-Agenda

In Bezug auf Cybersicherheit spielen Risiken bei praktisch allen Aktivitäten eine tragende Rolle. Daher sollte die Agenda eines CISO folgende Punkte umfassen:

  1. Praktiken und Tools zur Risikoerkennung, einschließlich Risikobewertung, Bedrohungsüberwachung, Erkennung von Schwachstellen und Sicherheitstests
  2. Praktiken und Tools zum Verständnis von Risiken, wie zum Beispiel Risikoregister, GRC-Tools und Risikomodelle
  3. Aufbau von Fähigkeiten für das Management, die Eindämmung und Reaktion auf Risiken bei gleichzeitigem Support des Unternehmens
  4. Durchführung von Initiativen zum weiteren Ausbau des Risikomanagements und damit verbundener Skills
  5. Erfüllung von Compliance-Anforderungen, denn die Nichterfüllung von Compliance-Anforderungen stellt an sich schon ein Risiko dar
  6. Kommunikation über Cybersicherheitsrisiken und geeignete Risikominderungsmaßnahmen mit der Geschäftsführung

Um diese Punkte systematisch anzugehen, sollten CISOs branchenweit bewährte und anerkannte Frameworks zur Identifizierung und Verwaltung von Risiken nutzen. Was das konkret beinhaltet, fassen die einzelnen Punkte des folgenden Leitfadens zusammen.

1. Kontext und Risiken identifizieren

Um eine wirksame Strategie für das Management von Cyberrisiken zu entwickeln, ist es wichtig, die Erwartungen der Stakeholder und der Führungskräfte zu verstehen. Erst wenn bekannt ist, was Kunden, Lieferanten, Regulierungsbehörden und Wettbewerber motiviert und wie sie an das Thema herangehen, ist eine lückenlose 360-Grad-Sicht möglich. Dazu gehören auch die grundsätzliche Haltung des Managements in puncto Risikobereitschaft, die Unternehmens- und Führungskultur sowie die Marktstrategie. Ein stark reguliertes Finanzinstitut, das viele Verbraucherdaten sammelt und verwaltet, kann beispielsweise eine sehr geringe Risikobereitschaft an den Tag legen und mehr in die Bewältigung von Sicherheitsrisiken investieren als ein Hightech-Startup, das beim Aufbau seines Geschäfts eine höhere Risikotoleranz in Kauf nehmen kann. Das Verständnis der Risikobereitschaft hilft dem Sicherheitsverantwortlichen, einen auf das Unternehmen abgestimmten Plan für das Risikomanagement zu erstellen.

Um die Risiken vollständig zu identifizieren, ist es für die Sicherheitsverantwortlichen zunächst wichtig, einen vollständigen Überblick über ihre Vermögenswerte zu gewinnen – das bezieht explizit auch die digitalen Assets ein. Auf der untersten Ebene können zu den Vermögenswerten Server, Datenbanken und Anwendungen zählen. Diese werden in der Regel zu einem „System“ zusammengefasst. Zum Beispiel könnte das Personalsystem die Server, Datenbanken und Anwendungen beinhalten, die an der Gehaltsabrechnung, dem Management der Talentförderung und dem Leistungsmanagement der Mitarbeiter beteiligt sind. Risiken auf Systemebene lassen sich durch das Verständnis der Bedrohungen, Schwachstellen und Folgen von Risikoszenarien ermitteln.

Im folgenden Schritt empfiehlt es sich, die Risiken auf Systemebene auf der Ebene der Geschäftseinheit und des Unternehmens zu konsolidieren und zusammenzufassen. Auf Systemebene können die Risiken beispielsweise eine SQL-Injection auf einem Webserver, eine nicht gepatchte Datenbank und ein unsicherer Server sein. Auf Organisations- oder Unternehmensebene hingegen lässt sich das Risiko umschreiben als Prozesse zum Management von Schwachstellen, die nicht alle Systeme abdecken.

Sicherheitsverantwortliche sollten sich bei der Identifizierung von Risiken an Sicherheitsstandards orientieren. Der Leitfaden für die Durchführung von Risikobewertungen des NIST Guide for Conducting Risk Assessments (NIST 800-30) beispielsweise bietet eine detaillierte Methodik für die Ermittlung und Bewertung von Cybersicherheitsrisiken für Informationssysteme in den USA und dient gleichzeitig als nützlicher Leitfaden für nichtstaatliche Einrichtungen. Auch die internationale Norm ISO/IEC 27005 Information Security Risk Management bietet wertvolle Unterstützung bei der Risikoermittlung.

2. Analyse und Bewertung von Risiken

Sobald die Risiken identifiziert sind, müssen sie bewertet werden, um festzustellen, welche davon besonders kritisch sind. Im Kern geht es bei der Risikobewertung darum, die Wahrscheinlichkeit des Eintretens eines Risikoereignisses und seine möglichen Folgen zu bestimmen.

Obwohl dies in erster Linie eine Ermessensentscheidung ist, gibt es Techniken, die bei der Risikoanalyse helfen können. Gebräuchlich sind:

  • der qualitative Ansatz, der auf der Zuweisung eines Wertes zwischen hoch, mittel oder niedrig beruht,
  • der quantitative Ansatz, der der statistischen Wahrscheinlichkeit und den Auswirkungen auf Basis monetärer Werte für potenzielle Verluste einen Zahlenwert zuweist,
  • der semi-qualitative Ansatz, der auf der Zuweisung numerischer Werte zu qualitativen Kategorien basiert.

Alle drei Ansätze bieten eine praktikable Grundlage, um ein Risikoprofil zu erstellen.

In der Regel werden Risiken in einer Matrix dargestellt, um die Wahrscheinlichkeit und die Auswirkungen des Risikos zu veranschaulichen. Die Visualisierung von Risiken hilft Führungskräften bis zur Geschäftsführungsebene bei der Festlegung von Prioritäten für geeignete Gegenmaßnahmen. Immer öfter versuchen Unternehmen, Risiken mithilfe von Kennzahlen wie Kosten und Kapitalrendite auszudrücken, um es nicht-technischen Führungskräften zu erleichtern, den potenziellen Risiko-Ertrags-Ausgleich in finanzieller Hinsicht zu verstehen.

3. Umsetzung von Reaktionsstrategien und geeigneten Maßnahmen

Nachdem durch die Analyse aller identifizierten Risiken ein Risikoprofil erstellt wurde, kann sich das Management darauf konzentrieren, wie darauf reagiert werden soll. Risiken mit höherer Wahrscheinlichkeit und Auswirkung sollten zuerst angegangen werden, da sie eher außerhalb der Risikobereitschaft und -toleranz der Organisation liegen. Risiken mit geringerer Wahrscheinlichkeit und Auswirkung können leichter akzeptiert, da sie innerhalb eines vertretbaren Risikotoleranzniveaus liegen. Daher ist es in solchen Fällen auch zulässig, etwaige Maßnahmen aufzuschieben.

Ein wichtiger Teil dieser Bewertung besteht darin, die Kosten der Gegenmaßnahmen zu ermitteln und sie mit den potenziellen Verlusten oder Folgen des Risikoereignisses zu vergleichen, falls es eintritt. In der Regel mindert das Management ein Risiko durch die Implementierung einer spezifischen Sicherheitsinitiative oder eines Projekts, das idealerweise lösungsorientiert geplant und durchgeführt wird. Wenn das Sicherheitsprojekt abgeschlossen ist, verringert es entweder die Wahrscheinlichkeit oder die Auswirkungen des Risikos. Die Implementierung eines Programms für das Management von Schwachstellen, das diese prüft und behebt, verringert beispielsweise sowohl die Wahrscheinlichkeit eines Sicherheitsvorfalls als auch dessen mögliche Auswirkungen. Neben der üblichen Risikominderung kann die Unternehmensleitung auch beschließen, das Risiko zu akzeptieren – in der Regel, wenn das Risiko innerhalb der Risikotoleranz des Unternehmens liegt – oder das Risiko zu vermeiden, indem sie sich nicht an der Aktivität beteiligt oder sich von den Vermögenswerten trennt. Eine vierte Möglichkeit besteht darin, die Kosten des Risikos auf einen Dritten, beispielsweise eine Versicherung, zu übertragen, was jedoch in der Regel nur einen Teil der Risikofolgen abdeckt.

Den Abschluss eines jeden Risikoprozesses im Segment Cybersicherheit sollte unabhängig davon, wie spezifisch er ist, ein regelmäßiger Überwachungsprozess bilden. Ein Risikoregister ist ein nützliches Instrument für die Verwaltung und Überwachung von Risiken. Es sollte ein systematischer Prozess zur Aktualisierung des Risikoprofils, zur Kommunikation über den Status von Risikoreaktionen und Gegenmaßnahmen sowie zur Bewertung des Risikos anhand der Risikobereitschaft und -toleranz des Unternehmens etabliert werden.

Fazit

IT-Sicherheitsrisiken sind eine Herausforderung, die angesichts einer diversifizierten Bedrohungslandschaft und vielfach nicht identifizierter interner Risiken – sogar ohne böse Absicht – in Zukunft eher zunehmen wird. Daher sind die Sicherheitsverantwortlichen in Unternehmen gut beraten, den Risikoprozess systematisch zu managen und die interne Kommunikation von Anfang auf die höchste Managementebene als Zielgruppe abzustimmen. Spezielle SaaS-Tools leisten wertvolle Unterstützung, die verantwortungsvolle Agenda des CISO zu definieren, zu überwachen und zu kommunizieren.

Kontaktieren sie uns: kudelskisecurity.de

A version of this article was originally published in IT Administrator magazine. For English-language resources for CISOs, visit the CISO Client Advisory Council resources section of our website.

Bookmark