Risikobewertung und -management
Über die Priorisierung von Sicherheitsrisiken
Wo soll man anfangen?
Cyberbedrohungen nehmen zu und werden immer komplexer – und damit auch die Anforderungen an die IT-Sicherheitsverantwortlichen, wie Palo Alto Networks berichtet. Sie müssen dafür sorgen, dass Anwender keine unerlaubten Public-Cloud-Services nutzen, dass alle Endpunkte sicher sind und zugleich auf Zero-Day-Bedrohungen achten. Das Potenzial für Sicherheitsvorfälle aller Art dürfte Sicherheitsverantwortlichen klar sein. Der jüngste Diebstahl von Bauplänen eines Atomkraftwerks durch Hacker ist dafür nur ein Beispiel. Es scheint aber nie genug Personal oder Budget zu geben, um alles in Echtzeit zu bewältigen. Kriminelle Akteure verfolgen, ob die Sicherheitsexperten etwas offengelassen oder eine Sicherheitslücke übersehen haben.
„Aber wo soll man anfangen? Angesichts des heutigen rasanten Tempos von Cyberangriffen und immer mehr Bedrohungsvektoren ist die Priorisierung von Risiken gefragt. Hierfür gibt es keine Simulation, es ist die reale Welt“, erklärt Martin Zeitler, Senior Manager Systems Engineering bei Palo Alto Networks. „Viele Sicherheitsverantwortliche gehen davon aus, dass sie Grundlagen abgedeckt haben. Sie haben ein größeres Budget genehmigt bekommen, um modernisierte Tools zur Überwachung von Sicherheitsereignissen einsetzen zu können. Doch diese liefern nun unzählige Alarmmeldungen. Entsprechende Studien, die mit Führungskräften der Bankensicherheit durchgeführt wurden, ergaben, dass die Teams jeden Tag Hunderttausende von Sicherheitswarnungen durchgehen müssen.“
Ein wichtiger Faktor bei der Festlegung der richtigen Prioritäten ist es, angesichts des raschen Wandels von Cyberbedrohungen, Technologieabwehr, Geschäftsbedingungen und Unternehmenszielen, flexibel zu bleiben. So hat beispielsweise das U.S. Department of Homeland Security kürzlich eine neue Richtlinie zur Priorisierung von Cybersicherheitsrisiken mit dem zugrundeliegenden Grundsatz kodifiziert, dass nicht alle Cybersicherheitsrisiken gleich sind und diese Risiken priorisiert werden müssen.
Wie können Führungskräfte dazu beitragen, dies umzusetzen?
„Führungskräfte werden nicht nur dafür bezahlt, Entscheidungen darüber zu treffen, was sie tun sollen; es ist genauso wichtig für sie, Entscheidungen darüber zu treffen, was sie nicht tun sollen“, so Martin Zeitler. „Das Tempo in der Geschäftswelt war noch nie so schnell und wird sich noch weiter beschleunigen. Man muss schneller denn je rennen, nur um an Ort und Stelle zu bleiben, und man muss doppelt so schnell sein, um weiterzukommen. Und wenn es nicht gelingt, Sicherheitsprioritäten zu setzen und einzuhalten, können SecOps- und IT-Teams leicht überfordert sein und überrannt werden.“
Wichtigsten Schritte bei der Festlegung intelligenter, umsetzbarer Cyber-Risiko-Prioritäten
Palo Alto Networks rät mit den wertvollsten Daten über Mitarbeiter und Kunden zu beginnen. Wenn diese kompromittiert werden, kann dies den Fortbestand des Unternehmens gefährden. Hinzu kommen zahlreiche weitere geschäftskritische Prioritäten, wie der Schutz des geistigen Eigentums und alles andere, das als Quelle für Wettbewerbsvorteile dient oder die Geschäftskontinuität gefährdet, wenn die Verfügbarkeit längere Zeit unterbrochen wird.
Gab es einen E-Mail-Ausfall für ein oder zwei Stunden? Dies ist unangenehm, aber nicht katastrophal für das Unternehmen. Stellt sich heraus, dass Kundenlisten und deren Zahlungskarten-Metadaten gestohlen wurden oder einen Tag keine Online-Bestellungen entgegengenommen werden konnten, sollte sofort eine Krisensitzung einberufen werden. Es ist zwar logisch, Themen wie Compliance, rechtliche Risiken und Corporate Governance auf die „Muss-zu-jedem-Preis-geschützt-werden“-Liste zu setzen. Die Realität ist jedoch, dass diese Probleme von selbst gelöst werden können, wenn Daten und andere digitale Vermögenswerte adäquat priorisiert werden.
Natürlich wird jeder Leiter einer Geschäftseinheit im Unternehmen eine andere Definition von „Wenn dies nicht eingehalten wird, wird die Welt untergehen“ haben. Der Vertriebsleiter wird verlangen, dass CRM-Systeme die wichtigste Priorität sind. Der Fertigungschef droht zu kündigen, es sei denn, Robotik- und Automatisierungssysteme kommen an die Spitze der Liste. Und der CEO entscheidet, vorrangig virtuelle öffentliche Netzwerke zu schützen, so dass er weiterhin zwei Tage in der Woche von zuhause aus sicher arbeiten kann.
Deswegen muss die Priorisierung von Cyberrisiken in einem groß angelegten Kontext bewertet, an kritische Geschäftsziele gebunden und gegen eine realistische Bedrohungs- und Ressourcenanalyse abgewogen werden. Natürlich geschieht das auf der Führungsebene, eventuellem mit weiterem Input vom Vorstand, und es muss allen Beteiligten klar kommuniziert werden
„Geschäftsführer müssen die Botschaft auf eine Weise vereinfachen, so, dass sie mit den Geschäftsprioritäten übereinstimmt“, erläutert Zeitler. Dann wird es eine sehr lange Liste unter diesen vorrangigen Prioritäten geben, die alle um Aufmerksamkeit und Ressourcen konkurrieren werden. In dieser zweiten Stufe ist es nach wie vor unerlässlich, Prioritäten zu setzen, aber jeder im Unternehmen braucht klare, konsistente Signale, dass bestimmte Aktivitäten und Bereiche Vorrang haben, wenn es darum geht, Budgets, Personal, Tools und Brainpower einzusetzen.
Was sollten Geschäftsführer noch tun, um die richtigen Prioritäten bei der Bewältigung der schnell wachsenden Liste an Cyberbedrohungen zu setzen?
- Alle Mitarbeiter zur Verantwortung aufrufen, mit klar definierten Kennzahlen, um die Cybersicherheitsprioritäten zu erfüllen.
- Flexibel sein, um sich an schnell wechselnde Geschäftsbedingungen anzupassen, die eine Neuordnung der taktischen Prioritäten erzwingen könnten.
- Sich den Teams nicht in den Weg stellen. Entscheider sollen Prioritäten setzen, diese kommunizieren und dann die Leute ihre Arbeit tun lassen.
Schließlich ist zu bedenken, dass ein entscheidendes Ziel intelligenter Entscheidungen bei der Priorisierung von Cybersicherheitsrisiken darin besteht, sicherzustellen, dass die Mitarbeiter ihre beste Arbeit leisten können, ohne frustriert zu sein oder sich ausgebrannt zu fühlen.
„Es ist sehr demotivierend für die Mitarbeiter, zu viele Dinge in Arbeit zu haben“, fasst Martin Zeitler zusammen. „Sie sind stolz darauf, die Arbeit zu erledigen und die Ziele des Unternehmens voranzutreiben. Wenn sie zu viele Dinge jonglieren müssen und ihre kritischen Aufgaben nicht erledigen können, wird ihre Produktivität sinken und ihre Zufriedenheit im Job ebenso.“