Ob privatwirtschaftlich oder öffentlich finanziert – das Budget für IT Security ist in Unternehmen begrenzt. Dennoch müssen Organisationen ihre eigenen Interessen wie Wachstum, Rentabilität und Wettbewerbsfähigkeit verfolgen und dabei gleichzeitig auch treuhänderische Verantwortung übernehmen – sprich Kunden, Investoren, Mitarbeiter, öffentliche Stakeholder oder Regierungen vor Cyber-Angriffen schützen. Der Versuch, alles gleichermaßen abzusichern, ist jedoch unweigerlich zum Scheitern verurteilt und obendrein wenig rentabel. Vielmehr müssen Unternehmen priorisieren, was sie vor welchen Bedrohungen schützen wollen – und in welche Cyber-Sicherheitsmaßnahmen sie investieren.
Im ersten Schritt gilt es, zu definieren, welche Assets unbedingt vor Angreifern zu schützen sind. Hier haben Geschäftsleitung und Security-Experten meist unterschiedliche Vorstellungen, wie auch eine Studie der Economist Intelligence Unit zeigt: Business-Entscheider assoziieren mit Datenschutz vor allem auch die eigene Reputation beim Kunden. Sicherheitsexperten hingegen fokussieren meist rein den Schutz von sensiblen Assets und Daten. Die erste Hürde besteht also darin, Geschäfts- und Cyber-Security-Prioritäten in Einklang zu bringen.
Aktuelle Bedrohungen in der IT-Security-Landschaft
Unternehmen sehen ihre geschäftskritischen Assets zahlreichen, sich ständig wandelnden Bedrohungen ausgesetzt. Die Liste der Gefahren mag für viele vielleicht wie ein alter Hut klingen. Dennoch ist es wichtig, diese immer im Blick zu behalten. Die größten Bedrohungen sind physikalischer Einbruch und Diebstahl sowie Connection Hijacking, Viren und Spyware, Spam- und Kryptowährungs-Mining-Botnetze, schadhafte Webseiten und Apps und Machine-to-Machine-Angriffe (M2M).
Nicht alle Bedrohungen sind gleich. Um Abwehrmaßnahmen zu priorisieren, muss man den potenziellen wirtschaftlichen Schaden, den ein Risikofaktor anrichten kann, gegen die Kosten für seine effektive Bekämpfung abwägen. So kann es etwa sinnvoller sein, eine Bedrohung auf ein akzeptables Maß zu reduzieren, als sie vollständig zu beseitigen. Wenn es zum Beispiel doppelt so viel kostet, Spam-Nachrichten komplett zu eliminieren, statt zu 99 Prozent, dann kann ein Unternehmen vielleicht mit zwei bis drei Spam-Nachrichten pro Tag leben. In diesem Fall ist es günstiger, Mitarbeiter regelmäßig per E-Mail daran zu erinnern, jeden Spam in ihrem Posteingang zu ignorieren.
Die eigenen Schwachstellen kennen
Doch Unternehmen habe nicht nur mit externen Bedrohungen zu kämpfen. In der Regel gibt es sogar mehr interne Risikofaktoren für Cyber-Sicherheit als externe. Diese inneren Schwachstellen gefährden Unternehmen unabhängig von der äußeren Bedrohungslage. Zu ihnen zählen etwa Mitarbeiter, Auftragnehmer oder anderen Personen mit Infrastrukturzugriffsrechten, die dem Unternehmen vorsätzlich Schaden zufügen wollen. Gefährlich sind außerdem fragmentierte, unkoordinierte Abwehrmechanismen und eine überlagerte IT-Landschaft mit Systemen vieler verschiedener Hersteller. Weitere Risiken entstehen durch mangelnde Sensibilisierung von Mitarbeitern und ungenügend ausgebildete Security-Fachleute – oder wenn Unternehmen Probleme haben, IT-Security-Stellen zu besetzen. Oft fehlt zudem eine klare Definition und Priorisierung der zu schützenden Assets. Ebenso problematisch ist es, wenn Security nicht auf Führungsebene angesiedelt ist oder Rollen und Verantwortlichkeiten nicht klar verteilt sind. Viele Unternehmen fokussieren zudem auf abstrakte Compliance statt auf echten Schutz. Neue Schwachstellen entstehen, wenn sich Geschäftsaktivitäten und Prozesse schneller ändern als Sicherheitsstrategien und -Investitionen.
Die Angriffsfläche erhöht sich also potenziell jedes Mal, wenn Unternehmen in neue Technologien investieren oder ihre IT-Infrastruktur erweitern. Außerdem werden Angreifer immer professioneller und gewiefter. Sie entwickeln ständig neue Hacker-Strategien und nutzen so das oftmals nur mangelhaft Cyber-gesicherte Wachstum der Geschäftslandschaft aus. Umgekehrt bedeutet das für Unternehmen: Sie müssen sich den internen und externen Risikofaktoren bewusst sein und erkennen, gegen welche Gefahren sie sich wie intensiv verteidigen müssen. Dafür brauchen sie die Fähigkeit, richtig zu priorisieren.
Expertise und Motivation der Angreifer
Cyber-Kriminelle unterscheiden sich stark in ihrer Kompetenz und ihren Zielen. Weniger versierte Angreifer, Hacker und Insider nutzen in der Regel bekannte Schwachstellen aus und setzen Angriffsmethoden ein, die leicht abzuwehren sind. Bei gewiefteren Akteuren, Terroristen oder staatlich gesponserten Hackern ist die Wahrscheinlichkeit dagegen größer, dass sie Zero-Day- und bisher unbekannte Schwachstellen ausnutzen.
Bei der Priorisierung ihrer unternehmenskritischen Assets sollten Unternehmen eines nicht vergessen: Auch wenn sie selbst vielleicht nicht über Informationen verfügen, die für einen fortgeschrittenen oder staatlich gesponserten Hacker interessant sind, könnten Cyber-Kriminelle sie als Sprungbrett wählen, um in andere Organisationen einzudringen. Das war zum Beispiel bei einem Heizungs- und Lüftungsunternehmen der Fall. Hacker nutzten dessen Computer als Vektor, um Transaktionsdaten von Debit-Karten von Kunden einer großen Baumarktkette zu stehlen.
Management und CISOs müssen eng zusammenarbeiten
Wie bereits erwähnt, ist es äußerst wichtig, dass Business-Entscheider und Cyber-Sicherheits-Experten im Unternehmen auf einer Linie hinsichtlich Rollen, Verantwortlichkeiten und Prioritäten im Security-Bereich sind. Ein gegenseitiges Verständnis zu entwickeln, ist dabei elementar. Um eine erfolgreiche Partnerschaft aufzubauen und aufrechtzuerhalten, müssen sie zudem klar definieren, wer für was zuständig ist – sowohl auf der Geschäfts- als auch auf der Security-Ebene.
Führungskräfte auf Management-Ebene sollten deutlich machen, was sie infolge von schlechter Cyber-Sicherheit befürchten und wie sie ein erfolgreiches Security-Programm definieren. Dazu müssen sie Assets, Personen und Prozesse identifizieren, die für das Unternehmen geschäftskritisch sind. Außerdem sollten sie Ziele und Budgets für Cyber-Sicherheits-Investitionen und Prozesse festsetzen. Im Gegenzug müssen die Security-Experten Bedrohungen und Sicherheitslücken erkennen und melden, Programme und Gegenmaßnahmen empfehlen sowie die Wirksamkeit von Cyber-Sicherheits-Investitionen messen, überwachen und reporten. Sie treffen Personal- und Beschaffungs-Entscheidungen im Security-Bereich. Außerdem sind sie für die operative Ausführung des Cyber-Sicherheits-Programms verantwortlich.
Das Wichtigste aber ist: Business- und Security-Führungskräfte brauchen einander, um ihre Aufgaben effektiv zu erfüllen. Business-Entscheider können ohne die Informationen der Security Experten und ohne deren Beratung schlichtweg keine Prioritäten, Ziele und Budgets festsetzen. Auf der anderen Seite brauchen Security-Leiter den kaufmännischen Blickwinkel der Geschäftsführung, um erfolgreich zu sein. Obwohl Führungskräfte auf beiden Seiten die jeweiligen spezifischen Rollen des anderen respektieren, arbeitet keiner von ihnen isoliert in einem Silo.
Eine dynamische und dauerhafte Security Fabric ist gefragt
Letztlich spricht ein prioritätsorientierter Ansatz für Cybersecurity stark für eine Sicherheitsarchitektur, die auf einer umfassenden und anpassungsfähigen Security Fabric basiert. Denn die einzige Konstante in Business und Cyber-Sicherheit ist Wandel. Geschäftsziele, Prozesse, Prioritäten, Marktbedingungen, Organisationsstrukturen und Stakeholder-Communities ändern sich immer schneller. Die Geschwindigkeit, mit der immer wieder neue Bedrohungen auftauchen, spricht für sich. Gleichzeitig erlebt die Welt eine vierte industrielle Revolution, in der digitale Technologien jeden Aspekt der wirtschaftlichen, politischen und sozialen Beziehungen verändern.
Cyber-Sicherheits-Programme und -Prozesse müssen mit diesem Wandel Schritt halten. Dabei ist es in vielerlei Hinsicht weniger wichtig, wie schnell sie sich anpassen lassen, sondern dass dies reibungslos passiert. Veränderungen, die kontinuierliche Reinvestitionen, schnelle Abschreibungen und den Austausch von Hardware erfordern, werden zunehmend untragbar. Stattdessen ist es empfehlenswert, auf einer Technologiebasis aufzusetzen, die neue Funktionen Software-seitig hinzufügen kann und genügend Entwicklungspotenzial und Flexibilität bietet, um die erwarteten, künftigen Leistungsanforderungen zu erfüllen.