Der Umstieg auf risikobasierte Cybersicherheit

Cyberrisiken zu steuern ist heute die wichtigste Aufgabe eines CISOs – und eine, die nie erledigt ist. Das brachten eine Reihe von CISOs und Cybersecurity-Führungskräften aus unserem weltweiten Kundenstamm unmissverständlich zum Ausdruck, als sie vor kurzem an unserem Strategic Advisory Board Meeting in London teilnahmen. Ihre Teams müssen übermäßig viel Zeit mit dem Management von Cybersecurity-Bedrohungen verbringen – und stoßen dabei auf immer mehr Schwierigkeiten. Unabhängig von der Größe ihres Unternehmens, dem Standort und der Branche haben alle mit ähnlichen Herausforderungen zu kämpfen. Am häufigsten hören wir die folgenden Aussagen:

„Die Teams können nicht alles sehen.“ Und was nicht gesehen wird, kann auch nicht verwaltet werden. Untersuchungen zufolge wissen große Unternehmen über mehr als die Hälfte aller Devices in ihrem Netzwerk nicht Bescheid (z. B. über nicht registrierte öffentliche IP-Adressen). Das vergrößert die potenzielle Angriffsfläche und lässt sich selbst durch das effektivste Cybersecurity-Programm nicht wettmachen.

„Wir werden mit Tools und Daten überschwemmt.“ Laut Gartners 2020 CISO Effectiveness Survey haben Unternehmen im Durchschnitt mehr als 16 Sicherheitstools im Einsatz, und 12 % der CISOs geben sogar an, dass 46 oder mehr verwendet werden. Was jedoch oft fehlt, sind praktisch verwertbare Erkenntnisse. Die Folge sind kritische Erfassungslücken, mangelnde Anpassung sowie Schwierigkeiten, die Reaktionen und Abhilfemaßnahmen über die Sicherheits-, Compliance- und IT-Teams hinweg zu priorisieren.

„Manuelle Prozesse können nicht mehr mithalten.“ Die IT-Infrastrukturen sind zunehmend heterogen und wandeln sich immer schneller – von lokal zu virtuell zu serverlos, von Public zu Private zu Hybrid Clouds, von IT zu OT zu IoT. Hinzu kommt der anhaltende IT-Fachkräftemangel, der die Einstellung und Bindung erfahrener Cybersecurity-Mitarbeiter hemmt. Und schließlich geht die Komplexität der IT mit weiteren erschwerenden Faktoren einher – fehlender Automatisierung von Cybersicherheitsmaßnahmen, zu wenig teamübergreifender Zusammenarbeit und mangelnder Workflow-Koordination.

Ungeachtet all dieser Schwierigkeiten sind die CIOs und CISOs jetzt auch noch zunehmend gefordert, die Cyberrisiken im Rahmen des unternehmensweiten Risikomanagements nachzuverfolgen und der Unternehmensleitung darüber Bericht zu erstatten. Woher aber kommt dieser plötzliche Fokus auf die Cyberrisiken seitens der CEOs und Führungsteams?

Cyberrisiken sind ein Problem, das die Unternehmensleitungen umtreibt

Die Vorstände von Unternehmen orientieren sich oft stark am Nachrichtengeschehen, und mit jedem Bericht über Cyber-Kriegsführung in Europa und Ransomware-Angriffe im eigenen Land wachsen ihre Sorgen. Die Cyberrisiken sind in den Führungsetagen mittlerweile ein Dauerthema. Laut ESG ist der CISO bei den vierteljährlichen Board-Sitzungen inzwischen in mehr als 50 % der Tagesordnungspunkte involviert. Das Cyberrisiko zu verringern ist wichtig, weil die Kosten eines erfolgreichen Cyberangriffs in die Höhe schnellen. 2021 stiegen die durchschnittlichen Kosten einer Datenschutzverletzung von 3,86 Mio. auf 4,24 Mio. US-Dollar – der höchste Jahresanstieg in der 17-jährigen Geschichte der IBM-Berichterstattung.

Und nicht nur die Vorstände und Führungskräfte von Unternehmen verfolgen die Nachrichten. Auch die Aktionäre machen sich Sorgen über die Cyberrisiken und wollen wissen, was die Unternehmen, die sie in ihren Portfolios haben, dagegen unternehmen. Laut GlobalData wird das Thema Cybersicherheit in den öffentlichen Gewinnmitteilungen mittlerweile durchschnittlich 800-mal pro Quartal erwähnt. Im März 2022 schlug die US-Börsenaufsicht eine neue Vorschrift vor, die eine einheitliche Methodik für die öffentliche Bekanntmachung von Cybersicherheitsrisiken festlegen soll. Die Board-Mitglieder stellen den CISOs jetzt gezielte Fragen zu den Cybersecurity-Ausgaben des Unternehmens, den Erfolgsmaßstäben und den Plänen zur Aufrechterhaltung des Geschäftsbetriebs im Fall eines Cyberangriffs.

Für alle Verantwortlichen im Bereich Cybersicherheit bedeutet dies, dass sie die Cyberrisiken mit der Unternehmensleitung, dem Board, den Aktionären, Kunden, Partnern sowie den breiteren Marktteilnehmern auf einfachere Weise erörtern müssen. Es ist Zeit, so ESG, den „Fachjargon“ abzulegen und klar zu definieren, was die Cyberrisiken für das Geschäftsrisiko insgesamt bedeuten.

Für viele wird dies ein Umdenken erfordern. Und dafür bedarf es einer risikobasierten Herangehensweise an das Cybersecurity-Management.

Ein risikobasierter Ansatz für die Cybersicherheit

Um Cybersicherheit zu gewährleisten, müssen Risiken unterschiedlicher Art gemindert werden. Es gibt Risiken, die von eigenständigen Softwareanwendungen ausgehen, von denen einige vielleicht veraltet sind, nicht mehr unterstützt werden oder individuell entwickelt wurden. Es gibt Risiken durch integrierte Technologien, die möglicherweise von Dritten verwaltet werden oder Teil einer größeren Lieferkette sind. Andere Risiken können physische oder virtuelle Infrastrukturen wie Endgeräte, Server, Netzwerkgeräte, Clouds und Container betreffen. Und auch von den Menschen gehen zahlreiche Risiken aus, weil die Mitarbeiter eines Unternehmens Fehler machen können, die Angreifer ausnützen.

Da die CISOs unter Druck stehen, die Cyberrisiken zu reduzieren, müssen sie risikobasierte Methoden anwenden, die eine effiziente Zusammenarbeit zwischen Sicherheitstechnologien, -prozessen und -mitarbeitern ermöglichen. Solch risikobasierte Methoden können auch durch Branchenrichtlinien, Gesetze und Finanzprüfungsstandards vorgeschrieben sein. Die CISOs müssen die Cyberabwehr verstärken und zugleich die kontinuierliche Einhaltung der Vorschriften gewährleisten. Und schließlich müssen sie ihren Erfolg gegenüber der Geschäftsführung mithilfe klarer Kennzahlen nachweisen, die zeigen, wie die Sicherheitsmaßnahmen den internen Zielen und den Branchen-Benchmarks dienen.

Leichter gesagt als getan? Um einen risikobasierten Ansatz für die Cybersicherheit zu realisieren, schlägt Qualys einen dreistufigen Zyklus vor, bei dem die Bedrohungslandschaft kontinuierlich überwacht wird, schnelle Reaktionen möglich sind und die Metriken gemessen werden, die der Unternehmensleitung wichtig sind.

1. Bewerten Sie die Risiken, indem Sie sich Überblick und Kontrolle über alle IT-Assets in Ihrer Unternehmensumgebung verschaffen. Effektives Angriffsflächenmanagement beginnt mit einer gründlichen Bedrohungsanalyse. Unternehmen brauchen eine zuverlässige Methode, um ihr tatsächliches Cybersecurity-Risiko zu quantifizieren, damit sie die Bedrohungen leichter priorisieren können.
2. Reduzieren Sie die Risiken, indem Sie isolierte Sicherheitstools in einer einheitlichen Plattform konsolidieren, die automatisierte Funktionen für Risiko-Monitoring, Erkennung und Problembehebung bietet. Den Sicherheits-, IT- bzw. Compliance-Teams sollten umsetzbare Schritte zur Risikominderung zugewiesen werden, die sie dann in den Systemen ihrer Wahl durchführen können.
3. Berichten Sie über die Risiken mithilfe automatisierter Dashboards mit klaren, risikodefinierten Metriken, die mit Branchenstandards, Peer-Benchmarks und Best Practices abgeglichen werden. Moderne Techniken verändern die Sicherheitsberichterstattung, indem sie Metriken verfolgen, die auf die individuelle Risikosituation eines Unternehmens und die spezifischen Bedrohungen zugeschnitten sind, denen es ausgesetzt ist.

Zählen Sie nicht die Schwachstellen – zählen Sie die Risiken

Mit der Umstellung auf einen risikobasierten Cybersecurity-Ansatz macht das Schwachstellen-Zählen schlicht keinen Sinn mehr.

Oberflächlich betrachtet scheint es zwar immer noch wichtig zu sein, die bestehenden Schwachstellen zu zählen. In den letzten Jahren ist die Gesamtzahl der gemeldeten Schwachstellen geradezu explodiert. In den 1990er-Jahren wurden insgesamt 2.594 Schwachstellen gezählt; in den 2000er-Jahren stieg die Zahl um 796 % auf 37.231, und seit 2010 sind weitere 135.284 Schwachstellen entdeckt worden (Quelle: Qualys). Eine kumulative Schwachstellen-Wachstumsrate von 5.116 % über diesen Zeitraum hinweg scheint zunächst einmal erschreckend. Doch wenn man die Cyberrisiken zu den dadurch entstehenden Geschäftsrisiken in Bezug setzt, relativieren sich diese astronomisch hohen Zahlen.

Um dies zu verdeutlichen: Nur für 29 % der 185.446 bekannten Schwachstellen existieren Exploits. Angriffsfähigen Exploit-Code gibt es für lediglich 2 %. Und wenn man die derzeit kursierende Malware betrachtet, so werden nur 0,4 % – 718 Schwachstellen – tatsächlich von Malware ausgenutzt. Bedrohungsakteure nutzen nur 0,16 % der bekannten Schwachstellen aktiv aus. Und noch weniger Schwachstellen erhalten einen eigenen „Markennamen“. Das sind diejenigen, die dann auf den Titelseiten großer Zeitungen erscheinen, wie etwa Log4Shell und Heartbleed.

Vielen Sicherheitsteams fehlt hier der nötige Einblick, und so werden die Schwachstellenmanagement-Ziele allein auf der Grundlage der CVSS-Scores priorisiert. Das hat zur Folge, dass oft mit hohem Aufwand Schwachstellen gepatcht werden, ohne dass klar ist, ob sich das Risiko dadurch überhaupt verringert.

Damit eine bestimmte Schwachstelle ein echtes Risiko für Ihr Unternehmen darstellt, muss sie wesentliche Auswirkungen in Ihrer spezifischen Umgebung haben. So könnte beispielsweise eine per se hochgradig gefährliche Schwachstelle für Sie nicht sonderlich besorgniserregend sein, wenn Ihr Unternehmen kompensierende Maßnahmen getroffen hat, um das Risiko zu mindern. Es liegt auf der Hand, dass sich das Cybersicherheitsrisiko wesentlich leichter in Grenzen halten lässt, wenn die Sicherheits- und IT-Teams präzise auf diejenigen Schwachstellen fokussieren, die ihr Unternehmen am stärksten gefährden. Genau darauf läuft ein risikobasierter Sicherheitsansatz hinaus.