Im Rahmen der Digitalisierung ist Cybersicherheit in Unternehmen zum elementaren Faktor des Risikomanagements avanciert. Ein Leitfaden von Kudelski Security gibt IT-Experten Tipps für die systematische Sicherung kritischer Daten-Assets.
Angesichts der Vielzahl von Gefahrenquellen für Daten und die digitale Infrastruktur muss ein Chief Information Security Officer in der Lage sein, Risiken auf jeder Systemebene vom Server über die Systemsoftware bis hin zur einzelnen Anwendung zu identifizieren und zu managen. Die Herausforderung besteht darin, Informationen über die Risikobewältigung auf Unternehmensebene zu kommunizieren, während gleichzeitig Risiken operativ ausgeschaltet und detaillierte Reaktionspläne auf Systemebene ausgeführt werden müssen. Um IT-Entscheider dabei zu unterstützen, hat die IT-Sicherheitsspezialist Kudelski Security wichtige Schritte in einem Leitfaden zusammengefasst.
1. Kontext und Risiken identifizieren
Um eine wirksame Strategie für das Management von Cyberrisiken zu erarbeiten, ist es unerlässlich, die Erwartungen der Stakeholder und der Geschäftsführung zu verstehen. Erst im Lichte dessen, was Kunden, Lieferanten, Aufsichtsbehörden und Wettbewerber für eine Motivation und Herangehensweise an das Thema haben, ergibt sich eine 360-Grad-Sicht. Das schließt auch die Haltung des Managements hinsichtlich Risikobereitschaft, Unternehmens- und Führungskultur sowie Marktstrategie mit ein. Nur wer seine Vermögenswerte lückenlos kennt – also auch die digitalen – kann gezielt und verlässlich Bedrohungen, Schwachstellen und Konsequenzen von Risikoszenarien bewerten. Die Richtlinie NIST 800-30 Guide for Conducting Risk Assessments bietet eine detaillierte Methodik zur Identifizierung und Bewertung von Cybersicherheitsrisiken für Informationssysteme in den USA und ist zugleich ein Leitfaden für nichtstaatliche Einrichtungen. Auch die Norm ISO/IEC 27005 Information Security Risk Management hilft ebenso beim Identifizieren von Risiken.
2. Risiken analysieren und bewerten
Hilfreich ist es, die Wahrscheinlichkeit zu kennen, mit der ein Risiko eintritt, und die möglichen Konsequenzen. Wenngleich dies primär eine Ermessensentscheidung ist, gibt es dennoch Techniken, die bei der Risikoanalyse helfen. Die gängigsten Ansätze sind der qualitative, der auf der Zuweisung eines Wertes wie hoch, mittel oder gering basiert und der quantitative, der einen numerischen Wert für die Auswirkungen, basierend auf statistischen Wahrscheinlichkeiten und monetären Werten von Verlusten oder Gewinnen zugrunde legt. Ein dritter Ansatz wird als semi-qualitativ bezeichnet und basiert auf der Zuweisung von numerischen Werten zu qualitativen Kategorien. Alle drei liefern die Grundlage für ein Risikoprofil. Dieses stellt die Risiken typischerweise in einer Matrix dar, um die Wahrscheinlichkeit des Eintritts und dessen Auswirkungen abzubilden. Das Visualisieren von Risiken hilft Führungskräften und Geschäftsführern beim Priorisieren der Gegenmaßnahmen.
3. Reaktionsstrategien und geeignete Maßnahmen implementieren
Abwehrstrategien im IT-Sektor sollten so gestaltet sein, dass die identifizierten Risiken den Rahmen nicht überschreiten, den die Risikotoleranz des Unternehmens setzt. Ein wichtiger Teil dieser Bewertung ist es, die Kosten für die Gegenmaßnahmen zu bestimmen und diese mit dem potenziellen Verlust oder den Auswirkungen des eingetretenen Risikofalls zu vergleichen. Üblicherweise wird eine der folgenden vier Reaktionsarten ausgewählt: akzeptieren, übertragen, abmildern oder vermeiden. Als Reaktion empfiehlt sich vielfach eine spezifische Sicherheitsinitiative oder ein Projekt, das lösungsorientiert geplant und ausgeführt werden sollte. Abgerundet werden sollte jeder Cybersecurity-Risikoprozess durch ein regelmäßiges Monitoring und eine systematische Statusaktualisierung der Gegenmaßnahmen oder der Risikomerkmale. Jürgen Frisch