Unzureichende Kommunikation und eine heterogene Tool-Landschaft behindern laut Forrester in vielen Unternehmen die Gefahrenabwehr. Als Gegenmaßnahmen empfehlen die Analysten einheitliche Werkzeuge zur Automatisierung und ein zentrales Security Dashboard.
Die Ansprüche an ein effektives Risikomanagement der externen Angriffsfläche eines Unternehmens und die reale Situation klaffen in Unternehmen weit auseinander. Zu diesem Schluss kommt ein Thought Leadership Report, den das Analystenhaus Forrester im Auftrag von CyCognito erstellt hat. CyCognito ist Spezialist für External Attack Surface Risk Management.
Die größte Hürde für ein effektives Management der IT-Sicherheit ist laut Forrester unzureichende Kommunikation im Unternehmen, eine heterogene Tool-Landschaft, unklare Zuständigkeiten sowie ineffektive Methoden zur Priorisierung von Risiken – und damit vor allem Herausforderungen im Hinblick auf eine funktionierende Kollaboration. Abhilfe schaffen zum einen eine Single Source of Truth als einheitliche Informationsgrundlage und zum anderen zentral genutzte Tools für eine rasche Erkennung (Mean Time to Detection – MTTD), die eine schnelle Behebungszeit (Mean-Time-To-Repair – MTTR) ermöglichen.
Für den Thought Leadership Report hat Forrester insgesamt 304 Security- und IT-Entscheider in den USA, Deutschland, Frankreich, Großbritannien und Kanada befragt, die unternehmensintern auch für die Risikobewertung verantwortlich sind.
Tool-Wildwuchs und mangelnde Kommunikation
Unentdeckte Sicherheitslücken in über das Internet erreichbaren Assets, beispielsweise unsicher konfigurierte Cloud-Lösungen, Datenbanken oder Devices im Internet der Dinge bergen ein enormes Risiko für die IT-Sicherheit von Unternehmen. Die aktuellen Praktiken für das Identifizieren, Priorisieren und Beheben dieser Schwachstellen entsprechen allerdings laut Forrester selten den Erwartungen der Verantwortlichen. Obwohl 81 Prozent der Befragten Sicherheitstests, -prozesse oder -übungen zur Aufdeckung von Schwachstellen in Sicherheitskontrollen und -mechanismen als wichtiges Instrument des Risikomanagements einstufen, wurden bei 53 Prozent im Zuge der jüngsten Risikobewertung eine beträchtliche Anzahl unentdeckter externer Assets gefunden.
Als Grund für diese Diskrepanz verweist Forrester vor allem auf die vielerorts unzureichende interne Zusammenarbeit. Dies zeige sich anhand mehrerer Ergebnisse: Ein Indikator ist die Heterogenität der Tool-Landschaft: Fast 40 Prozent der teilnehmenden Unternehmen nutzen mehr als zehn verschiedene Tools, die sich über mehrere Teams verteilen und unabhängig voneinander zum Einsatz kommen, statt die Erkenntnisse allen Beteiligten zur Verfügung zu stellen. Diese Silos erschweren die nötige Kommunikation und Kollaboration.
Lediglich 22 Prozent der Befragten haben ein bereichsübergreifendes Team, das für eine effektive Priorisierung von Gegenmaßnahmen zuständig ist. Das führt dazu, dass es in einem von vier befragten Unternehmen mehrere Wochen oder sogar länger dauert, auf neue, mitunter hohe Risiken zu reagieren. Generell bewerten 40 Prozent der Befragten die Beziehungen der involvierten Teams für Security, IT und Business untereinander als durchgängig negativ.
Automatisierung und Single Source of Truth als Abhilfe
Um das Risiko von Sicherheitslücken in externen Assets durch eine schnelle Erkennung, Priorisierung und Behebung effektiv zu senken, empfiehlt Forrester den Unternehmen zwei Maßnahmen: Erstens sollten sie für das Erfassen und die Bewertung von Risiken eine unternehmensweite Single Source of Truth einrichten, also eine einzige Informationsquelle, die alle Beteiligten nutzen und permanent auf dem aktuellen Stand halten. Die dafür nötige Zusammenarbeit verbessere die Stimmung zwischen den Teams und hat auch einen direkten Einfluss auf die für die Behebung einer Schwachstelle nötige Zeit.
Die zweite empfohlene Maßnahme ist das Implementieren einer zentralen Lösung für die Risikominderung, die Kernaufgaben automatisiert und kontinuierlich durchführt. Dazu gehört das durchgängige Abbilden von Geschäftsstrukturen, regelmäßige Sicherheitstests, die auch blinde Flecken finden und das korrekte Zuordnen von Assets. Diese Maßnahmen erlaubten eine einheitliche Betrachtung der externen Angriffsfläche, eine Priorisierung und Planung von Gegenmaßnahmen – und damit ein effektives Risikomanagement. Jürgen Frisch