Eine große Herausforderung von IT-Abteilungen liegt heute darin, Cyberrisiken so zu kommunizieren, dass Vorstandsmitglieder und Business-Entscheider sie wirklich verstehen – und den Handlungsempfehlungen im Anschluss folgen können. Wie das unternehmensweit und abteilungsübergreifend gelingt, den Wert verschiedener Cybersicherheitsinitiativen für das eigene Unternehmen sicherzustellen, zeigt in einem Kurzinterview Saket Modi, Cybersicherheitsexperte bei Safe Security.
Matthias Haupt: Wie steht es aktuell um die Cybersicherheit von Unternehmen?
Saket Modi: Folgen wir „Check Point Research“, so wurden 2021 Unternehmensnetzwerke im Vergleich zum Vorjahr wöchentlich um 50 Prozent häufiger angegriffen. Eine Bitkom-Studie kommt auf ähnliche Ergebnisse. So gibt es Cybersicherheit zwar schon seit Jahrzehnten, aber leider ist das Cyber-Risikomanagement nicht so stark gewachsen wie seine technologischen Gegenstücke.
Die Folgen? Größere Sicherheitsverletzungen. Denn laut dem IT-Branchenverband waren fast neun von zehn Unternehmen in den letzten zwei Jahren von Spionage, Datenklau respektive Sabotage betroffen. Das betrifft auch KMU, wie zum Beispiel der Berliner Fall des Fintech Raison DS zeigt. Hier wurden angeblich ja in größerem Umfang Bank- und persönliche Stammdaten gestohlen. Oder der Hack gegen die Streaming-Plattform Twitch, der ja um die Welt ging. Das sind aber nur zwei Beispiele von vielen. Heute ist leider eigentlich jedes Unternehmen weltweit – unabhängig von der Branche – für Cyberangreifer ein mögliches und zumeist auch lohnendes Ziel.
Matthias Haupt: Worin liegen dabei die größten Herausforderungen für Unternehmen?
Saket Modi: Erstens ist das Cyber-Risikomanagement immer noch isoliert und bedrohungsbasiert. Es sollte aber vielmehr vereinheitlicht sein und die Informationen müssten für die Zielgruppe kontextualisiert werden. Zweitens ist die Cybersicherheit häufig zu subjektiv und hängt von langen Prüfberichten und Aktivitäten ab, die nur ein Gefühl der Sicherheit vermitteln. Unternehmen müssen wissen, wie man Prioritäten bei der Bewältigung größerer Bedrohungen setzen kann, wenn das Cyber-Risiko derzeit nicht adäquat gemessen oder quantifiziert wird. Auch punktuelle Bewertungen sollten drittens der Vergangenheit angehören. Vielmehr ist heute ein API-gesteuertes Cyber-Risikomanagement in Echtzeit der Schlüssel zu einem proaktiven Cyber-Risikomanagement.
Seit Jahren werden Unternehmensführungen von der Cybersicherheits-Branche dazu gedrängt, akute oder schwelende Bedrohungen für das Unternehmen umfassend anzuerkennen. Und die meisten Entscheider hören hier inzwischen zweifellos auch zu. Ein Beispiel: 2021 stiegen im Schnitt die Gesamtkosten einer Datenschutzverletzung um etwa zehn Prozent auf 4,2 Millionen US-Dollar. Das hat natürlich zu einem globalen Anstieg der Cybersicherheits-Ausgaben geführt, die bald wohl bei über 1,7 Billionen US-Dollar liegen. Unternehmen implementieren häufig neue Produkte, wenn eine Sicherheitslücke offengelegt wird. Das führt teilweise zu unüberschaubaren Anhäufungen. Ich habe erlebt, dass Unternehmen bis zu 130 Cybersicherheitsdienste und -produkte nutzen, was in der Cybersicherheit schlussendlich zu einer Datenexplosion sorgt.
Obwohl valide Daten für eine starke Cybersicherheit selbstverständlich unerlässlich sind, kann unüberschaubare Datenlast die Sicherheitsteams überfordern. Das macht es im Zweifel zu komplex, folgerichtige Prioritäten im unternehmerischen Risikomanagement zu setzen. Sicherheitsteams jonglieren dann mit isolierten Sicherheitsprodukten und ertrinken in Datenmengen; gleichzeitig versuchen sie aber, dem Vorstand eine kohärente Strategie zu präsentieren, die jeder versteht. Und das gelingt dann häufig nicht mehr adäquat.
Matthias Haupt: Bringen mehr Investition auch mehr Sicherheit?
Saket Modi: Lassen Sie es mich so sagen: Trotz der verstärkten Investitionen in die Cybersicherheit nehmen weiterhin sowohl die Häufigkeit als auch die finanziellen Auswirkungen von Sicherheitsverletzungen zu. Im Oktober 2021 wurden schon mehr Sicherheitsverletzungen gemeldet als im gesamten Jahr zuvor – und darauf muss nun also ebenfalls reagiert werden. Denn für die meisten Entscheider besteht die aktuelle Herausforderung keinesfalls darin, wie viel das Unternehmen nun für die Sicherheit ausgibt. Sie besteht vielmehr darin, dass die meisten Unternehmen keinen Überblick mehr darüber haben, wie gut oder effektiv sie das Geld investieren.
Matthias Haupt: Wie sollte der Mittelstand auf aktuelle Bedrohungen und die geschilderten Herausforderungen reagieren?
Saket Modi: Aus meiner Sicht werden Sicherheitsstrategien aktuell zu sehr von Angst oder Vermutungen dominiert. Unternehmen sind zudem primär reaktiv. So sehen sie sich vor allem dann dazu veranlasst, Geld für neue Sicherheitslösungen in die Hand zu nehmen, wenn sie von Sicherheitsverletzungen bei Marktbegleitern erfahren haben. Also etwa ein branchennaher Vorfall publik wurde. Selbstverständlich ist es wichtig, sich stets an die neuen Angriffe anzupassen. Doch wenn sich Unternehmen nur auf diese Denkweise stützen, heißt das, dass das Unternehmen den Angreifern immer hinterherhinkt. Denn man konzentriert sich auf die Bedrohungen aus der Vergangenheit, aber nicht auf das, was in Zukunft auf das eigene Unternehmen zukommen kann.
Dazu haben Unternehmen oft nur eine begrenzte Vorstellung eigener Risiken und ihre Investitionen führen nicht zwingend zu einer Verbesserung der digitalen Sicherheitslage. Nehmen wir beispielsweise das Heatmap-Prinzip. Eine weitverbreitete Methode mit mehr oder weniger intuitivem Ampelsystem. Auf den ersten Blick erscheint das System proaktiv. Es eignet sich auch für Präsentationen, gerade gegenüber Vorstandsebenen – keine Frage. Das Rot-Gelb-Grün-System ist aber viel zu wage und oberflächlich, um sicherheitsstrategische Mehrwerte zu generieren.
Matthias Haupt: Könnten Sie das näher erläutern?
Saket Modi: Sehr gerne. Das Wissen über die Cybersecurity-Risikostruktur ist heute ein Muss. Wenn der Chief Information Security Officer des Unternehmens mit dem Vorstand im Aufzug steht, sollte der Sicherheitsbeauftragte in der Lage sein, eine konkrete Echtzeit-Cyber-Risikolage des Unternehmens während der 1-Minütigen-Fahrt zu vermitteln. Beide brauchen dabei allerdings nicht dieselbe fachliche Tiefe.
Es ist zudem nicht mehr zeitgemäß, das Thema in einer ein- oder anderthalbstündigen Präsentation auszugestalten, bei der sich im Anschluss dann jeder Hörer aufgrund der vorhandenen Maßnahmen einigermaßen sicher, aber doch nicht wirklich sicher, fühlt. Cyber-Risiken sollten in realen und vor allem quantifizierbaren Begriffen messbar sein. Sie sollten sich auf präzise Datenpunkte und die finanziellen Auswirkungen einer Datenschutzverletzung keinesfalls unterschlagen, welche man durch rationelle Investitionen und Initiativen abwenden kann. Das macht sie objektiv und skalierbar.
Eine Quantifizierung von Cyberrisiken ist somit für Unternehmen wohl heute eine bessere, weil umfassendere und zielgenauere, Lösung. Es handelt sich dabei um ein Modell, das mehrere Datenpunkte in einem Dashboard integriert, um einen greifbaren Wert des Risikos für jeden Vermögenswert im Unternehmen zu schaffen, der in Echtzeit dargestellt wird. Zudem lässt sich das Risiko problemlos in die potenziellen finanziellen Auswirkungen einer Sicherheitspanne umrechnen, eine Kennzahl, die wirklich jeder im Unternehmen verstehen kann. Von Sicherheitsanalysten bis hin zu Vorstandsmitgliedern, externen Stakeholdern oder CEOs. Die Quantifizierung von Cyberrisiken ist somit das „Esperanto“ der Cybersicherheit und sehr pragmatischer Weg.
Der Experte
Saket Modi ist CEO von Safe Security, einer Plattform für Cybersicherheit und die Quantifizierung digitaler Geschäftsrisiken. Der Diplom-Ingenieur der Informatik gründete Safe Security im Jahr 2012. Das Unternehmen schützt die digitale Infrastruktur mehrerer Fortune-500-Unternehmen auf der ganzen Welt mit seiner Plattform zur Messung und Minderung von Cyberrisiken, namens SAFE.
