Wie Sie geschäftskritische Assets mit einem prioritätsbasierten Security-Ansatz vor Cyber-Attacken schützen. Ein Kommentar von Markus Hirsch, Manager System Engineering Austria bei Fortinet
Welche Assets sind unbedingt vor Angreifern zu schützen? Obwohl die Frage als Erstes auf der Hand liegt, wird sie in österreichischen Unternehmen zu selten gestellt. Eine Studie der Economist Intelligence Unit zeigt: Business-Entscheider assoziieren mit Datenschutz vor allem die eigene Reputation beim Kunden, während sich Sicherheitsexperten meist rein auf den Schutz von sensiblen Assets und Daten fokussieren.
Business-Entscheider und Cyber-Sicherheitsexperten im Unternehmen müssen auf einer Linie sein, was Security anbelangt – vor allem hinsichtlich klarer Rollen, Verantwortlichkeiten und Prioritäten. Ein gegenseitiges Verständnis zu entwickeln, ist dabei elementar. Führungskräfte auf Management-Ebene sollten deutlich machen, was sie befürchten und wie sie ein erfolgreiches Security-Programm definieren. Dazu müssen sie Assets, Personen und Prozesse identifizieren, die für das Unternehmen geschäftskritisch sind, sowie Ziele und Budgets für Cyber-Sicherheitsinvestitionen und Prozesse festsetzen. Im Gegenzug müssen die Security-Experten Bedrohungen und Sicherheitslücken erkennen und melden, Programme und Gegenmaßnahmen empfehlen sowie die Wirksamkeit von Cyber-Sicherheitsinvestitionen messen, überwachen und reporten. Sie treffen Personal- und Beschaffungsentscheidungen im Security-Bereich. Außerdem sind sie für die operative Ausführung des Cyber-Sicherheitsprogramms verantwortlich.
Das Wichtigste aber ist: Business- und Security-Führungskräfte brauchen einander, um ihre Aufgaben effektiv zu erfüllen. Business-Entscheider können ohne die Informationen der Security-Experten und ohne deren Beratung schlichtweg keine Prioritäten, Ziele und Budgets festsetzen. Auf der anderen Seite brauchen Security-Leiter den kaufmännischen Blickwinkel der Geschäftsführung, um erfolgreich zu sein. Obwohl Führungskräfte auf beiden Seiten die jeweiligen spezifischen Rollen des anderen respektieren, arbeitet keiner von ihnen isoliert in einem Silo.
Wirtschaftlicher Schaden vs. Risiko
Nicht alle Bedrohungen sind gleich. Um Abwehrmaßnahmen zu priorisieren, muss man den potenziellen wirtschaftlichen Schaden, den ein Risikofaktor anrichten kann, gegen die Kosten für seine effektive Bekämpfung abwägen. So kann es etwa sinnvoller sein, eine Bedrohung auf ein akzeptables Maß zu reduzieren, als sie vollständig zu beseitigen. Wenn es zum Beispiel doppelt so viel kostet, Spam-Nachrichten komplett zu eliminieren, statt zu 99 %, dann kann ein Unternehmen vielleicht mit zwei bis drei Spam-Nachrichten pro Tag leben. In diesem Fall ist es günstiger, Mitarbeiter regelmäßig per E-Mail daran zu erinnern, jeden Spam in ihrem Posteingang zu ignorieren.
In der Regel gibt es mehr interne Risikofaktoren für Cyber-Sicherheit als externe. Diese inneren Schwachstellen gefährden Unternehmen unabhängig von der äußeren Bedrohungslage. Zu ihnen zählen etwa Mitarbeiter, Auftragnehmer oder andere Personen mit Infrastrukturzugriffsrechten, die dem Unternehmen vorsätzlich Schaden zufügen wollen. Gefährlich sind außerdem fragmentierte, unkoordinierte Abwehrmechanismen und eine überlagerte IT-Landschaft mit Systemen vieler verschiedener Hersteller. Viele Unternehmen fokussieren zudem auf abstrakte Compliance statt auf echten Schutz. Neue Schwachstellen entstehen, wenn sich Geschäftsaktivitäten und Prozesse schneller ändern als Sicherheitsstrategien und -Investitionen. Die Angriffsfläche erhöht sich also potenziell jedes Mal, wenn Unternehmen in neue Technologien investieren oder ihre IT-Infrastruktur erweitern.
Zudem sollte nicht vergessen werden: Cyber-Kriminelle werden immer gewiefter. Wichtig zu bedenken: Nicht nur ich als Unternehmen kann im Fokus stehen. So wählen Hacker Clients oder Netzwerke als Sprungbrett, um in andere Organisationen einzudringen. Das war zum Beispiel bei einem Heizungs- und Lüftungsunternehmen der Fall. Hacker nutzten dessen Computer als Vektor, um Transaktionsdaten von Debit-Karten von Kunden einer großen Baumarktkette zu stehlen.
Letztlich spricht ein prioritätsorientierter Ansatz für Cybersecurity stark für eine Sicherheitsarchitektur, die auf einer umfassenden und anpassungsfähigen Security Fabric basiert. Denn die einzige Konstante im Business und in der Cyber-Sicherheit ist Wandel.