Cyber-Risikomanagement

|

Einige hat es schon getroffen, viele machen sich Sorgen: Bedrohungen aus dem Cyber-Raum entwickeln sich stetig weiter und sind mittlerweile weit mehr als nur periodischer Bestandteil der Agenda vieler Vorstandssitzungen.

Ob Pharmakonzern, Behörde oder Automobilzulieferer: Niemand ist vor Cyber-Risiken gefeit. Doch damit nicht genug: Die Dynamik sich schnell ändernder Regularien und die voranschreitende Adaption moderner IT-Services stellen Unternehmen vor zusätzliche Herausforderungen.

Gezielte Investitionen in die eigene Sicherheit werden daher zu einer immer größer werdenden Notwendigkeit. Allzu oft handeln Unternehmen jedoch erst, wenn bereits dunkle Wolken am Horizont des Cyber-Raums aufziehen. Um sich langfristig aus Schwierigkeiten herauszuhalten, ist es notwendig, Risikomanagementfähigkeiten proaktiv in der Organisation zu verankern. Eine klare Haltung in diesen Belangen führt nicht nur zu einem ruhigeren Puls bei den Verantwortlichen, sondern kann auch bewirken, dass unterschiedlichste Stakeholder von der Notwendigkeit des Risikomanagements überzeugt und mit an Bord geholt werden.

 

Zwei unterschiedliche Herangehensweisen – ein Ziel

NIST 800-39 und ISO27005 sind vielen ein Begriff, dahinter verstecken sich jedoch unterschiedliche Prinzipien und Prozesse hinsichtlich des Managements von Cyber-Risiken. Während Ersteres einen iterativen Prozess für das Management eines einzelnen Risikos vorgibt und sich am besten für die Bewertung eines Risikos nach dem anderen eignet, beschreibt Zweiteres das Risikomanagement einzelner Systeme im Kontext eines System-Development-Life-Cycle-(SDLC-)Prozesses. Die Entscheidungsfindung beim Aufbau neuer Systeme findet hierbei anhand definierter Kontrollanforderungen statt.

Oft wird in Unternehmen nur eines der beiden Prinzipien umgesetzt, weshalb ein ganzheitlicher Ansatz für das Management von Risiken in Bezug auf die Entwicklung neuer Systeme und die Verwaltung bestehender Systeme nicht selten fehlt. Das ist schade, da sich beide Methoden gut ergänzen, und bildet deshalb die Grundlage für diesen Artikel, der Elemente aus beiden Frameworks verbindet.

 

Der Gefahr einen Schritt voraus sein

Seit geraumer Zeit sind sie in den Schlagzeilen anzutreffen: Cyber-Angriffe, die namhafte Unternehmen treffen und dafür sorgen, dass die Produktion stillsteht oder geistiges Eigentum verlorengeht. Dabei fallen oft Begriffe wie Ransomware- oder DDoS-Attacken sowie Phishing-Mails.

Doch Cyber-Risiken können zahlreiche weitere Formen annehmen. Verfügbarkeitsprobleme eines Software-Providers, Sicherheitsvorfälle bei Partnern oder die Nichteinhaltung regulatorischer Vorgaben stellen ebenfalls cyberbezogene Stolpersteine für Unternehmen dar. Dabei muss immer bedacht werden, dass nicht nur die eigene IT-Landschaft, sondern auch die der Kunden und Lieferanten betroffen sein kann.

Ein erster wichtiger Schritt hin zu einem umfassenden Risikomanagement ist es daher, die Auswirkungen solcher Vorfälle zu verstehen und den Risikomanagementprozess auf unterschiedliche Anwendungsfälle zuzuschneiden.

Nachdem ein Bewusstsein für die heterogenen Bedrohungsszenarien geschaffen wurde, gilt es nun, sich mit den damit verbundenen Cyber-Risiken zu beschäftigen und mit der Frage, wie man gedenkt, mit diesen umzugehen. Die Risikomanagementstrategie ist der Grundstein dafür und gibt eine unternehmensweit einheitliche Sichtweise bezüglich der Handhabe von Cyber-Risiken vor. Die Definition von Risikoparametern schafft konsistente Kriterien für den Vergleich und hilft bei der Auswahl von Maßnahmen zu deren Minderung. Sie bilden Rahmenbedingungen, die durch den Risikomanagementprozess leiten. Des Weiteren kann festgelegt werden, in welchem Ausmaß das Unternehmen bereit ist, sich gewissen Risiken auszusetzen.     

 

Lerne dich selbst kennen

Um zu wissen, inwiefern sich Cyber-Risiken auf das eigene Unternehmen auswirken können, ist es wichtig, ein detailliertes Bild der eigenen Systemlandschaft zu erhalten.

Dabei kann eine Business-Impact-Analyse (BIA) hilfreich sein, anhand derer kritische Prozesse identifiziert und IT-Assets entsprechend kategorisiert werden. IT-Assets, deren Ausfall schwerwiegende Konsequenzen für den Geschäftsalltag haben, kann so besondere Aufmerksamkeit geschenkt werden. Das hilft Entscheidungsträgern bei der Priorisierung von Maßnahmen im Rahmen von Wiederherstellungsstrategien und -plänen.

Sind die kritischen IT-Assets bekannt, kann damit begonnen werden, möglichst alle Bedrohungen und Verwundbarkeiten der unternehmenseigenen Systemlandschaft zu identifizieren. Es bietet sich an, die dadurch zutage tretenden Schwachstellen direkt mit entsprechenden Kontrollmaßnahmen in Verbindung zu bringen.

Beispiele solcher Maßnahmen beinhalten:

  • Privileged-Access-Management-(PAM-)Lösungen
  • Multi-Faktor-Zugriffsauthentifizierungen
  • Dynamische Datensicherung


Im Zuge der Auswahl von Maßnahmen werden Entscheidungsträger über eine Reihe vorgefertigter Frameworks stolpern, die sich in vielen Belangen überschneiden und eventuell in Widerspruch zu internen Richtlinien stehen. Jetzt gilt es, nicht den Überblick zu verlieren. Die bereits klar definierten Bedrohungsszenarien für die eigene Systemlandschaft helfen dabei, die Kontrollkataloge auf eine effektive Liste zu reduzieren. Werden dann auch noch interne Richtlinien, externe Industriestandards sowie vertragliche Anforderungen beachtet, steht einer Implementierung der Maßnahmen nichts mehr im Wege.

 

Jetzt kann uns nichts mehr passieren, oder?

Ein gutes Stück ist schon geschafft, doch Entscheidungsträger müssen sich bewusst sein, dass es unmöglich ist, das Unternehmen vollständig vor Bedrohungen aus dem Cyber-Raum zu schützen. Akteure, die sich vor dem Hintergrund krimineller Aktivitäten in diesem Raum bewegen, werden immer Wege finden, um an ihr Ziel zu gelangen, möge der Schutzschild noch so ausgeklügelt sein. Dabei stehen ihnen in vielen Fällen ausreichend Ressourcen in Form von Geld, Zeit und Know-how zur Verfügung.

Der Risikomanagementprozess ist daher als eine Schleife bestehend aus Identifizierung, Analyse und Bewertung von Bedrohungen zu verstehen. Risikoabschätzungen spielen dabei eine wichtige Rolle und dienen als Grundstein für weitere Entscheidungen und die Auswahl von Maßnahmen.

Sie betrachten Bedrohungen anhand ihrer Eintrittswahrscheinlichkeit und der Auswirkungen auf das Unternehmen, auch in finanzieller Hinsicht. Risikobewertungen basieren auf qualitativen, quantitativen oder hybriden Methodiken und können unterschiedliche Formen annehmen. So kommen einmalige Bewertungen häufig bei der Einführung neuer IT-Lösungen zum Tragen oder werden von speziellen Triggern ausgelöst. Portfoliobewertungen werden periodisch im Rahmen des fortlaufenden, unternehmensspezifischen Risikomanagements durchgeführt. Handelt es sich um größere Prozesse mit Projektmanagementelementen, können zur Unterstützung der Qualitätssicherung auch sogenannte Tollgate-Bewertungen, die auf dem Go-/No-Go-Prinzip beruhen, eingesetzt werden.

 

Achtung: mitschreiben und teilen!

Die identifizierten Bedrohungen werden, genauso wie die eingangs erwähnte Risikomanagementstrategie und die Parameter, in einem übergeordneten Risikomanagement-Framework festgehalten, das immer aktuell gehalten werden sollte. Das Framework dient nicht nur der internen Dokumentation, sondern ermöglicht es, gegenüber Dritten eine gewisse Ernsthaftigkeit bezüglich des Risikomanagements zu demonstrieren, was deren Vertrauen in das eigene Unternehmen stärkt.  

Dabei sollte auf tiefergehende technische Formalitäten verzichtet werden, um Risiken, deren Auswirkungen sowie deren Status in leicht verständlicher Form innerhalb des Unternehmens zu kommunizieren und Entscheidungsträgern vorlegen zu können. Eine objektive, auf die Interessen des Unternehmens ausgelegte Risikokommunikation legt offen dar, weshalb bestimmte Risiken für das Unternehmen relevant sind, und unterstützt somit aktiv die Entscheidungsfindung.

Ziel sollte es sein, eine unternehmensweit einheitliche Sichtweise bezüglich des Risikomanagements zu etablieren. Dafür ist es gegebenenfalls notwendig, abteilungsübergreifend zusammenzuarbeiten und den eigenen Verantwortungsbereich auch einmal zu verlassen.

 

Wie heißt es so schön: Man lernt nie aus

Um gut gegen Cyber-Risiken gerüstet zu sein, ist es ratsam, die implementierten Kontrollmaßnahmen ständig zu überwachen, um zu sehen, ob diese noch zeitgemäß sind und der allgemeine Risikomanagementprozess effektiv umgesetzt wird. Dabei helfen Retroperspektiven und Ursachenanalysen, wobei auch von Fehlern anderer gelernt werden kann. Diese Methoden liefern jedoch einen sehr reaktiven Ansatz, weshalb zusätzlich das aktive Monitoring mittels KPIs zu empfehlen ist. Regulatorische Änderungen können einem solchen Monitoring unterliegen, um sicherzustellen, dass sich die intern gesetzten Maßnahmen auch nach außen hin widerspiegeln lassen.

Das Verhalten der Mitarbeiter*innen hinsichtlich der internen IT-Nutzung spielt ebenfalls eine Rolle und sollte regelmäßig überprüft werden, um möglichen Abweichungen und damit verbundenen Bedrohungen einen Schritt voraus zu sein. Zur Durchführung all dieser Monitoring-Aufgaben können gut geschulte interne Compliance-Teams eingesetzt werden.

Ein weiterer wichtiger Punkt, der bei der Umsetzung eines nachhaltigen Risikomanagements von Nöten ist, wird hier zwar zuletzt erwähnt, was seiner Signifikanz jedoch nicht schmälert. Die Rede ist von der sogenannten „Technical Debt“, also über die Zeit angesammelte technische Altlasten.

Wie alle Schulden muss auch die Technical Debt irgendwann bezahlt werden, was dafür sorgt, dass Maßnahmen zur Reduktion von Cyber-Risiken mit erheblichen Investitionen einhergehen. Außerdem ergeben sich aus veralteten Technologien Sicherheitsschwachstellen. Oft wird die Technical Debt erst dann bemerkt, wenn Ressourcen schlechte Leistungen erbringen. Um den Abbau der Technical Debt zu forcieren, ist es daher wichtig, einen möglichst weitreichenden Betrachtungsrahmen zu wählen. Dadurch kann das Unternehmen in seinen Arbeitsabläufen und in der Nutzung seiner Ressourcen effizienter werden, was der Erreichung langfristiger Geschäftsziele dienlich ist.