No risk (management), no fun

6 Schritte zur richtigen Risikoakzeptanz

Für die Entwicklung einer Cybersecurity-Strategie ist es unerlässlich, die Risikobereitschaft Ihres Unternehmens zu kennen. Hier erfahren Sie, wie Sie eine risikoorientierte Security-Agenda sicherstellen.
Von 
CSO | 25. März 2022 05:00 Uhr
Die Risikobereitschaft des Unternehmen hat einen wesentlichen Einfluss auf die Cybersecurity-Strategie des CISO.
Die Risikobereitschaft des Unternehmen hat einen wesentlichen Einfluss auf die Cybersecurity-Strategie des CISO.
Foto: Olivier Le Moal - shutterstock.com

Laut einer Studie von Gartner arbeiten nur zwei Drittel der als besonders effektiv bewerteten CISOs mit der Geschäftsleitung zusammen, um die Risikobereitschaft ihres Unternehmens zu definieren. Dennoch sollten CISOs diese Gespräche vorantreiben, sagt Sicherheitsberater Frank Kim, denn das Verständnis von Risiken und insbesondere die Ermittlung des Risikos, das ein Unternehmen akzeptieren kann, sollte in die Cybersicherheitsstrategie einfließen.

In solchen Gesprächen wird auch ermittelt, welche Risiken das Unternehmen vermeiden, welche es übertragen und welche es abschwächen möchte - all dies sollte auch die Agenda des CISO bestimmen. "Es geht darum, zu wissen, welche Risiken man eingehen will und welche nicht", erläutert Kim, Gründer des Sicherheits- und CISO-Beratungsunternehmen ThinkSec und ehemaliger CISO des SANS Institute.

Im Folgenden finden Sie einige Schlüsselelemente, die CISOs bei der Ermittlung der Risikoakzeptanz helfen sollen:

1. Wissen, was für Ihr Unternehmen am wichtigsten ist

CISOs müssen verstehen, welche Risiken welche Bedenken hervorrufen. Nur so können sie fundierte Gespräche über die Risiken führen, die das Unternehmen bereit ist zu akzeptieren. Dazu müssen sie aber die Technologie, die Daten und die Prozesse ihres Unternehmens sowie die Geschäftsfunktionen und -ergebnisse, die sie schützen wollen, genau kennen, sagt Jon Baker, Mitbegründer und stellvertretender Direktor für Forschung und Entwicklung des MITRE Engenuity Center for Threat-Informed Defense.

"Grundlage dafür ist, dass Sie die Systeme, die Art der verarbeiteten Informationen und die Auswirkungen dieser Informationen auf Ihr Unternehmen kennen", erklärt Baker. "Darauf aufbauend müssen Sie dann die Bedrohungslandschaft verstehen, die Bedrohungen, die für Sie als Unternehmen von Bedeutung sind, und die Kontrollen, die Sie zur Bewältigung dieser Risiken eingerichtet haben."

CISOs, die diesen Überblick haben, können am besten erkennen, welche Risiken die größte Bedrohung für die Leistungs- und Geschäftsfähigkeit des Unternehmens darstellen. "Sie haben ein Gefühl dafür, was für das Unternehmen am wichtigsten ist, und können dann Gespräche darüber führen, wo das Cyberrisiko liegt und welche Auswirkungen es hat", erläutert Kim.

2. Risiken aus der Business-Perspektive analysieren

Kim betont, was CISOs schon seit Jahren hören, nämlich, dass sie Cyberrisiken in einen Business-Kontext stellen sollten. "Verstehen Sie die Probleme, die den Geschäftsbetrieb stören könnten", sagt er. Nicht alle Cyber-Bedrohungen stellen das gleiche Risiko dar, merkt Jon France, CISO bei (ISC)², einem Verband für Schulungen und Zertifizierungen im Bereich Cybersicherheit, an.

Andererseits kann jede Cyber-Bedrohung unterschiedliche Schäden verursachen. So sind die Auswirkungen eines Angriffs, der beispielsweise das System eines Verkaufsautomaten ausschaltet, weniger besorgniserregend als die Auswirkungen desselben Angriffs auf ein unternehmenskritisches oder lebensnotwendiges System, etwa ein medizinisches Gerät.

CISOs müssen deshalb Cyber-Bedrohungen nicht nur hinsichtlich ihrer Auswirkungen auf die Unternehmenstechnologie, sondern auch auf die Business-Funktionen verstehen, einordnen und kommunizieren. Anschließend können sie und ihre Kollegen in der Vorstandsetage festlegen, welche Risiken sie auf der Grundlage von geschäftlichen Kriterien (etwa Kosten, Ziele, Compliance-Anforderungen etc.) vermeiden, übertragen, abmildern oder akzeptieren wollen.

"Man kann sich nicht für ein Risiko entscheiden, wenn man es nicht im Kontext des Unternehmens sieht", bringt es France auf den Punkt.

3. Den Vorstand mit in die Pflicht nehmen

CISOs sollten die Cyber-Risiken zwar in den Geschäftskontext einordnen, aber nicht entscheiden, wie man mit ihnen umgeht. "Der CISO hilft bei der Festlegung der Risikostufen, aber er sollte sie nicht genehmigen", sagt Wilkinson, Professor für Cybersicherheit und Risikomanagement am Boston College.

Seiner Meinung nach obliegt diese Aufgabe den Führungskräften, die für die vom Risiko betroffenen Geschäftsbereiche zuständig sind. CISOs sollten aber gemeinsam mit diesen Kollegen einen Konsens über das Ausmaß des Cyberrisikos finden, das jeder in seinem Funktionsbereich zu akzeptieren bereit ist. "Dann muss das Ganze im Risikoausschuss und anschließend im Vorstand diskutiert werden, der es dann absegnen kann", fügt er hinzu.

Allerdings, so Wilkinson, fänden solche Gespräche häufig nicht statt. "CISOs sagen mir immer, dass die Einbindung des Unternehmens die Geheimzutat sei, die fehlt, und doch ist sie absolut entscheidend", fügt er hinzu.

Darüber hinaus sollten Unternehmen nach Ansicht von Experten im Rahmen dieser Gespräche ihren Ansatz für das Risikomanagement formulieren und quantifizieren. ThinkSec-Gründer Kim weist darauf hin, dass Unternehmen mit ausgereiften Risikomanagementprogrammen genau festgehalten haben, welche Arten von Risiken und in welchem Umfang das Unternehmen akzeptiert. Außerdem verwenden sie oft Methoden zur Quantifizierung und Einstufung von Risiken, damit sie wissen, wann ein Risiko nicht mehr akzeptabel ist und Maßnahmen erfordert.

Sicherheitsexpertin Pam Nigro stimmt dem zu und verweist auf Factor Analysis of Information Risk (FAIR) als eine Methode, die CISOs zur Quantifizierung und Verwaltung von Risiken in ihrem Unternehmen einsetzen können. "Wenn man zum Beispiel 20 kritische Risiken hat, hilft FAIR, diese jemandem zu erklären, der nicht jeden Tag mit Security zu tun hat", so die Vice President of Security bei Medecision, stellvertretende Vorstandsvorsitzende der Governance-Vereinigung ISACA und Professorin für Informationssicherheit, Risiko, Compliance und IT-Governance an der Lewis University.

4. Die Verantwortung übertragen, aber Partner bleiben

Da es sich bei der Festlegung der Risikoakzeptanz um eine geschäftliche Aufgabe handelt, sollten das Management und die Verantwortung für das Risiko bei den Rollen oder Teams liegen, die für die vom Risiko betroffenen Funktionen, Dienste oder Produkte verantwortlich sind, sagt Jermaine M. Stanley, Vorstandsmitglied von One in Tech, einer ISACA-Stiftung, und Vizepräsident des ISACA-Ortsverbands Greater Washington, D.C.. "Man muss dafür sorgen, dass die Beteiligten in der Organisation verstehen, wer für die Risikoakzeptanz verantwortlich ist", sagt Stanley. "Das können die Führungskräfte der Geschäftsbereiche sein, aber nicht der CISO. Der CISO ist für die Sicherheit des Unternehmens verantwortlich. Die Geschäftsführer oder der Präsident, diese Leute müssen für das Risiko in ihren Geschäftsbereichen, Prozessen oder Produkten verantwortlich sein."

Das bedeutet aber nicht, dass sich die CISOs vor dieser Aufgabe drücken können, fügen Stanley und andere Experten hinzu. "Es geht nicht, dass man einfach sagt: 'Hier ist das Risiko, akzeptiere es. Man kann es nicht einfach über Bord werfen und sagen, es sei deren Problem. Es ist eine Partnerschaft", sagt Nigro. "Die Security muss der Partner sein, der die Dinge im Unternehmen zusammenhält."

5. Frameworks und Tools zur Unterstützung des Risikomanagements einsetzen

Stanley rät CISOs und ihren Kollegen, eine Risikomanagement-Methodik wie FAIR zu verwenden, um diese Aktivitäten zu steuern, zu verwalten und zu verfolgen. "Sie müssen Ihre Risiken bewerten und in Hinblick auf die Auswirkungen beispielsweise als gering, mittel oder hoch einstufen", so der ISACA-Experte. "Außerdem sollten Sie noch die Art der Bedrohung und die Wahrscheinlichkeit, dass es innerhalb von 12 bis 18 Monaten eintreten könnte, berücksichtigen, damit Sie wissen, ob Sie ein Risiko priorisieren sollten", ergänzt er. "All dies hilft der Unternehmensleitung bei der Entscheidung über die Zuweisung von Ressourcen, und das geht in die Budgetierung und Strategie des Unternehmens ein."

Stanley empfiehlt außerdem den Einsatz von Risikomanagement-Technologien und/oder GRC-Tools (Governance, Risk and Compliance) sowie ein Risikoregister, um Risiken zu identifizieren und zu verfolgen, wie sie sich entwickeln und wie sich die Markt- und Unternehmensbedingungen ändern. Dies hilft den Unternehmen zu erkennen, wann akzeptierte Risiken zu inakzeptablen Risiken werden oder umgekehrt.

6. Risikoakzeptanz regelmäßig überprüfen und neu bewerten

Stanley, der auch Experte für Sicherheit und Compliance beim Softwareunternehmen Proofpoint ist, sagt, dass er und seine Kollegen die Risikoakzeptanz des Unternehmens jedes Jahr automatisch überprüfen. Dies sei eine gute Gelegenheit, "den Regler zu justieren", erklärt er. Neben Stanley betonen auch die übrigen Security-Experten die Notwendigkeit für CISOs und ihre Organisationen, ihre Risikobereitschaft und damit auch ihre Risikoakzeptanz regelmäßig zu überprüfen - jährlich oder öfter, je nachdem, wie es die Umstände erfordern.

"Die Risikoakzeptanz ist ein Teil des Risikomanagementprozesses, und ihre Überprüfung sollte daran gekoppelt sein, wie oft ein Unternehmen seine Aktivitäten neu kalibriert", sagt Kim. Sie müsse daher bei jeder wesentlichen Änderung im Unternehmen, etwa einer anderen Strategie, einer Übernahme oder einer Fusion überprüft werden.

"Aber CISOs sollten dies auch täglich oder wöchentlich tun, indem sie Fragen stellen", fügt der Security Consultant hinzu: "Die Sicherheit geht oft im Tagesgeschäft unter, und wir sind nicht immer in Kontakt mit dem Unternehmen. Aber so wie das Unternehmen sich selbst täglich oder regelmäßig neu bewertet, müssen auch die CISOs ständig mit dem Unternehmen in Kontakt bleiben, um zu verstehen, wie Risiken akzeptiert werden sollten oder nicht. Im Idealfall wollen wir einen Punkt erreichen, an dem wir ständig verstehen, was wir tun und wie wir unseren Ansatz ändern müssen." (mb)

Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation CSO.

Mary K. Pratt ist freiberufliche Journalistin in Massachusetts.