Deutschland
 

Umgang mit Cyberbedrohungen

Diese vier Fehler sollten Sie vermeiden

Cyberrisiken und den Investitionsbedarf in Unternehmen so zu kommunizieren, dass Vorstandsmitglieder und Finanzentscheider sie wirklich verstehen, ist für IT-Abteilungen und CSOs immer wieder eine große Herausforderung. Diese Fehler sollten Sie dabei vermeiden.
Von 
CSO | 19. Juli 2022 05:20 Uhr
Diese vier Fehler sollten Unternehmen beim Umgang mit Cybersicherheitsbedrohungen unbedingt vermeiden.
Diese vier Fehler sollten Unternehmen beim Umgang mit Cybersicherheitsbedrohungen unbedingt vermeiden.
Foto: file404 - shutterstock.com

Die aktuelle Situation ist dramatisch. Laut "Check Point Research" wurden 2021 Unternehmensnetzwerke wöchentlich um 50 Prozent häufiger angegriffen als im Jahr zuvor. Heute ist jedes Unternehmen jeder Branche weltweit für Cyberangreifer ein mögliches und zumeist auch lohnendes Ziel. Schon seit Jahren werden Unternehmensführungen von IT-Abteilungen, CSOs und auch von der Cybersicherheitsbranche dazu gedrängt, akute oder schwelende Bedrohungen für das Unternehmen umfassend anzuerkennen.

Kommt es bei der Kommunikation von (potenziellen) Sicherheitsbedrohungen jedoch zu Missverständnissen oder Informationsverlusten, drohen Fehlentscheidungen, Fehlinvestitionen und die Umsetzung falscher Strategien.

Falsche Handlungsweisen bei Cybersicherheitsbedrohungen

Unternehmen machen häufig folgende Fehler beim Umgang mit Cyberrisiken:

  • Der CSO präsentiert eine Lösung. Doch der Vorstand versteht bei modernen Security-Lösungen nicht, was deren Umsetzung für ihr Unternehmen bedeutet. Sicherheitsstrategien wie Zero Trust sind nicht einfach bloß neue Security-Lösungen, sie erfordern eine gravierende Umstrukturierung des Unternehmens, des Einsatzes von Mitarbeitern und von Arbeitsprozessen. Man kann sogar so weit gehen zu behaupten, dass Unternehmen künftig um die Security herumgebaut werden müssen.

  • Es wird viel zu viel gemacht. Wird eine Sicherheitslücke offengelegt, werden schnell neue Produkte implementiert. Das führt teilweise zu unüberschaubaren Anhäufungen. Manche Unternehmen nutzen bis zu 130 Cybersicherheitsdienste und -produkte, was zu einer Datenexplosion führt. Valide Daten sind auch für die Cybersicherheit unerlässlich, aber eine unüberschaubare Datenlast überfordert die Sicherheitsteams und verhindert die Möglichkeit, die richtigen Prioritäten im unternehmerischen Risikomanagement zu setzen. Die CSOs jonglieren mit isolierten Sicherheitsprodukten, ertrinken in Datenmengen und versuchen gleichzeitig, dem Vorstand eine kohärente Strategie zu präsentieren, die er versteht.

  • Der Vorstand agiert reaktiv. Er nimmt Geld für neue Sicherheitslösungen erst in die Hand, wenn er von Sicherheitsverletzungen bei Wettbewerbern erfahren hat. Stützen sich Unternehmen auf diese Denkweise, hinken sie den Angreifern immer hinterher. Sie konzentrieren sich auf Bedrohungen der Vergangenheit, aber nicht auf das, was künftig auf das eigene Unternehmen zukommen kann.

  • Sie nutzen die falschen Tools. Sie verwenden beispielsweise gerne das Heatmap-Prinzip, eine weitverbreitete Methode mit mehr oder weniger intuitivem Ampelsystem. Auf den ersten Blick erscheint das System proaktiv. Es eignet sich auch für Präsentationen, gerade gegenüber der Vorstandsebene. Das Rot-Gelb-Grün-System ist aber viel zu vage und zu oberflächlich, um wirklich sicherheitsstrategische Mehrwerte zu generieren.

Cyberrisiken messen, verwalten und reduzieren

Wenn der CSO des Unternehmens mit dem CEO im Aufzug steht, sollte er die aktuelle Cyberrisikolage des Unternehmens während der kurzen Fahrt vermitteln können. Anstatt das Thema in einer stundenlanger Präsentation auszugestalten, die den Firmenchef in einer vermeintlichen Sicherheit wiegt. Cyberrisiken sollten in realen und vor allem quantifizierbaren Begriffen messbar sein.

Was kostet es dem Unternehmen, wenn durch eine Cyberattacke die Produktion für drei Tage lahmliegt? Was für ein finanzieller Schaden entsteht, wenn Kundendaten gestohlen wurden? Welcher Schaden kommt auf das Unternehmen zu, wenn die Daten von wichtigen Patenten entwendet wurden? Was kosten im Vergleich dazu adäquate Sicherheitslösungen, die solche Taten verhindern? Cyberrisiken sollten sich auf präzise Datenpunkte fokussieren und die finanziellen Auswirkungen einer Datenschutzverletzung aufzeigen, die durch rationelle Investitionen und Initiativen vermieden werden können. Das macht sie objektiv, skalierbar und für jeden CEO verstehbar.

Die Quantifizierung von Cyberrisiken ist somit für Unternehmen eine umfassendere und zielgenauere Lösung. Dieses Prinzip setzt auf ein Modell, das mehrere Datenpunkte in einem Dashboard integriert, um einen greifbaren Wert des Risikos für jeden Vermögenswert im Unternehmen zu schaffen, der in Echtzeit dargestellt wird. Zudem lässt sich das Risiko problemlos in die finanziellen Auswirkungen einer Sicherheitspanne umrechnen, eine Kennzahl, die wirklich jeder im Unternehmen verstehen kann, von Sicherheitsanalysten bis hin zu Vorstandsmitgliedern, externen Stakeholdern oder dem CEO.

Lesetipps: Vulnerability Management - Zehn typische Fehler beim Schwachstellen-Management

Top Cloud Thrats Report - Die 11 größten Cloud-Sicherheitsbedrohungen

Saket Modi ist Mitbegründer und CEO von Safe Security, einer Plattform für Cybersicherheit und die Quantifizierung von digitalen Geschäftsrisiken. Der studierte Informatik-Ingenieur gründete Safe Security im Jahr 2012. Das Unternehmen schützt die digitale Infrastruktur mehrerer Fortune-500-Unternehmen auf der ganzen Welt mit seiner Plattform zur Messung und Minderung von Cyberrisiken namens SAFE. Saket ist unter anderem in den Listen der 40-unter-40 des Fortune Magazine, der 35-unter-35 des Entrepreneur Magazine und der 30-unter-30 des Forbes Magazine vertreten.
Folgen: