2. August 2018

Analyse der Cyberrisiken – Wissen, wo die Lücken lauern

Es ist Aufgabe des Top-Managements, eine Cybersicherheitsstrategie zu erstellen. Soweit, so bekannt. Wie aber kommt die Führungsriege an die dafür notwendigen Informationen über vorhandene – und somit zu schließende – Schwachstellen? Was muss eine aussagekräftige Ist-Analyse beinhalten und wie lässt sie sich praxisgerecht mit vertretbarem Aufwand umsetzen?

Zur Analyse der Cyberrisiken sollte ein Rahmenwerk herangezogen werden zoom Zur Analyse der Cyberrisiken sollte ein Rahmenwerk herangezogen werden

Bevor eine Organisation eine Sicherheitsstrategie entwickelt, sollte sie zunächst die Frage nach dem „Wo stehen wir eigentlich?“ beantworten. Diese Analyse des Ist-Zustands ist notwendig, um die wirksame Schritte und Maßnahmen festzulegen. Die Unternehmensführung muss dabei mit offenen Augen den eigenen Risiken gegenübertreten und auch entscheiden, welches Restrisiko sie bereit ist, einzugehen – denn vollkommene Sicherheit gibt es nicht. Aufgrund dieser Tragweite sollte der Umgang mit Cyber-Risiken auch zwingend vom Top-Management gelenkt werden.

Ergibt dann beispielsweise die – unter anderem zur Erfüllung der EU-DSGVO notwendige – Analyse der kritischen Datenbestände, dass auf Webservern besonders relevante (personenbezogene) Daten liegen, muss der Blick sofort auf die bisher hierfür aufgefahrenen Schutzmaßnahmen wandern. Zeigt die Ist-Analyse, dass der Schutz der Webserver nicht mehr zeitgemäß ist, sind die nächsten Schritte klar. Eine Gap-Analyse hat also auch einen starken Compliance-Bezug, der über das weitgehend wirkungslose Abhaken von Checklisten deutlich hinausgeht und somit echten Wert hat für die Steigerung des Datenschutzes.

Wie aber kommt die Unternehmensführung an die Informationen über eventuell vorhandene Schwachstellen, wie strukturiert man die oben beschriebene Gap-Analyse? Mittels punktueller Maßnahmen jedenfalls nicht: So sind beispielsweise Penetrationstests beim Bewerten des Sicherheitsniveaus einer einzelnen Anwendung, des Netzwerks oder auch des Firmengeländes überaus wertvoll. Für eine umfassende Ist-Analyse genügt das jedoch nicht. Zum Bewerten der Abwehrmaßnahmen einer größeren, komplexen Organisation sollte stattdessen ein umfangreiches Rahmenwerk herangezogen werden.

Das Pharma-Unternehmen Boehringer-Ingelheim griff für die Analyse seines Ist-Zustands beispielsweise auf das Rahmenwerk CESG Cybersecurity Framework zurück, das von einer Unterorganisation des britischen Nachrichtendienstes GCHQ stammt (inzwischen ist das Framework Teil eines „10 Steps to Cyber Security“ genannten Programms, dessen Ziel es ist, CEOs und Vorständen das Thema Cybersicherheit näher zu bringen). Es ist weitgehend selbsterklärend und erfordert keine übermäßig großen personellen Ressourcen. Schwerpunkt des Rahmenwerks sind Maßnahmen, mit denen sich Risiken eindämmen und kontrollieren lassen. Nach Aussage der Macher des Frameworks werden Organisationen immun gegen 80 Prozent der derzeit gängigen Angriffe, wenn sie die vom Framework empfohlenen Maßnahmen ergreifen. Unterteilt sind die Maßnahmen nach Themen wie „Malwareschutz“, „Incident Management“ oder „Mobiles Arbeiten“.

Die durch das Abarbeiten des Frameworks gesammelten Informationen sind dann die Grundlage für den Fahrplan, der die jeweils zum Eindämmen der Risiken notwendigen Maßnahmen auflistet und die einzelnen Schritte untereinander gewichtet. Letzteres ist wichtig, um nicht zu viel Zeit mit einem komplexen Problem wie dem Aufbau einer neuen Firewall-Landschaft zu verbringen, während sich mit weniger Aufwand an anderer Stelle (beispielsweise der Installation einer einzelnen Web-Application-Firewall) ein ähnlich durchschlagender Effekt erzielen lässt. Der Fahrplan muss natürlich laufend aktualisiert werden, da sich das Unternehmen kontinuierlich weiterentwickelt. Neue Projekte sollten aber nicht einfach oben einsortiert werden, da sonst die älteren und wahrscheinlich besonders leicht zu missbrauchenden Schwachstellen nie geschlossen werden.

Nach Abschluss der ersten Runde an Maßnahmen empfiehlt es sich, die Widerstandsfähigkeit der eigenen Organisation unabhängig bewerten und mit anderen Unternehmen aus der gleichen Branche vergleichen zu lassen. Dazu empfiehlt sich die Zusammenarbeit mit einer unabhängigen Einrichtung wie einer Universität, die eine solche Befragung konzipiert und umsetzt. Anschließend sollte das Top-Management jederzeit zum Status der Widerstandsfähigkeit der Organisation aussagefähig sein.


Foto: pexels.com