Dringend, wichtig, oder beides: Priorisierung in der Informationssicherheit

Der Kampf gegen Cyberbedrohungen wird gern mit einem Wettrüsten beschrieben. Die eine Seite findet neue Angriffsmöglichkeiten, die andere Seite neue Abwehrtechnologien. Das klingt zwar schön nach Gleichgewicht und ausgewogenem Kräfteverhältnis, doch das Bild täuscht. Tatsächlich nimmt die schiere Anzahl der Angriffe nach wie vor zu. Der aktuelle Lagebericht der Bundesbehörde zur IT-Sicherheit des BSI von Ende September spricht eine deutliche Sprache. Die absoluten Zahlen der Bedrohungen und Angriffe haben sich in allen Bereichen über die Jahre weiter nach oben entwickelt. So wird der Ransomware, obwohl sie weitgehend aus den Medien verschwunden ist, nach wie vor eine verheerende Schadensbilanz ausgestellt. Die Erkennung wird immer schwieriger, Schadensbehebung über ausgelagerte Backups rückt in den Vordergrund. Doch wer soll sich darum kümmern? Die "Cybersecurity Workforce Study 2018" von (ISC) 2 stellt fest, dass weltweit eine Lücke von 2,93 Millionen Cyber-Sicherheitsexperten in der Arbeitswelt herrscht. Ganze 59% der befragten Cybersicherheitsmitarbeiter sind der Ansicht, dass diese Personalknappheit ihre Organisation entweder extrem oder mäßig gefährdet.

Nicht jede Organisation hat die Ressourcen, um sich mit gleicher Kraft auf alle Angriffsvektoren zu stürzen. Selbst wenn das Budget groß und die Manpower unbegrenzt wäre, ist es sinnvoll zu priorisieren. Die 80/20 Regel sorgt auch im Bereich Informationssicherheit für schnelle und vor allem wirksame Erfolge bei begrenztem Mitteleinsatz. Eine Möglichkeit, seine Kräfte auf die richtigen 80% zu konzentrieren, ist der Blick über die Schulter. Das U.S. Department of Homeland Security hat kürzlich eine neue Richtlinie zur Priorisierung von Cybersicherheitsrisiken herausgegeben. Sie nimmt die konvergierenden digitalen, physischen und persönlichen Bedrohungen als Thema, um Risikomanagement nach Schadensklassen zu fordern. Das ist natürlich kein wirklich neuer Ansatz. Aber in zahlreichen Organisationen wird Sicherheit nach wie vor nicht nach Schutzbedarf, Eintrittswahrscheinlichkeit und Auswirkung umgesetzt. Hier regiert die Technik und zwar die des Herstellers, der die besten Vertriebsmitarbeiter hat.

Zu Anfang mühsamer aber auch sinnvoller ist es, sich Gedanken über die wertvollsten Daten und Geschäftsprozesse zu machen. Wenn diese kompromittiert werden, ist der Fortbestand der Firma gefährdet. Schon diese Übung wird im Unternehmen kontroverse Diskussionen auslösen, da natürlich jeder Business-Owner seine Prozesse als maximal wichtig ansieht. Doch im Endeffekt stehen die Prozesse, die direkt für den Umsatz verantwortlich sind, im Fokus. Themen wie Compliance und Corporate Governance scheinen zwar sehr wichtig zu sein und große Auswirkungen auf die Informationssicherheit zu haben, doch sie sind selten Kernaspekte. Ob Compliance eine Woche früher oder später hergestellt wird, hat meistens keine finanziellen Folgen. Ob ein Online-Händler eine Woche lang aufgrund einer Ransomware-Attacke ohne Web-Präsenz auskommen muss, schon. Zudem erledigen sich gerade die prozessorientierten Themen wie Compliance durch eine gründliche Vorarbeit mit der Klassifizierung von Assets und Daten selbst oder werden zumindest deutlich vereinfacht.

Deswegen muss die Priorisierung von Cyberrisiken in einem groß angelegten Kontext bewertet, an kritische Geschäftsziele gebunden und gegen eine realistische Bedrohungs- und Ressourcenanalyse abgewogen werden. Unterstützung aus der Führungsebene ist unerlässlich und es muss allen Beteiligten klar kommuniziert werden. Wenn man damit fertig ist, sollte man bereits an die nächste Bewertungsrunde denken. Geschäftsbedingungen ändern sich, die Angriffsvektoren entwickeln sich weiter und neue gesetzliche Bestimmungen können ebenfalls den Fokus verschieben.

Blog abonnieren

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.