VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

Security ConceptRSA, die IT-Sicherheits-Tochter von EMC, hat mit Unterstützung von Deloitte Advisory Cyber Risk Services ein neues Framework für das Erfassen und Bewerten von Cyber-Risiken entwickelt.

Dieses ermöglicht es Anwendern, für verschiedene IT-Risiken Toleranzschwellen zu beschreiben und so eine pragmatische Grundlage für wirksame Risk-Management-Strategien zu schaffen. Das Framework ist Bestandteil eines Reports, den Experten der beiden Firmen gemeinsam verfasst haben.

Wenn Unternehmen neue Verfahren oder Technologien nutzen, um die eigene Wettbewerbsfähigkeit zu steigern, erhöhen sie zumeist auch die eigene Anfälligkeit für Cyber-Risiken. Deshalb brauchen Firmen, die etwa Outsourcing betreiben, die Netzwerke Dritter nutzen oder IT-Ressourcen aus der Cloud beziehen, neue und pragmatische Risk-Management-Ansätze.

Wie es im RSA-Report heißt, benötigten die Organisationen vor allem dreierlei: Erstens strukturierte Abläufe für das Definieren und Kategorisieren von Risiken, zweitens die Beteiligung der wichtigsten Stakeholder und „Risk-Owner“ im Unternehmen sowie drittens Berechnungsverfahren für Risiko-Toleranzschwellen.

Zuvor aber bräuchten sie vor allem ein neues Verständnis des Begriffs „Cyber-Risiko“. Der Ausdruck bezeichne nicht nur gezielte Hacker-Angriffe auf IT-Umgebungen. Vielmehr schließe er jede Art von Vorfall ein, bei dem der Einsatz von IT-Ressourcen einen möglichen Verlust oder Schaden nach sich ziehen könne.

Der Report enthält ein praxistaugliches Framework zur Kategorisierung solcher Cyber-Risiken auf Grund der zwei Bestimmungsgrößen „Absicht“ und „Ausgangspunkt“: Cyber-Risiken können die Folge böswilliger Angriffe sein, bei denen Hacker gezielt versuchen, Informationen zu entwenden. Sie können aber auch aufgrund unabsichtlichen Handelns entstehen, etwa wenn ein Benutzer einen Fehler macht, der die Verfügbarkeit einer Ressource vorübergehend einschränkt. Der Ausgangspunkt eines Risikoereignis kann außerhalb eines Unternehmens liegen – etwa bei Hackern oder Geschäftspartnern innerhalb der Supply Chain – oder innerhalb, bei Mitarbeitern oder Sub-Unternehmern.

Um die eigene Risikotoleranz zu bestimmen, empfiehlt der Report, dass Unternehmen zunächst eine umfassende Bestandsaufnahme der Cyber-Risiken anfertigen, dann deren jeweils mögliche Auswirkung quantifizieren und schließlich eine Priorisierung vornehmen. Dabei gelte es, die richtigen Fragen zu stellen: Welche Art von Datenverlust wären für das Unternehmen katastrophal? Welche weniger kritisch? Welche Informationen dürften auf keinen Fall in falsche Hände geraten?

Viele Risiko-Auswirkungen könnten einfach beziffert werden – etwa mittels Bußgeld- und Rechtskostenschätzungen oder per Berechnung von Produktivitätsverlusten. Andere seien dagegen schwerer zu berechnen – der Verlust geistigen Eigentums etwa, Schäden der Unternehmens- oder Markenreputation oder ein verringerter Firmenwert.

Wer die entsprechenden Bewertungen dennoch auf strukturierte Art vornähme, könne geschäftskritische von weniger geschäftskritischen Ressourcen unterscheiden. Das wiederum erlaube dann das Priorisieren der eigenen Sicherheitsbemühungen: „Mission-critical“-Umgebungen könnten dann stärker geschützt werden als „normale“ Kernbestandteile der IT-Infrastruktur, die wiederum stärker gesichert würden als beispielsweise Teile der erweiterten IT-Umgebung (etwa Supply-Chain-Management-Anwendungen oder Partner-Portale). Diese Art der Priorisierung solle fortlaufend und auf Grundlage immer neuer Bewertungen und Neu-Bewertungen erfolgen, heißt es in dem Bericht.

Die Verfasser kommen zu dem Schluss: Unternehmen, die Cyber-Risiken quantifizieren und entsprechende Risiko-Toleranzschwellen festlegen, verschaffen sich klare Wettbewerbsvorteile. Oberstes Ziel solle stets sein, sicher zu stellen, dass die Investitionen in IT-Sicherheit zu den ermittelten Risiko-Toleranzen passten.

Weitere Informationen:

Laden Sie den RSA-Report „Cyber Risk Appetite: Defining and Understanding Risk in the Modern Enterprise“ hier herunter.

www.rsa.com/de-de

GRID LIST
Cyber Attack

Die größten Gefahren für KMUs sind Malware und Passwortdiebstahl

Kleine und mittlere Unternehmen (KMU) sowie dezentral organisierte Firmen sahen sich auch…
Mann

IT-Abteilungen müssen mehr Verantwortung übernehmen

Die aktuelle Rolle von IT-Abteilungen und die, die von der Unternehmensleitung ihnen…
Mann

Attacken auf die Industrie verursachten 43 Mrd. Euro Schaden

Kriminelle Attacken treffen Industrieunternehmen besonders hart: Durch Sabotage,…
Blockchain

Steht Blockchain vor dem Durchbruch?

Ob Kryptowährungen, sichere Lieferketten oder Smart Contracts: Im Hintergrund wird immer…
Tb W190 H80 Crop Int 3fde0ea9452d02a7a9faf29585068c69

Zwei Drittel der Netzwerke sind nicht sicher

Trotz aller Investitionen in Datensicherheit und Datenschutz sind viele mittlere und…
Cyber Attack

Sicherheitslücken auf Webseiten im Mittelstand nachgewiesen

Internet-Webseiten von kleinen und mittelständischen Unternehmen sind häufig ein…
Smarte News aus der IT-Welt