Rethink! IT Security D/A/CH
25.04.18 - 27.04.18
In Hotel Atlantic Kempinski Hamburg

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Security ConceptRSA, die IT-Sicherheits-Tochter von EMC, hat mit Unterstützung von Deloitte Advisory Cyber Risk Services ein neues Framework für das Erfassen und Bewerten von Cyber-Risiken entwickelt.

Dieses ermöglicht es Anwendern, für verschiedene IT-Risiken Toleranzschwellen zu beschreiben und so eine pragmatische Grundlage für wirksame Risk-Management-Strategien zu schaffen. Das Framework ist Bestandteil eines Reports, den Experten der beiden Firmen gemeinsam verfasst haben.

Wenn Unternehmen neue Verfahren oder Technologien nutzen, um die eigene Wettbewerbsfähigkeit zu steigern, erhöhen sie zumeist auch die eigene Anfälligkeit für Cyber-Risiken. Deshalb brauchen Firmen, die etwa Outsourcing betreiben, die Netzwerke Dritter nutzen oder IT-Ressourcen aus der Cloud beziehen, neue und pragmatische Risk-Management-Ansätze.

Wie es im RSA-Report heißt, benötigten die Organisationen vor allem dreierlei: Erstens strukturierte Abläufe für das Definieren und Kategorisieren von Risiken, zweitens die Beteiligung der wichtigsten Stakeholder und „Risk-Owner“ im Unternehmen sowie drittens Berechnungsverfahren für Risiko-Toleranzschwellen.

Zuvor aber bräuchten sie vor allem ein neues Verständnis des Begriffs „Cyber-Risiko“. Der Ausdruck bezeichne nicht nur gezielte Hacker-Angriffe auf IT-Umgebungen. Vielmehr schließe er jede Art von Vorfall ein, bei dem der Einsatz von IT-Ressourcen einen möglichen Verlust oder Schaden nach sich ziehen könne.

Der Report enthält ein praxistaugliches Framework zur Kategorisierung solcher Cyber-Risiken auf Grund der zwei Bestimmungsgrößen „Absicht“ und „Ausgangspunkt“: Cyber-Risiken können die Folge böswilliger Angriffe sein, bei denen Hacker gezielt versuchen, Informationen zu entwenden. Sie können aber auch aufgrund unabsichtlichen Handelns entstehen, etwa wenn ein Benutzer einen Fehler macht, der die Verfügbarkeit einer Ressource vorübergehend einschränkt. Der Ausgangspunkt eines Risikoereignis kann außerhalb eines Unternehmens liegen – etwa bei Hackern oder Geschäftspartnern innerhalb der Supply Chain – oder innerhalb, bei Mitarbeitern oder Sub-Unternehmern.

Um die eigene Risikotoleranz zu bestimmen, empfiehlt der Report, dass Unternehmen zunächst eine umfassende Bestandsaufnahme der Cyber-Risiken anfertigen, dann deren jeweils mögliche Auswirkung quantifizieren und schließlich eine Priorisierung vornehmen. Dabei gelte es, die richtigen Fragen zu stellen: Welche Art von Datenverlust wären für das Unternehmen katastrophal? Welche weniger kritisch? Welche Informationen dürften auf keinen Fall in falsche Hände geraten?

Viele Risiko-Auswirkungen könnten einfach beziffert werden – etwa mittels Bußgeld- und Rechtskostenschätzungen oder per Berechnung von Produktivitätsverlusten. Andere seien dagegen schwerer zu berechnen – der Verlust geistigen Eigentums etwa, Schäden der Unternehmens- oder Markenreputation oder ein verringerter Firmenwert.

Wer die entsprechenden Bewertungen dennoch auf strukturierte Art vornähme, könne geschäftskritische von weniger geschäftskritischen Ressourcen unterscheiden. Das wiederum erlaube dann das Priorisieren der eigenen Sicherheitsbemühungen: „Mission-critical“-Umgebungen könnten dann stärker geschützt werden als „normale“ Kernbestandteile der IT-Infrastruktur, die wiederum stärker gesichert würden als beispielsweise Teile der erweiterten IT-Umgebung (etwa Supply-Chain-Management-Anwendungen oder Partner-Portale). Diese Art der Priorisierung solle fortlaufend und auf Grundlage immer neuer Bewertungen und Neu-Bewertungen erfolgen, heißt es in dem Bericht.

Die Verfasser kommen zu dem Schluss: Unternehmen, die Cyber-Risiken quantifizieren und entsprechende Risiko-Toleranzschwellen festlegen, verschaffen sich klare Wettbewerbsvorteile. Oberstes Ziel solle stets sein, sicher zu stellen, dass die Investitionen in IT-Sicherheit zu den ermittelten Risiko-Toleranzen passten.

Weitere Informationen:

Laden Sie den RSA-Report „Cyber Risk Appetite: Defining and Understanding Risk in the Modern Enterprise“ hier herunter.

www.rsa.com/de-de

GRID LIST
Tb W190 H80 Crop Int 1c47f891c0e4f49c0ac30709509936c2

Industrie 4.0: Jede vierte Maschine ist smart

Sie generieren Daten, kommunizieren untereinander und geben dank Sensoren wichtige…
Tb W190 H80 Crop Int C1f80d9d9fa627857ca15db759d2550c

Cyber Threat Intelligence Umfrage 2018

Das SANS Institute, stellt die Ergebnisse seiner jährlichen SANS Cyber Threat…
Tb W190 H80 Crop Int 3bbed7e0f2c2b4a78e597d0a249636f4

Autonome Autos: Hoffnung auf mehr Sicherheit und Umweltschutz

Eine Mehrheit der Bundesbürger wünscht sich, dass Autos zumindest in bestimmten…
Tb W190 H80 Crop Int 3368ebdee10c122828225f75e23da6f9

Cloud Migration ist Top-Thema – heute und in den nächsten Jahren

Cloud Migration ist eines der IT-Themen, die Unternehmen in den nächsten Jahren erheblich…
Tb W190 H80 Crop Int 28368b180998f1512b5931a882eb9094

KI kann das Geschäft von Banken deutlich verbessern

Der Einsatz von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) in der…
Schlüssel auf Tablet

Weiterbildung ist der Schlüssel zur digitalen Arbeitswelt

Die Arbeitswelt in einem digitalen Umfeld eröffnet sowohl Arbeitgebern als auch…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security