Thought Leadership
Cyberangriffe stellen heute für alle Marktteilnehmer zunehmend eine große Bedrohung dar. Hacks bedrohen Unternehmen gegebenenfalls in ihrer Existenz und auch für Verbraucher besteht durch den Einsatz unsicherer Produkte eine große Gefahr. Mit dem kürzlich beschlossenen Cyberresilienzgesetz reagiert die EU-Kommission auf die stetig steigenden Risiken.
Die neue Richtlinie formuliert schärfere Sicherheitsanforderungen für vernetzte Produkte in Unternehmen und im privaten Umfeld – Security-by-Design wird zur Vorschrift. Allerdings lässt sich wirksame Gefahrenabwehr nur realisieren, wenn Zwecke und Ziele aller Maßnahmen einer Sicherheitsstrategie bekannt sind. Das bezieht neben den Security-Experten auch alle Mitarbeiter und die verwendeten Technologien ein. Ein Leitfaden von Kudelski Security hilft Unternehmen, ihre Prioritäten richtig zu setzen.
1. Definieren eines Leitbildes für Cybersicherheit
Der Arbeitsalltag einer IT-Sicherheitsabteilung ist oftmals mit zahlreichen Tätigkeiten gefüllt, die nichts mit der Kernaufgabe der Mitarbeiter zu tun haben. Damit sich das Team auf die Ziele der Cybersicherheit konzentrieren, eine Strategie entwickeln und einen Fahrplan festlegen kann, braucht es ein Leitbild, an dem sich die Kollegen orientieren können. Es ermöglicht allen Beteiligten, Prioritäten unter konkurrierenden Zielen zu setzen und die eigenen Erwartungen danach auszurichten. Folgende vier Fragen bieten den Rahmen für ein Leitbild: Welchen Zweck erfüllt das Team im Unternehmen? Für wen arbeitet es vorwiegend? Welche Assets im Unternehmen sind besonders schützenswert? Worauf sollten sich die Bemühungen um Schutz konzentrieren?
2. Konkrete Sicherheitsziele formulieren
Sobald ein Leitbild formuliert ist, lassen sich spezifische Ziele für das Cybersicherheitsteam fixieren. Sie beinhalten beispielsweise spezifische und nachverfolgbare Zeitpläne und Zahlen, mit denen sich der Fortschritt verfolgen lässt. Um diese zu messen, bieten sich zahlreiche Modelle an – insbesondere SMART-Ziele. Als fixe Orientierung helfen sie den Anwendern, sich auch im größten Trubel nicht vom Weg abbringen zu lassen.
3. Sicherheitsstrategie und Geschäftsziele harmonisieren
Damit das Sicherheitsteam profitabel arbeitet und auf die Ziele des Unternehmens einzahlt, müssen die Sicherheitsstrategie und die Unternehmensziele aufeinander abgestimmt werden. Im ungünstigsten Fall arbeiten Unternehmen und IT-Abteilung in unterschiedliche Richtungen, anstatt kohärent und strategisch gemeinsam zu wirken. Vonseiten des Managements gilt es daher sicherzustellen, dass die Aktivitäten des Sicherheitsteams das Unternehmen unterstützen.
4. Fokus auf die größten Bedrohungen richten
Für effiziente Gefahrenabwehr müssen die wichtigsten Bedrohungen ermittelt werden, auf die sich das Sicherheitsprogramm im Rahmen seiner Ziele konzentrieren sollte. Das klingt leichter, als es ist, erfordert Zeit und ein tiefes Verständnis der Unternehmensorganisation selbst sowie der Cyber-Bedrohungslandschaft, die es umgibt. Daher ist es sinnvoll, einen Partner heranzuholen, der sich in der Branche auskennt und über Erfahrung mit ähnlichen Unternehmen verfügt.
Wenngleich die Liste für jedes Unternehmen anders ist, sind einige Bedrohungen im heutigen Geschäftsklima und in der Bedrohungslandschaft allgegenwärtig. Wahrscheinlich sind mindestens zwei der folgenden Bedrohungen auf jeder Top-Five-Liste zu finden: Insider-Bedrohungen, Cyber-Kriminalität und Drittanbieter-Risiken oder Kompromittierung der Lieferkette.
5. Übersetzung in konkrete Maßnahmen
Zu guter Letzt sollten die Cyber-Bedrohungen für das Unternehmen in konkrete Maßnahmen zur Zielerreichung übersetzt werden. Zum Glück für alle Sicherheitsverantwortlichen unternehmen Angreifer mit einem konkreten Motiv relativ vorhersehbare Schritte, um ihre Ziele zu erreichen. Allerdings heißt das nicht, dass Angreifer neue Wege außer Acht lassen, die sie noch nie zuvor beschritten haben. Die Folge: Verteidiger sind ihnen immer ein paar Schritte hinterher. Gerade deshalb dient der Prozess der Erstellung eines Leitbilds, der Bestimmung der wichtigsten Cyber-Bedrohungen für das Unternehmen und der Zuordnung dieser Bedrohungen zu den Zielvorhaben dazu, organisch tiefere Einsichten in potenzielle Vorgehensweisen bei einem Angriff zu gewinnen.
„Die Bedrohungslandschaft entwickelt sich ständig weiter, sodass es sich nicht um einen einmaligen Prozess oder eine einmalige Überlegung handeln kann“, erklärt Tony de Bos, Vice President of Services bei Kudelski Security. „Unternehmen verändern sich und darum ist der Schutz kontinuierlich neu zu bewerten – idealerweise mit Unterstützung durch einen verlässlichen Partner, der das aktuelle Bedrohungsgeschehen kennt und mit Rat und Tat zur Seite stehen kann.“
www.kudelskisecurity.com/de
