Anzeige

Anzeige

VERANSTALTUNGEN

OMX 2018
22.11.18 - 22.11.18
In Salzburg, Österreich

SEOkomm 2018
23.11.18 - 23.11.18
In Salzburg, Österreich

Blockchain Business Summit
03.12.18 - 03.12.18
In Nürnberg

Cyber Risk Convention
05.12.18 - 05.12.18
In Köln

IT-Tage 2018
10.12.18 - 13.12.18
In Frankfurt

Anzeige

Anzeige

Anzeige

Myth - Fact

Risk Assessment ist ein Konzept, dass in der Branche in letzter Zeit verstärkt diskutiert wurde, aber die Diskussionen zeigen auch, dass viele strategischen Entscheider die Idee noch nicht verinnerlicht haben: Daraus resultieren einige naive Mythen, die als trügerische Basis für die Sicherheitsrichtlinien in Unternehmen dienen und die Cybersicherheit des Unternehmens untergraben.

Um dieses Risiko zu minimieren, sollen im Folgenden die am häufigsten Fehlannahmen richtiggestellt werden, die Unternehmen daran hindern, eine ausgereifte Risikobewertung durchzuführen.

Mythos #1: IT-Risikobewertung ist teuer und kompliziert

Die Komplexität und die Kosten der Risikobewertung hängen vom Umfang und den Prozessen ab: Es gibt viele einfache Möglichkeiten wie eine Risikomatrix zur Bewertung und Priorisierung von Risiken auf Basis ihrer Auswirkungen auf die IT-Infrastruktur. Selbst einfache Maßnahmen, wie eine simple Tabelle mit den Risiken geordnet nach ihrer Schwere, helfen, die Sicherheitslage zu bewerten, ohne Geld für ein Produkt oder einen Berater auszugeben. Wer dennoch zu einer Softwarelösung greifen möchte, sollte auf Automatisierungs- und Integrationsfunktionen achten, um den zeitlichen und finanziellen Aufwand zu minimieren.

Mythos #2: Nur große Datenmenge sind eine gute Rechtfertigung

Zwar verfügen große Unternehmen meist über mehr Mittel als KMUs, um anspruchsvollere Sicherheitsmaßnahmen zu implementieren, aber Angreifer wissen das. Unternehmen jeder Größe speichern wertvolle Daten und die Kriminellen entscheiden sich für jene Ziele, die weniger geschützt sind, auch wenn es weniger zu stehlen gibt. Selbst eine kleine Menge vertraulicher Informationen kann oft wertvoller als eine große Menge trivialer Daten sein. Zum Beispiel könnte ein kleines Unternehmen oder eine kleine Behörde, Zugang zu vertraulichen Projekten haben, die verlockender sind als zahllose alltägliche E-Mails in einem Großunternehmen.

Mythos #3: Der Vorgang ist einmalig

Sowohl die IT-Infrastruktur als auch die Bedrohungslandschaft entwickeln sich ständig weiter, so dass der Prozess zur Risikobewertung und -Minderung regelmäßig wiederholt werden muss, um neue Schwachstellen zu erkennen und zu beheben. Wenn ein Unternehmen allerdings einmal auf den aktuellen Stand ist und Risk Assessment als Teil der Routine etabliert, wird es ihm leichter fallen, auf dem neuesten Stand zu bleiben und Standards oder Regulierungen wie ISO 27.001 oder die DSGVO einzuhalten.

Mythos #4: Berater schaffen eine künstliche Nachfrage

IT-Risikomanagement ist mehr als nur ein Schlagwort, vielmehr ist es sogar ein wesentlicher Bestandteil vieler Compliance-Standards, weil es Unternehmen hilft, ihre Risiken zu reduzieren. Beispiele dafür sind NIST SP 800-171, die DSGVO und ISO 27.001. Die Voraussetzung ist nämlich, die eigene Sicherheitslage zu bewerten, um zu wissen, wo Verbesserungen ansetzen können. In Abschnitt 3.11 des NIST SP 80-171 heißt es beispielsweise, dass Unternehmen Risiken für ihre IT-Umgebung regelmäßig neu bewerten und Sicherheitsprobleme entsprechend den Ergebnissen dieser Risikobewertung beheben müssen.

Die DSGVO hingegen legt wiederum nicht fest, wie Unternehmen ihre Risiken bewerten sollen, aber Artikel 32 fordert, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Artikel 35 ermutigt ebenfalls eindeutig dazu die Folgen für den Datenschutz bei risikoreichen Verarbeitungstätigkeiten zu bewerten.

Mythos #5: Das ist nur zur Veranschaulichung und bietet keinen Mehrwert

Tatsächlich ist die IT-Risikobewertung ein sehr mächtiges Werkzeug, um echte Änderungen vorzunehmen, die die Sicherheit verbessern. Der Netwrix IT Risks Report 2017 stellte fest, dass sich in 32 Prozent der Unternehmen die Geschäftsleitung nicht mit den IT-Sicherheitsthemen beschäftigt. Das ist problematisch für IT-Verantwortliche, wenn sie Budget für neue Sicherheitsmaßnahmen oder Personal benötigen. Mit einer konkreten Bewertung der Risiken können sie Schwachstellen für das Management aufzuzeigen und sie über die Wahrscheinlichkeit von Datenverstößen sowie deren finanzielle Auswirkungen aufzuklären. Das sind wichtige Argumente für die Vorgesetzte, um das geforderte Budget zu rechtfertigen.

Mythos #6: Wenn alles in Ordnung ist, ist der Aufwand unnötig

Ein falsches Sicherheitsgefühl ist eines der schlimmsten Dinge, die in einem Unternehmen auftreten können, weil es unabhängig von der Qualität der Kontrollprozesse immer Schwachstellen geben wird. Eine gründliche IT-Risikobewertung wird dabei helfen, diese aufzuspüren, zu priorisieren und geeignete Sicherheitsmaßnahmen zu ergreifen. Sobald sich die IT-Umgebung ändert und sich die Bedrohungslandschaft weiterentwickelt, sollte der Prozess deshalb wiederholt werden, weil neue Schwachstellen wahrscheinlich sind.

Mythos #7: Mit einer Versicherung ist alles gut

Viele Führungskräfte glauben, dass eine Versicherung im Fall eines Datenschutzvorfalls die Kosten decken würde und wiegen sich in falscher Sicherheit. Insbesondere wenn die Untersuchung ergibt, dass das betroffene Unternehmen den Vorfall verschuldet hat, werden Bußgelder und andere Sanktionen unvermeidlich. Gerade die Verantwortlichen in Führungspositionen sind dann die Ersten, die im schlimmsten Fall entlassen werden.

Bei Equifax, der größten Wirtschaftsauskunftei in der USA, läuft noch das Verfahren aufgrund des Datenschutzvorfalls im Mai 2017 und die Kosten belaufen sich bislang auf rund 87,5 Millionen Dollar. Die Endkosten werden zweifellos noch ein Vielfaches höher liegen, aber die Police von Equifax wird wahrscheinlich nur bis zu 150 Millionen Dollar abdecken. Innerhalb weniger Wochen mussten im September letzten Jahres der CIO, der CSO und der CEO zurücktreten und keine Versicherung hätte dagegen helfen können.

Der nächste Schritt

Wer ausgewogene Sicherheitsrichtlinien entwickeln und Daten vor Diebstahl und Verlust schützen möchte, muss zunächst das Konzept der Risikobewertung in der IT verstehen. Anschließend folgt der nächste Schritt: der Aufbau eines effektiven Risk Assessment-Programms. Die Fähigkeit, Sicherheitsrisiken zu identifizieren und zu priorisieren, ist ein wichtiger Schlüssel, um Cyber-Bedrohungen zu minimieren und die Einhaltung verschiedener Standards wie der DSGVO, PSD2 und anderen zu vereinfachen. Deshalb ist es umso wichtiger, dass Unternehmen ihre Sicherheitsstrategie nicht auf Mythen aufbauen.

Gerald LungGerald Lung, Country Manager DACH von Netwrix

www.netwrix.com

 

GRID LIST
Tb W190 H80 Crop Int 736a65166cde31ad5dffda5c8dd250fc

Cybersicherheit bei M & A-Transaktionen – Die unterschätzte Gefahr

Die aktuellen wirtschaftlichen und politischen Turbulenzen in einigen Staaten Europas und…
Tb W190 H80 Crop Int 59c0f6503daa36156da927e434e5a40f

Die 3 gefährlichsten Angriffsvektoren

Dieses Jahr hat Verizon bereits zum elften Mal seinen Data Breach Investigations Report…
Emergency

Fünf Must-haves für ein effektives Krisenmanagement

Everbridge, Spezialist für Critical Event Management, erläutert, wie Unternehmen bei…
Tb W190 H80 Crop Int 473f1a871a5501d106c3efe11521f17a

Schwachstellenmanagement ohne Priorisierung ist ein Ding der Unmöglichkeit

Schwachstellenmanagement beziehungsweise Vulnerability Management ist ein unverzichtbarer…
Tb W190 H80 Crop Int 28ce87d7cd96844fa4f1f9d045c20067

Network Box schützt „Kronjuwelen“

Die IT-Branche in Deutschland wächst. Mittlerweile arbeiten rund eine Million Menschen in…
Tb W190 H80 Crop Int 69bd67d0766bcf55730eef75a3612605

IT-Sicherheit nach Maß

65 Experten kümmern sich beim Energieversorger Innogy um die Cybersicherheit,…
Smarte News aus der IT-Welt