VERANSTALTUNGEN

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

Automate IT
18.10.18 - 18.10.18
In Frankfurt am Main

Myth - Fact

Risk Assessment ist ein Konzept, dass in der Branche in letzter Zeit verstärkt diskutiert wurde, aber die Diskussionen zeigen auch, dass viele strategischen Entscheider die Idee noch nicht verinnerlicht haben: Daraus resultieren einige naive Mythen, die als trügerische Basis für die Sicherheitsrichtlinien in Unternehmen dienen und die Cybersicherheit des Unternehmens untergraben.

Um dieses Risiko zu minimieren, sollen im Folgenden die am häufigsten Fehlannahmen richtiggestellt werden, die Unternehmen daran hindern, eine ausgereifte Risikobewertung durchzuführen.

Mythos #1: IT-Risikobewertung ist teuer und kompliziert

Die Komplexität und die Kosten der Risikobewertung hängen vom Umfang und den Prozessen ab: Es gibt viele einfache Möglichkeiten wie eine Risikomatrix zur Bewertung und Priorisierung von Risiken auf Basis ihrer Auswirkungen auf die IT-Infrastruktur. Selbst einfache Maßnahmen, wie eine simple Tabelle mit den Risiken geordnet nach ihrer Schwere, helfen, die Sicherheitslage zu bewerten, ohne Geld für ein Produkt oder einen Berater auszugeben. Wer dennoch zu einer Softwarelösung greifen möchte, sollte auf Automatisierungs- und Integrationsfunktionen achten, um den zeitlichen und finanziellen Aufwand zu minimieren.

Mythos #2: Nur große Datenmenge sind eine gute Rechtfertigung

Zwar verfügen große Unternehmen meist über mehr Mittel als KMUs, um anspruchsvollere Sicherheitsmaßnahmen zu implementieren, aber Angreifer wissen das. Unternehmen jeder Größe speichern wertvolle Daten und die Kriminellen entscheiden sich für jene Ziele, die weniger geschützt sind, auch wenn es weniger zu stehlen gibt. Selbst eine kleine Menge vertraulicher Informationen kann oft wertvoller als eine große Menge trivialer Daten sein. Zum Beispiel könnte ein kleines Unternehmen oder eine kleine Behörde, Zugang zu vertraulichen Projekten haben, die verlockender sind als zahllose alltägliche E-Mails in einem Großunternehmen.

Mythos #3: Der Vorgang ist einmalig

Sowohl die IT-Infrastruktur als auch die Bedrohungslandschaft entwickeln sich ständig weiter, so dass der Prozess zur Risikobewertung und -Minderung regelmäßig wiederholt werden muss, um neue Schwachstellen zu erkennen und zu beheben. Wenn ein Unternehmen allerdings einmal auf den aktuellen Stand ist und Risk Assessment als Teil der Routine etabliert, wird es ihm leichter fallen, auf dem neuesten Stand zu bleiben und Standards oder Regulierungen wie ISO 27.001 oder die DSGVO einzuhalten.

Mythos #4: Berater schaffen eine künstliche Nachfrage

IT-Risikomanagement ist mehr als nur ein Schlagwort, vielmehr ist es sogar ein wesentlicher Bestandteil vieler Compliance-Standards, weil es Unternehmen hilft, ihre Risiken zu reduzieren. Beispiele dafür sind NIST SP 800-171, die DSGVO und ISO 27.001. Die Voraussetzung ist nämlich, die eigene Sicherheitslage zu bewerten, um zu wissen, wo Verbesserungen ansetzen können. In Abschnitt 3.11 des NIST SP 80-171 heißt es beispielsweise, dass Unternehmen Risiken für ihre IT-Umgebung regelmäßig neu bewerten und Sicherheitsprobleme entsprechend den Ergebnissen dieser Risikobewertung beheben müssen.

Die DSGVO hingegen legt wiederum nicht fest, wie Unternehmen ihre Risiken bewerten sollen, aber Artikel 32 fordert, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Artikel 35 ermutigt ebenfalls eindeutig dazu die Folgen für den Datenschutz bei risikoreichen Verarbeitungstätigkeiten zu bewerten.

Mythos #5: Das ist nur zur Veranschaulichung und bietet keinen Mehrwert

Tatsächlich ist die IT-Risikobewertung ein sehr mächtiges Werkzeug, um echte Änderungen vorzunehmen, die die Sicherheit verbessern. Der Netwrix IT Risks Report 2017 stellte fest, dass sich in 32 Prozent der Unternehmen die Geschäftsleitung nicht mit den IT-Sicherheitsthemen beschäftigt. Das ist problematisch für IT-Verantwortliche, wenn sie Budget für neue Sicherheitsmaßnahmen oder Personal benötigen. Mit einer konkreten Bewertung der Risiken können sie Schwachstellen für das Management aufzuzeigen und sie über die Wahrscheinlichkeit von Datenverstößen sowie deren finanzielle Auswirkungen aufzuklären. Das sind wichtige Argumente für die Vorgesetzte, um das geforderte Budget zu rechtfertigen.

Mythos #6: Wenn alles in Ordnung ist, ist der Aufwand unnötig

Ein falsches Sicherheitsgefühl ist eines der schlimmsten Dinge, die in einem Unternehmen auftreten können, weil es unabhängig von der Qualität der Kontrollprozesse immer Schwachstellen geben wird. Eine gründliche IT-Risikobewertung wird dabei helfen, diese aufzuspüren, zu priorisieren und geeignete Sicherheitsmaßnahmen zu ergreifen. Sobald sich die IT-Umgebung ändert und sich die Bedrohungslandschaft weiterentwickelt, sollte der Prozess deshalb wiederholt werden, weil neue Schwachstellen wahrscheinlich sind.

Mythos #7: Mit einer Versicherung ist alles gut

Viele Führungskräfte glauben, dass eine Versicherung im Fall eines Datenschutzvorfalls die Kosten decken würde und wiegen sich in falscher Sicherheit. Insbesondere wenn die Untersuchung ergibt, dass das betroffene Unternehmen den Vorfall verschuldet hat, werden Bußgelder und andere Sanktionen unvermeidlich. Gerade die Verantwortlichen in Führungspositionen sind dann die Ersten, die im schlimmsten Fall entlassen werden.

Bei Equifax, der größten Wirtschaftsauskunftei in der USA, läuft noch das Verfahren aufgrund des Datenschutzvorfalls im Mai 2017 und die Kosten belaufen sich bislang auf rund 87,5 Millionen Dollar. Die Endkosten werden zweifellos noch ein Vielfaches höher liegen, aber die Police von Equifax wird wahrscheinlich nur bis zu 150 Millionen Dollar abdecken. Innerhalb weniger Wochen mussten im September letzten Jahres der CIO, der CSO und der CEO zurücktreten und keine Versicherung hätte dagegen helfen können.

Der nächste Schritt

Wer ausgewogene Sicherheitsrichtlinien entwickeln und Daten vor Diebstahl und Verlust schützen möchte, muss zunächst das Konzept der Risikobewertung in der IT verstehen. Anschließend folgt der nächste Schritt: der Aufbau eines effektiven Risk Assessment-Programms. Die Fähigkeit, Sicherheitsrisiken zu identifizieren und zu priorisieren, ist ein wichtiger Schlüssel, um Cyber-Bedrohungen zu minimieren und die Einhaltung verschiedener Standards wie der DSGVO, PSD2 und anderen zu vereinfachen. Deshalb ist es umso wichtiger, dass Unternehmen ihre Sicherheitsstrategie nicht auf Mythen aufbauen.

Gerald LungGerald Lung, Country Manager DACH von Netwrix

www.netwrix.com

 

GRID LIST
Tb W190 H80 Crop Int 69bd67d0766bcf55730eef75a3612605

IT-Sicherheit nach Maß

65 Experten kümmern sich beim Energieversorger Innogy um die Cybersicherheit,…
Rüdiger Trost, Head of Cyber Security Solutions F-Secure DACH

Der ungleiche Kampf: Cybersecurity vs. Mittelstand

In KMUs scheitert die Cyber Security oft an den Kosten. Muss das so sein oder gibt es…
Firewall Concept

DSGVO-konform – Die neue TUX-Firewall TG-0500

Zum Schutz personenbezogener Daten verlangt die EU-DSGVO „angemessene technische und…
Hacking Detected

Managed Security Service Provider als Antwort auf den Fachkräftemangel

Aufgrund des anhaltenden Fachkräftemangels im IT-Sicherheitsumfeld steigt die Nachfrage…
Tb W190 H80 Crop Int 004c3381798b4f8b8137447720d1dc24

Zu Risiken und Ausfällen fragen Sie Ihren Geschäftsführer oder Sicherheitsbeauftragten

Ein erfolgreich etabliertes und gelebtes Risikomanagement bildet eines der Kernelemente…
Security Concept

GI fordert sicherere IT-Hardware und -Software in Europa

Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für…
Smarte News aus der IT-Welt