Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Mann mit Schachfiguren

Trotz wachsender Bedrohungslage müssen Chief Information Security Officer (CISOs) mit meist sehr begrenztem Budget zurechtkommen. Wie sie trotzdem erfolgreich einen prioritätsbasierten Security-Ansatz entwickeln können, erklärt Christian Vogt, Senior Regional Director Germany, Fortinet.

CISOs haben es nicht leicht. Tatsächlich liegt ihre durchschnittliche Amtszeit in Unternehmen laut Studienergebnissen nur bei zwei bis vier Jahren. Als Grund für das Ausscheiden aus ihrer Position machen 36 Prozent der befragten Sicherheitsexperten eine Unternehmenskultur verantwortlich, die IT-Sicherheit nicht genug Bedeutung beimisst. 34 Prozent beklagen zudem, dass sie es nicht schaffen, dem Thema IT-Security auf Management-Ebene genügend Beachtung zu verschaffen. Fehlende Ressourcen, um angemessenen IT-Schutz herzustellen, war für 31 Prozent ein Kündigungsgrund. Doch CISOs müssen nicht an diesen Hürden scheitern. Wenn sie zielgerichtet auf einen prioritätsbasierten Cybersecurity-Ansatz hinarbeiten, können sie ihr Unternehmen trotz widriger Bedingungen vor Bedrohungen schützen – und gleichzeitig ihre eigene Jobzufriedenheit verbessern.

IT-Landschaft und Compliance-Anforderungen überblicken

Im ersten Schritt müssen sie sich dazu einen Überblick über die IT-Landschaft des Unternehmens verschaffen. Denn es gilt: Man kann nur das schützen, von dessen Existenz man auch weiß. Die digitale Transformation macht es CISOs in dieser Hinsicht jedoch nicht einfach. Denn sie umfasst zahlreiche neue Technologietrends wie Cloud, das Internet der Dinge (IoT) und vernetzte mobile Endgeräte. Dadurch ist die Angriffsfläche der Unternehmens-IT heute um ein Vielfaches größer und dynamischer als noch vor einigen Jahren – und damit auch weitaus schwieriger einzuschätzen. Hinzu kommt oftmals Schatten-IT, die absichtlich vor dem IT-Security-Team verborgen wird.

Darüber hinaus müssen CISOs auch die – immer zahlreicheren – Compliance-Anforderungen berücksichtigen. Diese können sich etwa aus Branchenstandards ergeben, wie dem Payment Card Industry Data Security Standard (PCI-DSS). Aber auch staatliche Vorschriften, wie die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, dürfen sie nicht außer Acht lassen. Die gute Nachricht dabei: Die Regulierungen können als Wegbereiter für notwendige Veränderungen im Unternehmen dienen. Andererseits ist es jedoch oftmals schwierig, dies auch klar an die Geschäftsführung zu kommunizieren, da dieser das notwendige Security-Fachwissen fehlt. Denn dieses Spezialgebiet der IT, das muss dazu gesagt werden, unterliegt dem ständigen Wandel.

Bedrohungen kennen – Risikobereitschaft abwägen

Elementar ist für CISOs daher, die aktuelle Bedrohungslandschaft zu kennen. Diese verändert sich rasend schnell und beinahe unvorhersehbar. Der Grund: Cyber-Kriminalität hat sich längst zu einer lukrativen kommerziellen Branche entwickelt – Ransom- und Malware sowie IoT-Botnets haben mittlerweile mehrere Entwicklungszyklen durchlaufen und werden immer raffinierter. Ende vergangenen Jahres stieg die Anzahl der Cyber-Angriffe innerhalb von drei Monaten sogar um ganze 82 Prozent. Zudem verzeichneten Experten kürzlich auch einen Anstieg von bisher unbekannten Hacker-Strategien.

Nicht zuletzt ist für CISOs wichtig zu wissen, wie viel und welche Art von Risiko das eigene Unternehmen bereit ist, einzugehen. Gute Quellen dafür sind neben dem Führungskreis auch die Fachbereichsleiter. Dies kann zudem ein guter Anlass sein, um Letztere besser kennenzulernen und ihnen die Bedeutung von Cyber-Sicherheit noch einmal vor Augen zu führen.

Einen integrierten Security-Fabric-Ansatz verfolgen

Haben sich Security-Experten den notwendigen Überblick verschafft, geht es darum, die entsprechenden Sicherheitsvorkehrungen zu treffen. Dabei stehen CISOs jedoch vor folgender Herausforderung: Die IT-Landschaft in Unternehmen ist heute in höchstem Maße komplex und umfasst sowohl On-Premises- als auch Cloud- und Hybrid-Cloud-Anwendungen. Daher ist auch eine große Anzahl unterschiedlicher Sicherheits-Tools im Einsatz – die jedoch meist gar nicht oder nur schwer miteinander kompatibel sind. Dies verhindert einen unternehmensweiten Überblick über aktuelle Sicherheitslücken und Gefahren.

Um auf Bedrohungen koordiniert und strategisch zu reagieren, sollten Verantwortliche daher auf ein integriertes Security-Fabric-Modell setzen. Dieses vereint mehrschichtige Sicherheits-Tools über alle On-Premises- und Cloud-Umgebungen hinweg und lässt sich dynamisch an die individuellen Anforderungen des Unternehmens anpassen. Auf diese Weise können die verschiedenen Lösungen und Tools in Echtzeit miteinander kommunizieren. So ist die aktuelle Bedrohungslage des kompletten Unternehmens über ein einziges System zu jedem Zeitpunkt ersichtlich. Ein weiterer Vorteil: Manuelle Sicherheitsprozesse lassen sich damit automatisieren, sodass sich das Security-Team um strategische Aufgaben kümmern kann. Nicht zuletzt vereinfacht ein integrierter Security-Fabric-Ansatz auch die Einhaltung von Compliance-Anforderungen und ist bei Vorbereitungen auf Audits hilfreich.

Fazit: Komplexität von IT-Security reduzieren

Jedes Unternehmen setzt unterschiedliche Prioritäten und braucht daher auch eine individuelle IT-Security-Strategie. Es gilt dabei, sich sowohl einen Überblick über die IT-Landschaft und die Risikobereitschaft des eigenen Unternehmens, als auch die Bedrohungslage zu verschaffen. Um das Unternehmen bestmöglich vor Angriffen zu schützen, sollten CISOs versuchen, die Komplexität von IT-Security-Maßnahmen mithilfe einer integrierten Security Fabric zu reduzieren. Dies bietet Verantwortlichen gleich zwei Vorteile: Einerseits sind sie dadurch in der Lage, das Unternehmen besser vor Angreifern schützen. Andererseits können sie so auch vor der Geschäftsführung transparenter darlegen, was IT-Security-Maßnahmen bewirken. So sichern sie sich im Idealfall mehr Budget, stärken das Ansehen des Security-Teams im Unternehmen und beugen damit gleichzeitig der eigenen Jobfrustration vor. 

Christian VogtChristian Vogt ist Senior Regional Director Germany bei Fortinet. In dieser Rolle verantwortet er das Gesamtgeschäft des Sicherheitsspezialisten in Deutschland. Christian Vogt verfügt über langjährige Erfahrung mit großen und strategischen Kunden im Markt für Sicherheits- und Netzwerktechnologie sowie in der Telekommunikationsbranche. Er studierte Betriebswirtschaft und hatte vor seinem Eintritt bei Fortinet 2006 unter anderem Positionen bei Cable & Wireless Deutschland, Inktomi und Oracle inne.

www.fortinet.com
 

GRID LIST
Tb W190 H80 Crop Int D1a9e4fb59f56aef82a0754bb96c5f75

Warum „Thinking Small“ für „bessere Netzwerksicherheit“ steht

Die Netzwerksegmentierung ist seit vielen Jahren eine empfohlene Strategie, um die…
Social Engineering

Social Engineering und die Cybersicherheit

Wenn man Wikipedia befragt, so handelt es sich bei Social Engineering im Rahmen der…
Hacker Stadt

Schlaraffenland für Cyberkriminelle

Nach Angaben des Deutschen Instituts für Wirtschaftsforschung (DIW) möchte jeder Deutsche…
Ransomware

Unternehmen und Behörden haben ein neues altes Problem

Und täglich grüßt das Murmeltier, könnte man angesichts der neuesten Warnung des…
Cyberversicherung

Cyberversicherungen haben Lücken

Cyberversicherungen stellen eines der wachstumsstärksten Segmente des…
Tb W190 H80 Crop Int 2a9bb0e951b163b628cae908b73607c3

Falcon-Plattform erweitert um Firmware-Angriffserkennung

CrowdStrike gab bekannt, dass die CrowdStrike Falcon-Plattform um eine neue Funktion…