Wachsende Bedrohungen - begrenzte Budgets

Die Security-Prioritäten von CISOs

Kommentar von Christian Vogt

Das Risiko für Cyber-Angriffe steigt. Doch CISOs kämpfen mit Fachkräftemangel und knappen Budgets. Umso wichtiger wird es, die Security-Strategie zu fokussieren.

Cyber-Security ist ein breites Thema, das Chief Information Security Officers zu verantworten haben. Das tun sie am besten mit einem Plan.
Foto: Elnur - shutterstock.com

In einer idealen Welt hätten CISOs unbegrenzte Budets und jede Menge Mitarbeiter, um den wachsenden Cyber-Bedrohungen die Stirn zu bieten. Die Realität sieht leider anders aus. Gerade in der Security-Branche sind Fachkräfte rar und Teams meist knapp besetzt. Zudem können CISOs mit eingeschränkten finanziellen Mitteln kämpfen, während das Risiko für Cyber-Angriffe steigt und die Angriffsfläche durch die zunehmende Digitalisierung und Vernetzung wächst.

Eine von Fortinet in Auftrag gegebene Umfrage von Forbes Insights unter mehr als 200 Security-Verantwortlichen zeigt: 84 Prozent der Befragten glauben, dass die Bedrohungslage in den kommenden Jahren eskalieren wird. 21 Prozent halten die Cyber-Kriminellen sogar für überlegen. Dabei beklagt ein Drittel, dass zu geringe Budgets erhebliche Auswirkungen auf ihre Cyber-Security-Maßnahmen haben.

Welche Strategien verfolgen CISOs?

Angesichts dieser angespannten Lage müssen CISOs gut mit ihren Ressourcen haushalten und genau überlegen, wie sie sie einsetzen. Das erfordert harte Entscheidungen, denn überall für optimale Sicherheit zu sorgen, geht schlichtweg nicht. Vielmehr gilt es, die begrenzten Mittel dort anzuwenden, wo sie am wichtigsten sind und den größten Erfolg versprechen. Die von den befragten CISOs geplanten Strategien stellen sich wie folgt dar:

Automatisierung und KI nehmen zu: 42 Prozent der Sicherheitsverantwortlichen wollen künftig verstärkt eine Automatisierungsstrategie verfolgen. Der Großteil der übrigen Befragten tut dies bereits schon. 45 Prozent setzen zudem auf fortschrittliche Analyseverfahren, um Sicherheitsvorfälle schnell zu entdecken. Automatisierung und künstliche Intelligenz entlasten Security-Teams und nehmen ihnen Routine-Aufgaben ab.
Incident Detection and Response rückt in den Fokus: CISOs sind sich zunehmend einig, dass man das Risiko für Cyber-Angriffe nie ganz ausmerzen kann. Sicherheitsverantwortliche verlagern daher den Fokus ihrer Security-Strategie von der Prävention mehr in Richtung Incident Detection & Response. Während sie derzeit noch 36 Prozent ihres Budegts für die Gefahrenerkennung und -bekämpfung ausgeben, wollen sie laut Studie nach Möglichkeit künftig 40 Prozent dafür bereitstellen.
Investitionen in neue Mitarbeiter und Security-Kultur: Investieren wollen CISOs auch in menschliche Expertise und eine Cyber-Security-Kultur. So haben es sich 14 Prozent als oberste Priorität gesetzt, ihr Team aufzustocken und mehr Security-Spezialisten einzustellen. Genauso viele der Befragten (14 Prozent) finden es am wichtigsten, mehr Bewusstsein für Security im Unternehmen zu schaffen, und 13 Prozent wollen in bessere Schulungs-Maßnahmen für Mitarbeiter investieren.
Schutz der Marke und des geistigen Eigentums ist höchstes Ziel: Oberste Priorität bei ihrer Security-Strategie hat für die Mehrheit der CISOs (36 Prozent) der Schutz von Unternehmensmarke und Kundendaten. Ein Fünftel der Befragten fokussiert auf den Schutz von geistigem Eigentum. Letzteres bildet den Kern des Unternehmens und ist daher ein beliebtes Ziel für Cyber-Kriminelle.

Aufgaben eines CISO

Vorbeugung von Datenverlust und Betrug
Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen.

Security Operations
Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren.

Cyber-Risiko und Intelligence
Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen.

Security-Architektur
Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind.

Identitäts- und Zugriffsmanagement (IAM)
Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat.

Programm-Management
Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches.

Fehlersuche und Forensik
Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern.

Governance
Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.

Die richtigen Prioritäten setzen

Wie aber findet man heraus, was für das Unternehmen am wichtigsten ist und welche Security-Maßnahmen man ergreifen sollte? Eine gute Methode ist die 100-Münzen-Frage, die sieben führenden CIOs gestellt wurde: "Wenn Sie nur 100 Münzen für sämtliche Cyber-Security-Maßnahmen zur Verfügung hätten - wofür würden Sie sie ausgeben?" Das Ergebnis zeigt: Alle der Befragten würden in automatisiertes Schwachstellen-Scanning und in Multi-Faktor-Authentifizierung investieren. Sechs von sieben finden zudem Incident-Reponse-Fähigkeiten besonders wichtig. Fünf von sieben halten die Inspizierung von Content via Sandbox und SSL-Entschlüsselung sowie Governance, Risiko-Management und Compliance Tools für essenziell.

Wie kamen die CISOs zu dieser Entscheidung? Eine hilfreiche Methode besteht darin, eine Hierarchie der Security-Funktionen aufzustellen, die man benötigt. Dabei sind fünf Dimensionen zu berücksichtigen:

Verschlüsselung,
Authentifizierung,
Logging und Erkennung,
Asset Management sowie
Sicherheitszonen und Eindämmung.

Verschlüsselung ist ein übergeordneter Schutz. Sie greift auch dann noch, wenn das Unternehmen keine optimalen Authentifizierungsregeln hat. Die erste Verteidigungslinie ist demzufolge eine gute Authentifizierung. Sie stellt die Identität eines Nutzers sicher, sodass die Autorisierung folgen kann. Technologien zur Auswertung von Logfiles dienen dazu, Informationen zu sammeln und Anzeichen für Bedrohungen zu erkennen. Asset Management ist wichtig, um ein genaues Bild von der Angriffsfläche zu gewinnen. Und Sicherheitszonen sorgen dafür, dass Applikationen in der richtigen Umgebung mit einem geeigneten Schutzniveau eingesetzt werden. In jeder der fünf Dimensionen gilt es, angemessene Maßnahmen zu ergreifen. Diese können zunächst einfach sein, und dann immer weiter vertieft werden.

Lesetipp: Was Sie über PGP, SSL, RSA und Co wissen sollten

Ein anderer empfehlenswerter Ansatz, um Prioritäten zu klären, besteht darin, sich das schlimmste mögliche Szenario vorzustellen. Was ist das wichtigste Asset für das Unternehmen? Sind es die Kundendaten, das geistige Eigentum oder das Bankkonto? Wo würde ein Hackerangriff katastrophale Folgen haben? Sobald CISOs dies herausgefunden haben, sollten sie durchspielen, was alles passieren kann. Verfügen sie über die Möglichkeiten, die Szenarien zu verhindern? Diese Fragen helfen dabei herauszufinden, was am wichtigsten ist.

Der CISO-Check: Taugen Sie zum IT-Security-Manager?

Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?

Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?

Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?

Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?

Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?

Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?

Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?

Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?

Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?

Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?

Um gegen die wachsende Bedrohungslage gewappnet zu sein, sollten CISOs versuchen, ihre Ressourcen zu maximieren. Dafür müssen sie das Management davon überzeugen, dass sich Investitionen in Security lohnen. Die Rechnung ist im Grunde einfach: Ein Datenschutzvorfall kann deutsche Unternehmen im Durchschnitt 4,33 Millionen Euro kosten. Sicherheitsmaßnahmen sind im Vergleich dazu günstiger. Erfolgreiche CISOs werden ihre Security-Strategie zudem genau auf ihre Ziele fokussieren. Dafür müssen sie ihre Prioritäten ermitteln, die richtigen Tools auswählen und ihre Mitarbeiter dort einsetzen, wo sie am meisten zum Erfolg beitragen. So sind sie in der Lage, die wichtigen Unternehmens-Assets auch mit begrenzten Ressourcen effektiv zu schützen. (bw)