Outcome-based Security

IT-Sicherheit ist kein reiner Kostenfaktor, sondern trägt aktiv zum Unternehmenserfolg bei. Es wird Zeit für einen neuen Ansatz, der bessere Sicherheit liefert und zugleich diesen Beitrag sichtbar macht.

Outcome-based Security

So trägt die IT-Sicherheit zu den Unternehmenszielen bei

27.10.2022
Das Modell der „Outcome-based Security“ macht endlich den Beitrag messbar, den der CISO und sein Team zum Unternehmenserfolg täglich leisten.
Outcome-based Security ändert nicht nur die Haltung des Security-Verantwortlichen, sondern auch sein Standing im Unternehmen.
Outcome-based Security ändert nicht nur die Haltung des Security-Verantwortlichen, sondern auch sein Standing im Unternehmen.
Foto: David Pereiras - shutterstock.com

Unter Cybersecurity-Experten erzählt man sich eine frustrierende Wahrheit: Wenn man als Verantwortlicher für die IT-Sicherheit einen furchtbar schlechten Job macht, so dass das Unternehmen gehackt wird und alles zusammenbricht, dann fragt der Vorstand am Ende des Jahres: "Wofür haben wir dich eigentlich bezahlt?" Wenn man aber fantastische Arbeit leistet, jeden Angriff abwehrt und alles reibungslos im Unternehmen läuft - dann fragt der Vorstand am Ende des Jahres genau das Gleiche: "Wofür haben wir Dich eigentlich bezahlt? Ist doch gar nichts passiert!"

"Das Problem für den CISO und seine Leute ist: Im besten Fall bleibt die Arbeit des Security-Teams völlig unsichtbar, denn es passiert - nichts", erklärt Christine Bejerasco, Chief Technical Officer bei WithSecure (vormals F-Secure Business). "Alle Gefahren wurden mit hohem Aufwand abgewehrt, so dass die IT-Systeme, die Produkte und Services störungsfrei arbeiten konnten, die Daten blieben unkompromittiert. Doch wie misst und bewertet man Dinge, die nicht geschehen sind? Wie macht man dem Vorstand, den Partnern, den Kunden den wirklichen Wert von Cybersecurity verständlich?"

IT-Security erscheint aus Sicht der Firmenleitung in den meisten Unternehmen als reiner Kostenblock, der nichts zu den Geschäftsergebnissen beiträgt. Und mit der Zeit entsteht dadurch ein Problem, glaubt Christine Bejerasco. "Solange sich Cybersecurity als bloße Gefahrenabwehr versteht, wird es jedes Jahr von Neuem schwierig, auf die gestiegenen Gefahren hinzuweisen und ein höheres Budget einzufordern. Denn unter Fachleuten ist es unumstritten: Die Gefahren wachsen stetig an, immer neue Betrugs- und Angriffsverfahren müssen erkannt und abgewehrt werden."

Cybersecurity braucht ein strategisches Selbstverständnis

Beispiele für diese Entwicklung gibt es reichlich. So hat sich im vergangenen Jahr nach den Untersuchungen und Erfahrungen von WithSecure der Charakter von Ransomware-Attacken rasant geändert. Nunmehr geht es beim Großteil der Angriffe nicht nur um Lösegeld. Zusätzlich wird auch damit gedroht, die Geschäfts- und Kundendaten aus den infiltrierten Systemen zu veröffentlichen, um damit den Druck auf die betroffenen Unternehmen noch zu erhöhen. "Es droht ein immenser Image-Schaden. Eine große Anzahl von bislang finanziell motivierten Angreifern hat spezifische Verfahren von den staatlich gelenkten APT-Gruppen übernommen und damit die Risiken weiter gesteigert", sagt Bejerasco.

WithSecure plädiert deshalb für ein strategisches Selbstverständnis der Cybersecurity, das sich als relevanten Beitrag zum Erreichen der Geschäftsziele sieht. Der neue Ansatz nennt sich 'Outcome-based Security'. "Er positioniert sich auf Augenhöhe mit dem Vorstand", erklärt Christine Bejerasco. "Er beruft sich nicht nur auf die Verhinderung von Gefahren, auf die Sicherung von Werten und die Minimierung von Risiken. Er betont und demonstriert den Anteil am Erfolg. Das kann bis dahin führen, dass ein Sicherheitsfeature für den Produktmanager einen höheren Verkaufspreis rechtfertigt und so direkt zur Umsatzsteigerung beiträgt."

WithSecure versteht diese Art der ergebnisorientierten Cybersecurity nicht als Gegenmodell zu den etablierten strategischen Ansätzen der IT-Sicherheit, sondern integriert diese, baut auf ihnen auf und bildet die oberste Stufe wie die Spitze einer Pyramide (siehe Bild). Die Basis der Pyramide bildet das bewährte und längst standardisierte Modell der Threat-based Cybersecurity. Diese konzentriert sich auf Gefahren, identifiziert die neuesten Angriffsverfahren und schaltet sie aus. "Das ist natürlich unerlässlich, führt jedoch zu einer Fixierung auf den Gegner. Threat-based Cybersecurity ist oft rein reaktiv und nährt die verbreitete Wahrnehmung, dass die Security-Leute den Angreifern stets einen Schritt hinterher sind", sagt Bejerasco.

Wie tragen wir zur Schaffung agiler Prozesse bei?
Wie tragen wir zur Schaffung agiler Prozesse bei?
Foto: WithSecure

Um einiges proaktiver handelt, wer sich auf die zu schützenden Werte fokussiert, die auf der nächsthöheren Ebene der Pyramide liegen. Hier werden die vorhandenen Assets des Unternehmens bewertet und entsprechend geschützt. Die "Asset-based Cybersecurity" konzentriert sich auf die wertvollsten Einrichtungen - etwa eine komplexe Serverstruktur, eine teure Software oder ein abzusicherndes Premium-Produkt für die Kunden. In diesem Bereich spielt sich die klassische Detection & Response ab. Am Ende ergibt sich eine lange Liste zum Abhaken: Haben wir alle Vorkehrungen getroffen, haben wir alles geschützt?

Die Risikobewertung verlässt das Korsett der IT

Christine Bejerasco weist jedoch darauf hin, dass dieses Modell immer noch einer zu schlichten Logik folgt. "Bei der steigenden Vernetzung können die schlimmsten Angriffe gerade über ganz einfache, vernachlässigte Einfallstore erfolgen, die aufgrund des geringen Werts eben nicht im Fokus des Asset-bewussten Sicherheitsexperten liegen."Deshalb habe sich weltweit längst das risikobasierte Modell von Cybersecurity durchgesetzt - die dritte Ebene der WithSecure-Pyramide.

In die auf Risiken fokussierte Planung fließen alle denkbaren Risiken ein. Zurecht, denn auf dieser Ebene werden erstmals auch abstrakte oder IT-fremde Überlegungen angestellt: Welcher Schaden droht uns, wenn ein Datenleck bekannt wird, das Image leidet und die Kunden sich abwenden? Wie hoch sind die Strafen, wenn Verstöße gegen Datenschutz und Data Governance gemeldet werden müssen? Wie können wir bei der Gestaltung der Supply Chain sicherstellen, dass auch die Sicherheitsstandards von Software-Zulieferern unseren Ansprüchen genügen?

"Der risikobasierte Ansatz erlaubt eine angemessene Absicherung gegen die drohenden Risiken, so dass die schlimmstmöglichen Angriffe mit dem höchsten Nachdruck abgewehrt werden können", erklärt Christine Bejerasco. Die angemessene Priorisierung, die Integration ins Enterprise Risk Management und in die Corporate Governance, das stetige Monitoring - sie machen Risk-based Cybersecurity zum besten Ansatz einer zeitgemäßen IT-Sicherheit.

Warum braucht es dann noch eine zusätzliche Ebene drüber? "Outcome-based Security geht auch den letzten Schritt und stellt die Geschäftsziele der Organisation in den Mittelpunkt - nicht die Risiken. Die zentralen Fragen lauten dann zum Beispiel: Wie ermöglichen wir mittels IT-Sicherheit eine möglichst große Effizienz im Unternehmen? Wie tragen wir zur Schaffung agiler Prozesse bei? Welchen Anteil haben wir daran, das Vertrauen des Verbrauchers in unsere Produkte und Dienste zu steigern?"

Outcome-based Security in der Praxis

Die Logik dieser Pyramide erschließe sich dann in der Praxis, mit Blick von oben nach unten und mit der Frage: "Welche Risiken, Assets und Threats spielen für die gewünschten Ergebnisse eine Rolle?" Beispiel: Der Betreiber einer E-Commerce-Website setzt sich zum Ziel, gerade am Black Friday 100 Prozent Uptime und eine niedrige Latenz zu erreichen - es geht um Resilienz, die möglichst große Umsätze ermöglichen soll.

"Nur wenn dieses Ziel gemeinsam definiert wurde, kann sich das Cybersecurity-Team auf die richtigen Lösungen konzentrieren", betont Christine Bejerasco. "Das größte Risiko wäre, dass die Website am Stichtag offline geht. Zu schützende Assets sind die Website, aber etwa auch das Kreditkarten-Zahlungsverfahren. Und als Gefahr werden zum Beispiel Denial-of-Service-Attacken identifiziert. Auf dieser konkreten Basis können Maßnahmen durchgeführt werden, die rechtzeitig und maßgeblich zum Erreichen der Ziele beitragen."

Dieses schematische Vorgehen ermöglicht laut WithSecure den erfolgreichen Einsatz der Outcome-based Security in allen denkbaren Einsatzgebieten. Ein weiteres Beispiel: Die Unternehmensleitung hat Effizienz zum übergeordneten Ziel erklärt. Sie nutzt daher KI für die Vorhersage des Kundenverhaltens. Der CISO leistet seinen Beitrag durch den besonderen Schutz der KI-Prozesse. Denn als Risiko wurde klar: Wenn gefälschte Daten als Basis genutzt werden, wird die KI ausgetrickst. Als zentrales Asset konnte also die Integrität der Daten bestimmt werden. Die Gefahr von "vergifteten Daten" kann gezielt abgewendet werden.

"Die Outcomes sind in vielen Unternehmen die gleichen", sagt Christine Bejerasco. Immer wieder gehe es um Reputation, um Business Continuity, um das Kundenvertrauen oder um Compliance. Das mache die industrieweite Anwendung des ergebnisorientierten Ansatzes einfacher, denn die Herausforderungen wiederholen sich.

Doch der Ansatz der Outcome-based Security ändert nicht nur die Haltung des Security-Verantwortlichen, sondern auch sein Standing im Unternehmen, glaubt Christine Bejerasco. "Am Ende sagt der CISO nicht mehr nur einfach 'Nein'. Er sagt nicht einmal 'Ja, aber', sondern er sagt 'Ja, und': Ja, wir können diese Geschäftsergebnisse ermöglichen, und auf diese Art können wir es sicher machen. Auf einmal spricht er die Sprache der Strategie, des Business, der Ergebnisse - auf Augenhöhe mit denjenigen, die am Ende auch über das Budget für die IT-Security entscheiden. So verstehen die Stakeholder endlich, welchen positiven, aktiven Beitrag die Cybersecurity zum Erfolg des Unternehmens leistet."

Wie Sie durch einen risikobasierten Ansatz den Blick Ihres Unternehmens für Cyberrisiken weiter schärfen können, erfahren Sie hier.