Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Cybersecurity-Risikomanagement



Eine Einführung für die Geschäftsleitung (Teil 7)

Die meisten Unternehmen werden bereits Massnahmen ergreifen, um ihr Cybersicherheitsrisiko zu bewerten und zu managen. Es lohnt sich jedoch, darüber nachzudenken, durch was diese Tätigkeit ausgelöst wird. Häufig führen Unternehmen Risikomanagementübungen aus Gründen der „Compliance“ durch, die Folgendes beinhalten können:

  • Verpflichtungen aus externem Druck (z.B. regulatorische Anforderungen)
  • Kundenanforderungen
  • rechtliche Beschränkungen

Wenn dies aus diesen Gründen geschieht, besteht die Gefahr, dass das Risikomanagement zu einer Tick-box-Übung wird. Dies kann dazu führen, dass Unternehmen glauben, ein Risiko bewältigt zu haben, obwohl sie in Wirklichkeit lediglich einen Prozess eingehalten haben, der (wenn auch unbeabsichtigte) negative Folgen haben kann.

Compliance und Sicherheit sind nicht dasselbe. Sie können sich überschneiden, aber die Einhaltung gemeinsamer Sicherheitsstandards kann mit sehr schwachen Sicherheitspraktiken koexistieren und diese überdecken. Ein gutes Risikomanagement sollte über die reine Compliance hinausgehen. Ein gutes Risikomanagement sollte Einblick in die Gesundheit Ihrer Organisation geben und Chancen und mögliche Probleme erkennen.

Was sollte die Geschäftsleitung tun?

Integrieren Sie Cybersecurity in die Prozesse des organisatorischen Risikomanagements

Viele Ihrer organisatorischen Risiken haben eine Cyberkomponente. Das Cyber-Sicherheitsrisiko sollte daher in Ihren organisatorischen Ansatz für das Risikomanagement integriert werden. Der Umgang mit dem Cyber-Sicherheitsrisiko als eigenständigem Thema (oder einfach im Sinne von „IT-Risiko“) wird es Ihnen schwer machen, die breiteren Auswirkungen dieser Cyber-Sicherheitsrisiken zu erkennen oder alle anderen organisatorischen Risiken zu berücksichtigen, die Auswirkungen auf die Cybersecurity haben.

Die Rolle der Cybersecurity sollte darin bestehen, das Unternehmen zu unterstützen und zu befähigen, und zwar durch das Management seiner Risiken, ohne wesentliche Aktivitäten zu blockieren, oder die Dinge zu verlangsamen oder die Kosten für die Geschäftstätigkeit unverhältnismässig hoch zu machen.

Machen Sie das Ausmass der Risikoreduktion nicht zum Massstab für den Erfolg

Es kann schwierig sein, den Erfolg der Cybersicherheitsmassnahmen Ihres Unternehmens zu messen. Ein typisches Ergebnis einer guten Cybersecurity ist das Fehlen eines Fehlers, der schwer zu messen ist, und da die Cybersecurity noch ein relativ neues Feld ist, gibt es noch nicht viele etablierte Metriken, auf die man sich stützen kann.

Es ist üblich, dass Risikobewertungen eine Art Bewertungsniveau liefern, sei es ein hoch, mittel oder niedrig, oder eine Zahl, und so könnte es verlockend sein, dies als Leistungskennzahl für Ihre Cybersicherheitsmassnahmen zu verwenden. Dies sind jedoch schlechte Metriken für Ihre internen Sicherheitsbemühungen, da sie von externen Faktoren beeinflusst werden, die ausserhalb Ihrer Kontrolle liegen – Faktoren, die sich extrem schnell ändern. Täglich werden neue Schwachstellen entdeckt, und die Zahl der Akteure, die Cyber-Mittel zur Erreichung ihrer Ziele einsetzen wollen, steigt.

Die Steigerung der Leistung durch die Reduzierung einer mit dem Cyber-Sicherheitsrisiko verbundenen Zahl wird wahrscheinlich Anreize für Risikobeurteiler und Gutachter schaffen, die Risiken zu unterschätzen, was zu weniger fundierten Entscheidungen führt. Einige Überlegungen darüber, wie „gute Metriken“ aussehen, werden bei der Implementierung effektiver Cybersicherheitsmassnahmen angestellt.

Was sollte Ihre Organisation tun?

Seien Sie realistisch in Bezug auf die Risiken.

Ähnliche Grundsätze des Risikomanagements nach bewährten Verfahren gelten für das Management von Cyberrisiken wie für das Management anderer organisatorischer Risiken. Es gibt jedoch zwei Dinge zu beachten.

Erstens schreiten Lösungen und Technologien in der Cybersecurity so schnell voran, dass es leicht ist, sich in veralteten Bewertungen von Cyberrisiken zu verfangen. Daher müssen Sie Cyber-Sicherheitsrisiken möglicherweise häufiger überprüfen als andere Risiken.

Zweitens, da die Cybersecurity noch ein relativ neues Gebiet ist, wird die Organisation kein so intuitives Verständnis von Cybersicherheitsrisiken haben, wie es für das finanzielle Risiko der Fall wäre. Wenn neue Technologien auftauchen, gibt es vielleicht keine riesige Evidenzbasis, auf die man sich bei der Erstellung einer Risikobewertung stützen kann. Dies ist bei der Betrachtung des Vertrauens, das Sie in eine Bewertung des Cybersicherheitsrisikos haben, zu berücksichtigen, insbesondere wenn diese Bewertung direkt mit der Bewertung etablierterer Risiken verglichen werden soll.

Ein gutes Beispiel dafür ist die Cloud-Sicherheit. Der NCSC sieht viele Organisationen zögern, Cloud-Dienste zu nutzen, weil sie intuitiv davon ausgehen, dass es ein hohes Risiko ist, vor allem durch den Glauben, dass die Speicherung von etwas Wertvollem bei einem Dritten riskanter ist. In Wirklichkeit hat der Dritte (in diesem Fall also ein Cloud-Service-Provider) möglicherweise bessere Sicherheitsmassnahmen in seinen Rechenzentren als Ihre eigene Vor-Ort-Speicherung. Das Gesamtrisiko kann also geringer sein. Eine Entscheidung für den Einsatz neuester Technologien – wie Cloud Storage – müsste auf einem umfassenden Verständnis aller Risiken beruhen und nicht auf einer intuitiven Bewertung.


Was wäre ein gutes Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was „gute“ Cybersecurity im Hinblick auf das Management von Cybersicherheitsrisiken ausmacht.

Frage 1

Haben wir als Unternehmen einen Prozess, der sicherstellt, dass die Entscheidungsträger so gut wie möglich informiert sind?

Der Hauptfokus Ihres Prozesses sollte sein, dass Entscheidungsträger die fundiertesten Entscheidungen treffen können. Die Entscheidungsträger können die Geschäftsleitung sein (die eine Risikobereitschaft basierend auf dem Verständnis eines technischen oder operativen Risikos festlegen muss) oder die Praktiker, die entscheiden müssen, wie eine bestimmte, von der Geschäftsleitung vorgegebene Vorgehensweise umzusetzen ist. Beide müssen so gut wie möglich informiert sein (in einer verständlichen Form), damit diese Entscheidungen gut getroffen werden können. Das bedeutet, dass die Ergebnisse der Risikobewertungen sinnvoll ausgedrückt werden müssen. Qualifizierte Ergebnisse sind in der Regel am effektivsten und sind sinnlosen Ergebnissen vorzuziehen, bei denen manchmal beliebige Zahlen addiert oder multipliziert werden, um eine Punktzahl abzuleiten.

Frage 2

Wie bleiben wir als Unternehmen über die Cyber-Bedrohung auf dem Laufenden?

Jeder Entscheidungsträger in Ihrer Organisation sollte sich der Bedeutung des Cyber-Sicherheitsrisikos bewusst sein und über genügend Fachwissen (oder Zugang zu Fachwissen) verfügen, um das Cyber-Sicherheitsrisiko bei seinen Entscheidungen zu berücksichtigen. Zuerst sollten Sie vielleicht Folgendes tun:

  • bewusst mögliche Cyber-Sicherheitsrisiken in Ihre Entscheidungsprozesse einbauen.
  • Fokussierung auf Schulung der Mitarbeitenden über Cybersecurity

Eine Möglichkeit, zu überprüfen, ob dies funktioniert, besteht darin, sich eine in Ihrer Organisation getroffene Entscheidung anzusehen und zu überprüfen, ob das Cyber-Sicherheitsrisiko mit anderen Geschäftsrisiken im Gleichgewicht ist. So kann beispielsweise ein Unternehmen beurteilen, dass die Einführung einer Bring Your Own Device (BYOD)-Richtlinie dem Unternehmen einen erheblichen Nutzen in Form von flexibler Arbeit bringt. Es gibt viele verschiedene Dinge, von denen Sie erwarten würden, dass sie bei dieser Entscheidung berücksichtigt werden, einschliesslich:

  • die potenzielle Verbesserung der Mitarbeiterproduktivität
  • die potenziellen Auswirkungen auf die Sicherheit, wenn Geräte vorhanden sind, deren Verbindung zu den Netzwerken der Organisation von der Organisation nicht kontrolliert wird.
  • die Kostenauswirkungen
  • die Auswirkungen auf die Haftung

Wurden diese bei der Entscheidung gemeinsam berücksichtigt oder wurde die Sicherheit erst diskutiert, als die Entscheidung bereits getroffen wurde?

Frage 3

Wie nutzen wir als Unternehmen Bedrohungsinformationen, die in den Normalbetrieb einfliessen sollen?

Sowohl die Geschäftsleitung als auch die Praktiker sollten in der Lage sein, den Prozess in wenigen Minuten klar und einfach zu artikulieren. Die Einzelheiten dieses Rahmens können Folgendes umfassen:

  • wie Risiken eskaliert werden
  • wie hoch ist die Schwelle für die Beteiligung der Geschäftsleitung an einer Risikoentscheidung.
  • wie wir das Vertrauen in eine bestimmte Risikobewertung vermitteln.
  • wie oft die Risiken überprüft werden
  • wer welche Risiken besitzt
  • wer für das Framework selbst und dessen Zweckmässigkeit verantwortlich ist (z.B. Sicherstellung, dass die Ergebnisse des Risikobewertungsprozesses die Bewertung des Risikos wirklich widerspiegeln)

Frage 4

Haben wir als Geschäftsleitung klar definiert, welche Arten von Risiken wir bereit wären einzugehen, und welche inakzeptabel sind?

  • Unterstützen Sie Entscheidungsträger, wenn sie Risikoentscheidungen innerhalb der von Ihnen festgelegten Parameter treffen.
  • Klarheit über den Prozess und den Schwellenwert für die Eskalation des Risikos.
  • Seien Sie so spezifisch wie möglich in Bezug auf die Risikoarten und die Höhe des Risikos. Beispielsweise sind Sie möglicherweise nicht bereit, ein erhebliches Risiko für personenbezogene Daten zu tolerieren, würden aber akzeptieren, dass E-Mails für einen Tag nicht verfügbar sind.
  • Betrachten Sie das kumulative Risiko, das Sie eingehen; es ist möglich, dass alle Ihre Cyberrisiken gleichzeitig eintreffen können. Wegen einem einzigen Vorfall können Sie für einen Tag E-Mails verlieren, die öffentliche Website ist möglicherweise nicht verfügbar und Finanzdaten, die Sie besitzen, können gestohlen werden. Auch wenn Sie ein gewisses Risiko akzeptiert haben, dass all diese Dinge passieren, haben Sie vielleicht nicht darüber nachgedacht, ob die Organisation es tolerieren könnte, dass sie alle auf einmal passieren.

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/


© Swiss Infosec AG 2024