Cyber-Angriffe: Wie lässt sich IT-Sicherheit messen?

Foto: Shutterstock
Risiko Cyberangriff: "Unternehmen können das Risiko eines schwerwiegenden Zwischenfalls reduzieren."

Ein Hackerangriff Ende November 2022 hat den Fahrradhersteller Prophete erst in eine mehrwöchige Betriebsunterbrechung und dann in die Insolvenz gestürzt. Die Pleite zeigt, wie existenzbedrohend Cyberattacken sind und sollte ein Warnsignal für alle Firmen sein, mehr ihn ihre Cyber-Resilienz zu investieren.

Wie gut sie das in der Realität tatsächlich ist, können die wenigsten Unternehmen einschätzen. Worauf Firmen dabei achten sollten und wie sich der Reifegrad der IT-Sicherheit bestimmen lässt, beantwortet der IT-Dienstleister NTT.

„Durch das Identifizieren und Schließen von Sicherheitslücken in Richtlinien, Standards, Prozessen und Technologien können Unternehmen das Risiko eines schwerwiegenden Zwischenfalls reduzieren und gleichzeitig alle Anforderungen an die Einhaltung gesetzlicher Vorschriften erfüllen. Das Ziel einer Reifegrad-Messung ist eine maßgeschneiderte, umsetzbare Roadmap“, sagt Sebastian Ganschow, Director Cybersecurity Solutions bei der NTT Ltd. „Angst allein ist allerdings ein schlechter Ratgeber. Vielmehr gilt es, Angemessenheit, Unternehmensanforderungen und Kosten nicht aus den Augen zu verlieren.“

Grenzen verschieben sich

Die aufsehenerregenden Cyber-Angriffe der vergangenen Jahre hätten der Wirtschaft eines vor Augen geführt: Die Bewertung der IT-Sicherheit einer Organisation sei heutzutage unerlässlich, um den Wert des Unternehmens sowie dessen Risiken korrekt einschätzen zu können, so Ganschow. Gleichzeitig haben sich in puncto Security die Grenzen aber verschoben: Firmen könnten sich nicht mehr nur auf die Absicherung des traditionellen Netzwerks verlassen, um ihre wertvollen Güter angemessen zu schützen, so der Experte weiter.

Die IT-Landschaft verändere sich rasant weiter, angetrieben durch neue geschäftliche Anforderungen, die einen stärkeren mobilen Zugriff, mehr webbasierte Anwendungen und hybride IT-Umgebungen umfassen.

In der Folge müssen Unternehmen die Planung, Gestaltung und den Betrieb ihrer Unternehmenssicherheit strategischer angehen, fordert der Sicherheitsexperte. Seit einigen Jahren entwickelten sich in diesem Umfeld folglich immer mehr Lösungen für das Cyber-Rating. Dabei werde versucht, den Reifegrad von Unternehmen im Hinblick auf ihre IT-Sicherheit zu bewerten.

Warum sollte jedes Unternehmen seinen Reifegrad bestimmen?

Jede Firma hat schützenswerte Assets, die nicht in fremde Hände gelangen sollten und von denen ein reibungsloser Geschäftsbetrieb abhängt. Allerdings gibt es kein Standardpaket, um die Gefahren abzudecken. Jedes Unternehmen hat vielmehr ein ganz eigenes Risikoprofil und geht anders mit unvorhersehbaren Situationen um. Deshalb ist es wichtig, den aktuellen Sicherheitsreifegrad der IT-Landschaft zu bestimmen, aber auch anhand des Geschäftsmodells und – daraus resultierend – der individuellen Risikobereitschaft den Soll-Zustand zu definieren.

Darauf aufbauend lässt sich eine Roadmap erstellen, um zu beurteilen, wo Prozesse verbessert und Lücken geschlossen werden müssen, damit man nach einem Notfall schnell wieder handlungsfähig ist. Zudem können Unternehmen auf diese Weise einen Plan zur Einhaltung externer Vorschriften und vertraglicher Verpflichtungen sowie zur Anpassung an die Best Practices der Branche anfertigen.

Das schließt unter anderem Standards, Richtlinien und Zertifizierungen wie den IT-Grundschutz, BSI 100-x, ISO2700x und NIS ein. Ein Benchmark schafft durch einen strukturierten Marktvergleich Klarheit, wie es um die Effizienz und Effektivität der eigenen Informationssicherheit bestellt ist. 

Wie bewertet man den Sicherheitsstand einer Firma?

In die Bemessung des Reifegrads der IT-Sicherheit fließen die unterschiedlichsten Faktoren ein. Das fängt bei der Frage an, ob ein Unternehmen ein Cybersecurity-Programm hat, das sich an der geschäftlichen Strategie orientiert. Genauso wichtig ist die organisatorische und prozessuale Aufstellung: Gibt es genügend Mitarbeiter, die sich dediziert um IT-Sicherheit kümmern? Hat das Unternehmen ein etabliertes Sicherheitsmanagementsystem?

Sind Prozesse repetitiv, sodass sich auf Basis der Dokumentation im Notfall alles wiederherstellen lässt? Nutzt das Unternehmen Automatisierung oder muss alles manuell erledigt werden? Gibt es nur Firewalls und Virenscanner oder stehen ganzheitliche Sicherheitslösungen etwa auf Basis von Identitäts- und Zugriffsmanagement sowie Angriffserkennung mittels Machine Learning zur Verfügung?

Ziel ist eine umfassende Überprüfung aller personellen, verfahrenstechnischen und technologischen Aspekte der Informationssicherheit und das Identifizieren von Lücken. 

Wie lassen sich Lücken schließen?

Konkrete Maßnahmen, um die IT-Sicherheit eines Unternehmens zu erhöhen, hängen unter anderem davon ab, wie groß der Schutzbedarf der eigenen Daten ist und welches Risiko man bereit ist, einzugehen. Eine E-Commerce-Plattform bedarf definitiv höherer Sicherheitsmaßnahmen als eine herkömmliche Unternehmenswebsite.

Hinzu kommt, dass nicht jede Firma ein Investitionsbudget in unbegrenzter Höhe zur Verfügung hat. Entsprechend wird immer eine nach Prioritäten geordnete, umsetzbare Sicherheits-Roadmap erstellt, die auf die Möglichkeiten und das Schutzniveau des Unternehmens abgestimmt ist. Bei dieser Roadmap wird aber auch immer betrachtet, wie man auf Basis der existierenden Sicherheitsmaßnahmen schnelle Verbesserungen erreichen kann.

Braucht man einen externen Partner?

Grundsätzlich ist jedes Unternehmen mit entsprechendem Personal in der Lage, den Reifegrad seiner IT-Sicherheit zu verbessern. In der Praxis sieht es allerdings meistens so aus, dass die IT-Mitarbeiter mit Routineaufgaben ausgelastet sind und die Zeit für langfristige, strategische Projekte fehlt. Oftmals herrscht zudem eine gewisse „Betriebsblindheit“, sodass neue Wege gerne außer Acht gelassen werden. Hier könnten externe Spezialisten eine wichtige Unterstützung sein: Sie helfen bei einem neutralen Blick auf die aktuelle Situation und verfügen zudem über ein umfangreiches Branchen-Know-how, so Ganschow

Weitere Artikel
Abonnieren
Benachrichtige mich bei
0 Comments
Inline Feedbacks
View all comments